Azure Active Directory B2C の開発者向けのメモ
Azure Active Directory B2C のユーザー フローとカスタム ポリシーが一般提供されました。 Azure AD B2C 機能は継続的に開発されているので、ほとんどの機能は一般提供されていますが、一部の機能はソフトウェア リリース サイクルの異なる段階にあります。 この記事では、Azure AD B2C の累積的な改善について説明し、機能の可用性を指定します。
パブリック プレビュー段階の機能に対する使用条件
パブリック プレビュー機能の使用は、評価目的のみで使用することが推奨されています。
サービス レベル アグリーメント (SLA) はパブリック プレビュー機能には適用されません。
パブリック プレビュー機能に対するサポート要求は、通常のサポート チャネルを通じて提出できます。
ユーザー フロー
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| メールとパスワードによるサインアップとサインイン。 | GA | GA | |
| ユーザー名とパスワードによるサインアップとサインイン。 | GA | GA | |
| プロファイル編集フロー | GA | GA | |
| セルフサービス パスワード リセット | GA | GA | |
| パスワードの強制的なリセット | GA | NA | |
| セルフサービス パスワード リセット | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| パスワードの強制的なリセット | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 電話によるサインアップとサインイン | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| スマート ロックアウト | GA | GA | |
| 条件付きアクセスと ID 保護 | GA | GA | SAML アプリケーションでは使用できません。 制限付き CA 機能は、中国のクラウドで利用できます。 Identity Protection は、中国のクラウドでは使用できません。 |
| キャプチャ | プレビュー | プレビュー | ローカル アカウントのサインアップまたはサインイン中に有効にすることができます。 |
OAuth 2.0 アプリケーション認可フロー
Azure AD B2C と連携できる OAuth 2.0 および OpenId Connect アプリケーションの認証フローを、次の表にまとめています。
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| 承認コード | GA | GA | ユーザーが Web アプリケーションにサインインできます。 Web アプリケーションで認可コードを受け取ります。 承認コードと引き換えに、Web API を呼び出すためのトークンを取得します。 |
| 認可コードと PKCE | GA | GA | ユーザーが、モバイルおよびシングルページ アプリケーションにサインインできます。 アプリケーションで Proof Key for Code Exchange (PKCE) を使用して認可コードを受け取ります。 承認コードと引き換えに、Web API を呼び出すためのトークンを取得します。 |
| クライアントの資格情報フロー | プレビュー | プレビュー | アプリケーションの ID を使用して Web 上のリソースにアクセスできます。 バックグラウンドでの実行が必要なサーバー間の相互作用に使用され、ユーザーとの即時の相互動作は必要ありません。 |
| デバイス認可付与 | NA | NA | ユーザーは、スマート TV、IoT デバイス、プリンターなどの入力制限のあるデバイスにサインインできます。 |
| 暗黙的なフロー | GA | GA | ユーザーがシングルページ アプリケーションにサインインできます。 バック エンド サーバーと資格情報のやりとりをせずに、アプリで使用するトークンを直接取得します。 |
| On-Behalf-Of | NA | NA | アプリケーションでサービスまたは Web API を呼び出し、それがさらに別のサービスまたは Web API を呼び出す必要があります。 中間層のサービスから下流のサービスに対して認証要求を行うには、"クライアント資格情報" トークンを認可ヘッダーに埋め込みます。 必要に応じて、Azure AD B2C ユーザーのトークンを含むカスタム ヘッダーも使用できます。 |
| OpenID Connect | GA | GA | OpenID Connect には、ID トークンの概念が導入されています。ID トークンとは、クライアントがユーザーの本人性を確認できるセキュリティ トークンです。 |
| OpenId Connect ハイブリッド フロー | GA | GA | Web アプリケーションから認可要求を行って ID トークンと認可コードを取得できます。 |
| リソース所有者のパスワード資格情報 (ROPC) | GA | GA | モバイル アプリケーションで直接パスワードを処理して、ユーザーをサインインさせることができます。 |
| サインアウト | GA | GA | |
| シングル サインアウト | NA | プレビュー |
OAuth 2.0 のオプション
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| サインインをソーシャル プロバイダーにリダイレクトする | GA | GA | クエリ文字列パラメーター domain_hint。 |
| サインイン名を事前入力する | GA | GA | クエリ文字列パラメーター login_hint。 |
client_assertion を使用して JSON をユーザー体験に挿入 |
NA | 非推奨 | |
| id_token_hint として JSON をユーザー体験に挿入する | NA | GA | |
| ID プロバイダー トークンをアプリケーションに渡す | プレビュー | プレビュー | 例: Facebook からアプリへ。 |
| サインインしたままにする (KMSI) | GA | GA |
SAML2 アプリケーションの認証フロー
Azure AD B2C と連携できる Security Assertion Markup Language (SAML) アプリケーションの認証フローを、次の表にまとめています。
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| SP 開始 | NA | GA | POST とリダイレクトのバインディング。 |
| IDP 開始 | NA | GA | ID プロバイダーは Azure AD B2C です。 |
ユーザー エクスペリエンスのカスタマイズ
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| 複数言語のサポート | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| カスタム ドメイン | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| カスタム メール確認 | NA | GA | |
| 組み込みテンプレートを使用したユーザー インターフェイスのカスタマイズ | GA | GA | |
| カスタム テンプレートを使用したユーザー インターフェイスのカスタマイズ | GA | GA | HTML テンプレートを使用します。 |
| ページ レイアウト バージョン | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| JavaScript | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 埋め込みサインイン エクスペリエンス | NA | プレビュー | インライン フレーム要素の <iframe> を使用します。 |
| パスワードの複雑さ | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| メールの確認を無効にする | GA | GA | 運用環境での使用はお勧めしません。 サインアップ プロセスでの電子メールの検証を無効にすると、スパムにつながる場合があります。 |
ID プロバイダー
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| AD FS | NA | GA | |
| Amazon | GA | GA | |
| Apple | GA | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| Microsoft Entra ID (シングルテナント) | GA | GA | |
| Microsoft Entra ID (マルチテナント) | NA | GA | |
| Azure AD B2C | GA | GA | |
| eBay | NA | プレビュー | |
| GA | GA | ||
| GitHub | プレビュー | GA | |
| GA | GA | ||
| ID.me | GA | GA | |
| GA | GA | ||
| Microsoft アカウント | GA | GA | |
| プレビュー | GA | ||
| Salesforce | GA | GA | |
| Salesforce (SAML プロトコル) | NA | GA | |
| GA | GA | ||
| プレビュー | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 | |
| プレビュー | GA |
汎用の ID プロバイダー
| 機能 | ユーザー フロー | カスタム ポリシー | Notes |
|---|---|---|---|
| OAuth2 | NA | GA | たとえば、Google、GitHub、Facebook などです。 |
| OAuth1 | NA | GA | たとえば、「Twitter」とします。 |
| OpenID Connect | GA | GA | たとえば、Microsoft Entra ID です。 |
| SAML2 | NA | GA | たとえば、Salesforce と AD-FS などです。 |
| WSFED | NA | NA |
API コネクタ
| 機能 | ユーザー フロー | カスタム ポリシー | メモ |
|---|---|---|---|
| サインアップ時に ID プロバイダーとのフェデレーションを行った後 | GA | GA | |
| ユーザーを作成する前 | GA | GA | |
| トークンにアプリケーション要求を含める前 | プレビュー | GA | |
| 基本認証を使用したセキュリティ保護 | GA | GA | |
| クライアント証明書認証を使用したセキュリティ保護 | GA | GA | |
| OAuth2 ベアラー認証を使用したセキュリティ保護 | NA | GA | |
| API キー認証のセキュリティ保護 | NA | GA |
カスタム ポリシー機能
セッションの管理
| 機能 | カスタム ポリシー | Notes |
|---|---|---|
| 既定の SSO セッション プロバイダー | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| 外部ログイン セッション プロバイダー | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| SAML SSO セッション プロバイダー | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| OAuth SSO セッション プロバイダー | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
コンポーネント
| 機能 | カスタム ポリシー | Notes |
|---|---|---|
| 認証アプリで時間ベースのワンタイム パスワード (TOTP) を使用する MFA | GA | ユーザーは、TOTP 検証をサポートする任意の認証アプリ (Microsoft Authenticator アプリなど) を使用できます。 |
| 電話要素認証 | GA | 中国のクラウドで使用できますが、カスタム ポリシーでのみ使用できます。 |
| Microsoft Entra 多要素認証 | GA | |
| ワンタイム パスワード | GA | |
| ローカル ディレクトリとしての Microsoft EntraID | GA | |
| 述語の検証 | GA | 例: パスワードの複雑さ。 |
| 表示コントロール | GA | |
| サブ体験 | GA |
開発者向けインターフェイス
| 機能 | カスタム ポリシー | Notes |
|---|---|---|
| Azure portal | GA | |
| Application Insights のユーザー体験ログ | プレビュー | 開発中のトラブルシューティングに使用される。 |
| Application Insights のイベント ログ | プレビュー | 運用環境でユーザー フローとカスタム ポリシーを監視するために使用されます。 |
その他の機能
| 機能 | Status | Notes |
|---|---|---|
| Go-Local アドオン | GA | Azure AD B2C の Go-Local アドオンを使用すると、Azure AD B2C の作成時に選択した国/リージョン内に Azure AD B2C テナントを作成できます。 |
カスタム ポリシー機能セット開発者の責任
手動のポリシー構成で付与される Azure AD B2C の基になるプラットフォームへのアクセス レベルは低くなるため、信頼できる一意のフレームワークが作成されます。 カスタム ID プロバイダー、信頼関係、外部サービスとの統合、ステップバイステップのワークフローの起こり得る多くの配列には、設計および構成に対する系統的なアプローチが必要です。
カスタム ポリシーの機能セットを使用する開発者は、次のガイドラインに従う必要があります。
- カスタム ポリシーとキー/シークレット管理の構成言語について理解を深める。 詳細については、「TrustFrameworkPolicy」を参照してください。
- シナリオおよびカスタム統合の主導権を得る。 ご自分の作業内容を文書化し、ライブ サイト組織に通知します。
- シナリオの体系的なテストを実行する。
- ソフトウェア開発とステージングのベスト プラクティスに従ってください。 少なくとも 1 つの開発およびテスト環境が推奨されます。
- ID プロバイダーによる新しい開発と、統合するサービスに関する情報を常に入手する。 たとえば、シークレットの変更や、サービスの予定された変更と予定外の変更を把握します。
- アクティブな監視を設定し、運用環境の応答性を監視する。 Application Insights との統合の詳細については、Azure Active Directory B2C: ログの収集に関するページを参照してください。
- Azure サブスクリプションの連絡先のメール アドレスを最新に保ち、Microsoft のライブ サイト チームのメールに対応できるようにしておく。
- Microsoft ライブ サイト チームからのアドバイスがあった場合に、すぐに対処する。
次のステップ
- Azure AD B2C に使用可能な Microsoft Graph 操作を確認します。
- カスタム ポリシーについて、およびユーザー フローとの違いについて学習します。