外部 ID に対する ID プロバイダー

"ID プロバイダー" では、ID 情報の作成、保守、管理、およびアプリケーションへの認証サービスの提供が行われます。 アプリとリソースを外部ユーザーと共有する場合は、Azure AD が共有のための既定の ID プロバイダーです。 つまり、Azure AD アカウントまたは Microsoft アカウントを既に持っている外部ユーザーを招待すると、そのユーザーは自分でそれ以上構成を行わなくても自動的にサインインできます。

外部 ID にはさまざまな ID プロバイダーが用意されています。

  • Azure Active Directory アカウント: ゲスト ユーザーは、Azure AD の職場または学校アカウントを使用して、B2B コラボレーションの招待を利用したり、サインアップ ユーザー フローを完了したりできます。 Azure Active Directory は、既定で許可されている ID プロバイダーの 1 つです。 この ID プロバイダーをユーザー フローで使用できるようにするために必要な追加の構成はありません。

  • Microsoft アカウント: ゲスト ユーザーは、自分自身の個人用 Microsoft アカウント (MSA) を使用して、B2B コラボレーションの招待を引き換えることができます。 セルフサービス サインアップのユーザー フローを設定するときには、許可される ID プロバイダーの 1 つとして Microsoft アカウントを追加できます。 この ID プロバイダーをユーザー フローで使用できるようにするために必要な追加の構成はありません。

  • 電子メール ワンタイム パスコード: ゲスト ユーザーは、招待を引き換えるとき、または共有リソースにアクセスするときに、自分の電子メール アドレスに送信される一時的なコードを要求できます。 その後は、このコードを入力してサインインを続けます。 電子メール ワンタイム パスコード機能では、B2B ゲスト ユーザーが他の手段を使用して認証できないときにユーザーを認証します。 セルフサービス サインアップのユーザー フローを設定するときには、許可される ID プロバイダーの 1 つとして電子メール ワンタイム パスコードを追加できます。 いくつかの設定が必要になります。「電子メール ワンタイム パスコード認証」を参照してください。

  • Google: Google フェデレーションでは、外部ユーザーが自分の Gmail アカウントでアプリにサインインすることにより、あなたからの招待を利用することができます。 Google フェデレーションは、セルフサービスのサインアップ ユーザー フローでも使用できます。 ID プロバイダーとして Google を追加する方法に関するページを参照してください。

    重要

  • Facebook: アプリを構築するときに、セルフサービス サインアップを構成し、Facebook フェデレーションを有効にすることで、ユーザーが自分の Facebook アカウントを使用してアプリにサインアップできるようにすることが可能です。 Facebook は、セルフサービス サインアップ ユーザー フローにのみ使用でき、ユーザーがあなたからの招待を利用するときにサインイン オプションとして使用することはできません。 ID プロバイダーとして Facebook を追加する方法に関するページを参照してください。

  • SAML/WS-Fed ID プロバイダー フェデレーション: SAML または WS-Fed プロトコルをサポートする任意の外部 ID プロバイダーとのフェデレーションを設定することもできます。 SAML/WS-Fed IdP フェデレーションでは、外部ユーザーが自分の既存のソーシャル アカウントまたはエンタープライズ アカウントでアプリにサインインすることにより、あなたからの招待を利用することができます。 SAML/WS-Fed IdP フェデレーションを設定する方法を参照してください。

    注意

    フェデレーション SAML/WS-Fed IdP は、セルフサービス サインアップ ユーザー フローでは使用できません。

ソーシャル ID プロバイダーの追加

Azure AD はセルフサービス サインアップが既定で有効になっているため、ユーザーは常に Azure AD アカウントを使用してサインアップすることができます。 ただし、Google や Facebook のようなソーシャル ID プロバイダーを含め、その他の ID プロバイダーを有効にできます。 Azure AD テナントでソーシャル ID プロバイダーを設定するには、その ID プロバイダーでアプリケーションを作成し、資格情報を構成します。 クライアントまたはアプリの ID と、クライアントまたはアプリのシークレットを取得して、Azure AD テナントに追加できます。

Azure AD テナントに ID プロバイダーを追加した後、次のようにします。

  • 組織内のアプリまたはリソースに外部ユーザーを招待すると、外部ユーザーはその ID プロバイダーでの自分のアカウントを使用してサインインできるようになります。

  • アプリに対してセルフサービス サインアップを有効にすると、外部ユーザーは、追加した ID プロバイダーでの自分のアカウントを使用して、アプリにサインアップできます。 サインアップ ページで使用できるようにしたソーシャル ID プロバイダーのオプションから選択できるようになります。

    Google と Facebook のオプションが表示されたサインイン画面のスクリーンショット

最適なサインイン エクスペリエンスにするには、可能な限り ID プロバイダーとフェデレーションします。これにより、招待されたゲストがアプリにアクセスしたときに、シームレスなサインイン エクスペリエンスを提供できるようになります。

次のステップ

アプリケーションへのサインイン用に ID プロバイダーを追加する方法については、次の記事を参照してください。