Microsoft Entra ID for Customers の設定についてのご相談
前提
- 運用している複数のアプリにおいて、会員管理を Firebase Authentication で実施している。
- これらのアプリの会員を統合するために Microsoft Entra ID for Customers を導入予定。
- 一部の契約企業から、自社が運用する認証プロバイダー(Auth0)を通じた認可を希望する要望を受けている。
- Microsoft Entra ID for Customers ではメール/パスワード認証を利用予定。
現在の取り組み
- 第一フェーズとして、Microsoft Entra ID for Customers を Firebase Authentication の ID プロバイダー として利用することを前提に調査中。
- その中で、Microsoft Entra ID for Customers に契約企業が運用する認証プロバイダー(Auth0)を追加する方法について検討している。
課題
以前の Azure Active Directory B2C では Identity Experience Framework (IEF) により柔軟なカスタマイズが可能だったが、
Microsoft Entra ID for Customers では IEF が利用できなくなったため、以下の点で制約が生じている。
実現したいこと
- ログインフォームにおいて、契約企業が運用する認証プロバイダーを隠蔽したい。
- ログインフォームで顧客にドメインを入力するUIを用意し、入力情報に基づいて
domain_hint
を送信。
- これにより、特定の契約企業に紐づく認証プロバイダー(Auth0など)へ直接ルーティングさせる。
- 一方で、ドメイン入力なしで Microsoft の認証プロバイダーを利用する場合、設定された外部プロバイダー(Auth0 など)を表示しないようにしたい。
- 全ユーザーを事前に Entra ID にアカウント登録し、外部プロバイダーで認証済みのユーザーにはパスワード入力を求めないようにしたい。
- Entra ID にユーザーを事前登録し、ユーザーが Auth0 などの外部プロバイダーで認証を完了した場合、追加のパスワード入力を不要にする。
ご相談内容
上記の要件を実現するために、Microsoft Entra ID for Customers の 制約や回避策 について確認したいです。
特に、以下の点についてアドバイスをいただけますでしょうか?
-
domain_hint
を活用して特定の契約企業に紐づく認証プロバイダー(Auth0)へ直接ルーティングする方法
- 現在の Entra ID for Customers の仕様で
domain_hint
を活用し、適切な認証プロバイダーへ誘導する方法はあるか?
- もし適切な制御が難しい場合、代替の手段はあるか?
- 外部プロバイダーを利用するユーザーにパスワード入力を求めない設定
- Entra ID にユーザーを事前登録することで、外部プロバイダー(Auth0など)での認証成功時にパスワード入力をスキップできるか?
- このような制御を行うための推奨設定や回避策はあるか?
- その他の考慮点
- 上記のような要件を実現する際に、Entra ID for Customers の推奨アプローチやベストプラクティスはあるか?
- 追加で検討すべき制約や仕様上の注意点はあるか?