Azure AD B2C を使用して Web API を呼び出す Web アプリで認証オプションを構成する

この記事では、Web API を呼び出す Web アプリケーションの Azure Active Directory B2C (Azure AD B2C) 認証エクスペリエンスをカスタマイズおよび拡張する方法について説明します。 開始する前に、次の記事の内容をご確認ください。

• サンプルの Web アプリケーションで認証を構成する
• 独自の Web アプリケーションで認証を有効にする。

カスタム ドメインの使用

カスタム ドメインを使用すると、認証 URL を完全にブランド化できます。 ユーザーの観点からは、認証プロセスの間、ユーザーは Azure AD B2C b2clogin.com ドメイン名にリダイレクトされるのではなく、ドメインにとどまります。

URL 内の "b2c" へのすべての参照を削除するために、認証要求 URL の B2C テナント名 contoso.onmicrosoft.com をテナント ID GUID に置換することもできます。 たとえば、https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/ を https://account.contosobank.co.uk/<tenant ID GUID>/ に変更できます。

認証 URL でカスタム ドメインとテナント ID を使用するには、カスタム ドメインを有効にする方法に関するページのガイダンスに従ってください。 プロジェクト ルート フォルダーで、appsettings.json ファイルを開きます。 このファイルには、Azure AD B2C ID プロバイダーに関する情報が含まれています。

• Instance エントリをカスタム ドメインで更新します。
• Domain エントリを自分のテナント ID で更新します。 詳しくは、「テナント ID を使用する」をご覧ください。

次の JSON コードは、変更の "前" のアプリの設定を示したものです。

"AzureAdB2C": {
  "Instance": "https://contoso.b2clogin.com",
  "Domain": "tenant-name.onmicrosoft.com",
  ...
}

次の JSON コードは、変更の "後" のアプリの設定を示したものです。

"AzureAdB2C": {
  "Instance": "https://login.contoso.com",
  "Domain": "00000000-0000-0000-0000-000000000000",
  ...
}

高度なシナリオをサポートする

Microsoft ID プラットフォーム API の AddMicrosoftIdentityWebAppAuthentication メソッドを使用すると、開発者は高度な認証シナリオ用のコードを追加したり、OpenIdConnect イベントをサブスクライブしたりできます。 たとえば、OnRedirectToIdentityProvider をサブスクライブすると、アプリから Azure AD B2C に送信される認証要求をカスタマイズできます。

高度なシナリオをサポートするには、Startup.cs ファイルを開き、ConfigureServices 関数で AddMicrosoftIdentityWebAppAuthentication を次のコード スニペットに置き換えます。

// Configuration to sign in users with Azure AD B2C

//services.AddMicrosoftIdentityWebAppAuthentication(Configuration, "AzureAdB2C");

services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApp(options =>
{
    Configuration.Bind("AzureAdB2C", options);
    options.Events ??= new OpenIdConnectEvents();
    options.Events.OnRedirectToIdentityProvider += OnRedirectToIdentityProviderFunc;
});

上記のコードでは、OnRedirectToIdentityProviderFunc メソッドへの参照を含む OnRedirectToIdentityProvider イベントを追加しています。 Startup.cs クラスに、次のコード スニペットを追加します。

private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
    // Custom code here
    
    // Don't remove this line
    await Task.CompletedTask.ConfigureAwait(false);
}

コンテキスト パラメーターを使用して、コントローラーと OnRedirectToIdentityProvider 関数の間でパラメーターを渡すことができます。

サインイン名を事前入力する

サインイン ユーザー体験中に、アプリが特定のユーザーをターゲットにする場合があります。 アプリがユーザーを対象とする場合は、認証要求にユーザーのサインイン名を含む login_hint クエリ パラメーターを指定できます。 Azure AD B2C によってサインイン名が自動的に入力されるので、ユーザーはパスワードを入力するだけで済みます。

サインイン名を事前入力するには、次の手順を実行します。

1. カスタム ポリシーを使用している場合は、直接サインインの設定に関する記事の説明に従って、必要な入力要求を追加します。

2. 「高度なシナリオをサポートする」の手順を完了します。

3. OnRedirectToIdentityProvider 関数に次のコード行を追加します。

   private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
   {
     context.ProtocolMessage.LoginHint = "emily@contoso.com";
   
     // More code
     await Task.CompletedTask.ConfigureAwait(false);
   }
   

ID プロバイダーを事前に選択する

Facebook、LinkedIn、Google などのソーシャル アカウントを含むようにアプリケーションのサインイン プロセスを構成した場合は、domain_hint パラメーターを指定できます。 このクエリ パラメーターは、サインインに使用する必要があるソーシャル ID プロバイダーに関するヒントを Azure AD B2C に提供します。 たとえば、アプリケーションで domain_hint=facebook.com を指定した場合、サインイン フローで Facebook のサインイン ページに直接移動します。

外部 ID プロバイダーにユーザーをリダイレクトするには、以下を実行します。

1. 外部 ID プロバイダーのドメイン名を確認します。 詳細については、「サインインをソーシャル プロバイダーにリダイレクトする」を参照してください。

2. 「高度なシナリオをサポートする」の手順を完了します。

3. OnRedirectToIdentityProviderFunc 関数で、OnRedirectToIdentityProvider 関数に次のコード行を追加します。

   private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
   {
     context.ProtocolMessage.DomainHint = "facebook.com";
   
     // More code
     await Task.CompletedTask.ConfigureAwait(false);
   }
   

UI 言語を指定する

Azure AD B2C の言語のカスタマイズを使用すると、ユーザー フローで、顧客のニーズに合わせてさまざまな言語に対応できます。 詳細については、言語のカスタマイズに関する記事を参照してください。

優先する言語を設定するには、次のようにします。

1. 言語のカスタマイズを構成します。

2. 「高度なシナリオをサポートする」の手順を完了します。

3. OnRedirectToIdentityProvider 関数に次のコード行を追加します。

   private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
   {
     context.ProtocolMessage.UiLocales = "es";
   
     // More code
     await Task.CompletedTask.ConfigureAwait(false);
   }
   

カスタム クエリ文字列パラメーターを渡す

カスタム ポリシーを利用するとき、カスタム クエリ文字列パラメーターを渡すことができます。 ページ コンテンツを動的に変化させるときにお勧めです。

カスタム クエリ文字列パラメーターを渡すには、次の手順に従います。

1. ContentDefinitionParameters 要素を構成します。

2. 「高度なシナリオをサポートする」の手順を完了します。

3. OnRedirectToIdentityProvider 関数に次のコード行を追加します。

   private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
   {
     context.ProtocolMessage.Parameters.Add("campaignId", "123");
   
     // More code
     await Task.CompletedTask.ConfigureAwait(false);
   }
   

ID トークン ヒントを渡す

証明書利用者アプリケーションからは、OAuth2 認可要求の一部としてインバウンド JSON Web トークン (JWT) を送信できます。 インバウンド トークンは、ユーザーまたは認可要求に関するヒントです。 Azure AD B2C によってトークンが検証された後、クレームが抽出されます。

認証要求に ID トークン ヒントを含めるには、次のようにします。

1. 「高度なシナリオをサポートする」の手順を完了します。

2. カスタム ポリシーで、ID トークン ヒントの技術プロファイルを定義します。

3. OnRedirectToIdentityProvider 関数に次のコード行を追加します。

   private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
   {
     // The idTokenHint variable holds your ID token 
     context.ProtocolMessage.IdTokenHint = idTokenHint
   
     // More code
     await Task.CompletedTask.ConfigureAwait(false);
   }
   

アカウント コントローラー

"サインイン"、"サインアップ"、または "サインアウト" のアクションをカスタマイズする場合は、独自のコントローラーを作成することをお勧めします。 独自のコントローラーを作成すると、コントローラーと認証ライブラリの間でパラメーターを渡すことができます。 AccountController は Microsoft.Identity.Web.UI NuGet パッケージの一部であり、サインインおよびサインアウト アクションを処理します。 その実装は、Microsoft Identity Web ライブラリで確認できます。

次のコード スニペットは、SignIn アクションでのカスタム MyAccountController を示しています。 このアクションでは、campaign_id という名前のパラメーターを認証ライブラリに渡します。

using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.OpenIdConnect;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;


namespace mywebapp.Controllers
{
    [AllowAnonymous]
    [Area("MicrosoftIdentity")]
    [Route("[area]/[controller]/[action]")]
    public class MyAccountController : Controller
    {

        [HttpGet("{scheme?}")]
        public IActionResult SignIn([FromRoute] string scheme)
        {
            scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
            var redirectUrl = Url.Content("~/");
            var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
            properties.Items["campaign_id"] = "1234";
            return Challenge(properties, scheme);
        }

    }
}

_LoginPartial.cshtml ビューで、コントローラーへのサインイン リンクを変更します

<form method="get" asp-area="MicrosoftIdentity" asp-controller="MyAccount" asp-action="SignIn">

Startup.cs の呼び出しの OnRedirectToIdentityProvider で、カスタム パラメーターを読み取ることができます。

private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
    // Read the custom parameter
    var campaign_id = (context.Properties.Items.ContainsKey("campaign_id"))
    
    // Add your custom code here
    
    await Task.CompletedTask.ConfigureAwait(false);
}

ロールベースのアクセス制御

ASP.NET Core での認可では、ロールベースの認可、クレームベースの認可、またはポリシーベースの認可を使用して、ユーザーが保護されたリソースへのアクセスを承認されているかどうかを確認できます。

ConfigureServices メソッドで、認可モデルを追加する AddAuthorization メソッドを追加します。 次の例では、EmployeeOnly という名前のポリシーを作成します。 このポリシーでは、クレームの EmployeeNumber が存在するかどうかが確認されます。 クレームの値は、1、2、3、4、5 のいずれかの ID である必要があります。

services.AddAuthorization(options =>
    {
        options.AddPolicy("EmployeeOnly", policy =>
              policy.RequireClaim("EmployeeNumber", "1", "2", "3", "4", "5"));
    });

ASP.NET Core での認可を制御するには、AuthorizeAttribute とそのさまざまなパラメーターを使用します。 [Authorize] 属性の最も基本的な形式をコントローラー、アクション、または Razor ページに適用すると、そのコンポーネントの認証済みユーザーにアクセスが制限されます。

コントローラーにポリシーを適用するには、[Authorize] 属性とポリシー名を使用します。 次のコードでは、Claims アクションへのアクセスが、EmployeeOnly ポリシーによって認可されたユーザーに制限されます。

[Authorize(Policy = "EmployeeOnly")]
public IActionResult Claims()
{
    return View();
}

次のステップ

詳細については、「ASP.NET Core での認可の概要」を参照してください。