Microsoft Entra ID for Customers の設定についてのご相談

Question

Microsoft Entra ID for Customers の設定についてのご相談

前提

• 運用している複数のアプリにおいて、会員管理を Firebase Authentication で実施している。
• これらのアプリの会員を統合するために Microsoft Entra ID for Customers を導入予定。
• 一部の契約企業から、自社が運用する認証プロバイダー（Auth0）を通じた認可を希望する要望を受けている。
• Microsoft Entra ID for Customers ではメール/パスワード認証を利用予定。

現在の取り組み

• 第一フェーズとして、Microsoft Entra ID for Customers を Firebase Authentication の ID プロバイダー として利用することを前提に調査中。
• その中で、Microsoft Entra ID for Customers に契約企業が運用する認証プロバイダー（Auth0）を追加する方法について検討している。

課題

以前の Azure Active Directory B2C では Identity Experience Framework (IEF) により柔軟なカスタマイズが可能だったが、

Microsoft Entra ID for Customers では IEF が利用できなくなったため、以下の点で制約が生じている。

実現したいこと

1. ログインフォームにおいて、契約企業が運用する認証プロバイダーを隠蔽したい。
   • ログインフォームで顧客にドメインを入力するUIを用意し、入力情報に基づいて domain_hint を送信。
   • これにより、特定の契約企業に紐づく認証プロバイダー（Auth0など）へ直接ルーティングさせる。
   • 一方で、ドメイン入力なしで Microsoft の認証プロバイダーを利用する場合、設定された外部プロバイダー（Auth0 など）を表示しないようにしたい。
2. 全ユーザーを事前に Entra ID にアカウント登録し、外部プロバイダーで認証済みのユーザーにはパスワード入力を求めないようにしたい。
   • Entra ID にユーザーを事前登録し、ユーザーが Auth0 などの外部プロバイダーで認証を完了した場合、追加のパスワード入力を不要にする。

ご相談内容

上記の要件を実現するために、Microsoft Entra ID for Customers の 制約や回避策 について確認したいです。

特に、以下の点についてアドバイスをいただけますでしょうか？

1. domain_hint を活用して特定の契約企業に紐づく認証プロバイダー（Auth0）へ直接ルーティングする方法
   • 現在の Entra ID for Customers の仕様で domain_hint を活用し、適切な認証プロバイダーへ誘導する方法はあるか？
   • もし適切な制御が難しい場合、代替の手段はあるか？
2. 外部プロバイダーを利用するユーザーにパスワード入力を求めない設定
   • Entra ID にユーザーを事前登録することで、外部プロバイダー（Auth0など）での認証成功時にパスワード入力をスキップできるか？
   • このような制御を行うための推奨設定や回避策はあるか？
3. その他の考慮点
   • 上記のような要件を実現する際に、Entra ID for Customers の推奨アプローチやベストプラクティスはあるか？
   • 追加で検討すべき制約や仕様上の注意点はあるか？