Azure Active Directory B2C で特定の Azure Active Directory 組織用のサインインを設定する

この記事では、Azure AD B2C のユーザー フローを使用して、特定の Azure AD 組織のユーザーがサインインできるようにする方法について説明します。

開始する前に、[ポリシーの種類の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

注意

Azure Active Directory B2C で、カスタム ポリシーは、主に、複雑なシナリオに取り組む用途向けに設計されています。 ほとんどのシナリオで、組み込みユーザー フローを使用することをお勧めします。 まだ行っていない場合は、Active Directory B2C でのカスタム ポリシーの概要に関する記事で、カスタム ポリシー スターター パックの詳細を確認してください。

前提条件

• ユーザー フローを作成して、ユーザーがアプリケーションにサインアップおよびサインインできるようにします。
• Web アプリケーションを登録します。

• 「Active Directory B2C でのカスタム ポリシーの概要」にある手順を完了します。
• Web アプリケーションを登録します。

アプリケーションのパブリッシャー ドメインを検証する

2020 年 11 月現在、新しいアプリケーション登録は、アプリケーションの発行元ドメインが検証済み"かつ"会社の ID が Microsoft Partner Network で検証され、アプリケーションに関連付けられている場合を除き、ユーザーの同意プロンプトで未検証として表示されます。 (この変更の詳細についてはこちらを参照してください)。Azure AD B2C ユーザー フローの場合、発行元のドメインは、Microsoft アカウントまたはその他の Azure AD テナントを ID プロバイダーとして使用する場合にのみ表示されることに注意してください。 これらの新しい要件を満たすには、以下を実行します。

1. 自分の Microsoft Partner Network (MPN) アカウントを使用して会社 ID を確認します。 このプロセスにより、会社と会社の主要連絡先に関する情報が検証されます。
2. 発行元の確認プロセスを完了し、次のいずれかのオプションを使用して、MPN アカウントをアプリ登録に関連付けます。
   • Microsoft アカウント ID プロバイダーのアプリの登録が Azure AD テナント内にある場合は、アプリ登録ポータルでアプリを検証します。
   • Microsoft アカウント ID プロバイダーのアプリの登録が Azure AD B2C テナント内にある場合は、Microsoft Graph API を使用して発行元により検証済みとしてアプリをマークします (たとえば、Graph Explorer を使用)。 アプリの検証済み発行元を設定するための UI は、現在、Azure AD B2C テナントでは無効になっています。

Azure AD アプリの登録

Azure Active Directory B2C (Azure AD B2C) で、特定の Azure AD 組織の Azure AD アカウントを持つユーザーのサインインを有効にするには、Azure portal でアプリケーションを作成する必要があります。 詳細については、Microsoft ID プラットフォームにアプリケーションを登録する方法に関するページを参照してください。

1. Azure portal にサインインします。

2. 組織の Azure AD テナント (Contoso など) が含まれているディレクトリを使用していることを確認します。

   1. ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
   2. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD ディレクトリを [ディレクトリ名] リストで見つけ、 [スイッチ] を選択します。

3. Azure portal で、 [Azure Active Directory] を検索して選択します。

4. 左側のメニューの [管理] で、[アプリの登録] を選択します。

5. [+ 新規登録] を選択します。

6. アプリケーションの [名前] を入力します。 たとえば、「 Azure AD B2C App 」のように入力します。

7. このアプリケーションには、 [この組織ディレクトリのみに含まれるアカウント (既定のディレクトリのみ - シングル テナント)] という既定の選択をそのまま使用します。

8. [リダイレクト URL] では、値 [Web] をそのまま使用し、次の URL をすべて小文字で入力します。your-B2C-tenant-name は、お使いの Azure AD B2C テナントの名前に置き換えます。

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   たとえば、「 https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp 」のように入力します。

   カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-domain-name を実際のカスタム ドメインに、your-tenant-name を実際のテナントの名前に置き換えます。

9. [登録] を選択します。 後の手順で使用するために、アプリケーション (クライアント) ID を記録しておきます。

10. [証明書 シークレット] を選択してから、[新しいクライアント シークレット] を選択します。

11. シークレットの説明を入力し、有効期限を選択して、 [追加] を選択します。 後の手順で使用するために、シークレットの値を記録しておきます。

Azure AD を ID プロバイダーとして構成する

1. Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。

2. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD B2C ディレクトリを [ディレクトリ名] リストで見つけ、 [Switch] を選択します。

3. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。

4. [ID プロバイダー] を選択してから、 [新しい OpenID Connect プロバイダー ] を選択します。

5. [名前] を入力します。 たとえば､「Contoso Azure AD」と入力します。

6. [メタデータ URL] には、次の URL を入力します。{tenant} は、利用する Azure AD テナントのドメイン名に置き換えます。

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

たとえば、「 https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration 」のように入力します。 カスタム ドメインを使用する場合は、https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration に自分のカスタム ドメインを入れて contoso.com を置き換えます。

1. [クライアント ID] には、前に記録したアプリケーション ID を入力します。

2. [クライアント シークレット] に、以前にメモした "クライアント シークレット" の値を入力します。

3. [スコープ] には、「openid profile」と入力します。

4. [応答の種類] および [応答モード] の既定値はそのままにします。

5. (省略可能) [ドメインのヒント] に、「contoso.com」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。

6. [ID プロバイダー要求のマッピング] で、次の要求を入力します。

   • [ユーザー ID] : oid
   • [表示名] : name
   • [名] : given_name
   • [姓] : family_name
   • [電子メール] : email

7. [保存] を選択します。

ユーザー フローに Azure AD ID プロバイダーを追加する

この時点では、Azure AD ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 ユーザー フローに Azure AD ID プロバイダーを追加するには:

1. Azure AD B2C テナントで、 [ユーザー フロー] を選択します。
2. Azure AD ID プロバイダーを追加するユーザー フローをクリックします。
3. [設定] で [ID プロバイダー] を選択します
4. [カスタム ID プロバイダー] で [Contoso Azure AD] を選択します。
5. [保存] を選択します。
6. ポリシーをテストするには、 [ユーザー フローを実行します] を選択します。
7. [アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL] に https://jwt.ms と表示されます。
8. [ユーザー フローを実行します] ボタンを選択します。
9. サインアップまたはサインイン ページで、 [Contoso Azure AD] を選択し、Azure AD Contoso アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

ポリシー キーを作成する

作成したアプリケーション キーを Azure AD B2C テナントに格納する必要があります。

1. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
2. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD B2C ディレクトリを [ディレクトリ名] リストで見つけ、 [Switch] を選択します。
3. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
4. [ポリシー] で [Identity Experience Framework] を選択します。
5. [ポリシー キー] を選択し、 [追加] を選択します。
6. オプションについては、Manualを選択します。
7. ポリシー キーの名前を入力します。 たとえば、「 ContosoAppSecret 」のように入力します。 作成時に、プレフィックス B2C_1A_ がキーの名前に自動的に追加されるため、次のセクションの XML での参照は B2C_1A_ContosoAppSecret になります。
8. [シークレット] に、前に記録したクライアント シークレット値を入力します。
9. [キー使用法] として [Signature] を選択します。
10. ［作成］ を選択します

Azure AD を ID プロバイダーとして構成する

ユーザーが Azure AD アカウントを使用してサインインできるようにするには、エンドポイント経由で Azure AD B2C が通信できるクレーム プロバイダーとして Azure AD を定義する必要があります。 エンドポイントは、特定のユーザーが認証されていることを確認するために Azure AD B2C で使う一連の要求を提供します。

ポリシーの拡張ファイル内で Azure AD を ClaimsProvider 要素に追加することで、Azure AD をクレーム プロバイダーとして定義できます。

1. TrustFrameworkExtensions.xml ファイルを開きます。

2. ClaimsProviders 要素を見つけます。 存在しない場合は、それをルート要素の下に追加します。

3. 新しい ClaimsProvider を次のように追加します。

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. ClaimsProvider 要素の下で、Domain の値を、他の ID プロバイダーと区別するために使用できる一意の値に更新します。 たとえば、「 Contoso 」のように指定します。 .com はこのドメイン設定の最後に配置しません。

5. ClaimsProvider 要素の下で、DisplayName の値を、クレーム プロバイダーを表すわかりやすい名前に更新します。 この値は現在使用されていません。

技術プロファイルの更新

Azure AD エンドポイントからトークンを取得するには、Azure AD B2C で Azure AD との通信に使用するプロトコルを定義する必要があります。 これは、ClaimsProvider の TechnicalProfile 要素の中で実行します。

1. TechnicalProfile 要素の ID を更新します。 この ID は、AADContoso-OpenIdConnect など、ポリシーの他の部分からこの技術プロファイルを参照するために使用します。
2. DisplayName の値を更新します。 この値は、サインイン画面のサインイン ボタン上に表示されます。
3. Description の値を更新します。
4. Azure AD では OpenID Connect プロトコルを使用するため、Protocol の値が OpenIdConnect になっていることを確認してください。
5. METADATA の値を https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration に設定します。tenant-name は Azure AD テナント名です。 たとえば、https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration のように指定します。
6. client_id を、アプリケーションの登録で取得したアプリケーション ID に設定します。
7. CryptographicKeys で、StorageReferenceId の値を、前に作成したポリシー キーの名前に更新します。 たとえば、「 B2C_1A_ContosoAppSecret 」のように入力します。

ユーザー体験を追加する

この時点では、ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成してください。そうでない場合は、次の手順に進みます。

1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
2. Id="SignUpOrSignIn" を含む UserJourney 要素を見つけ、その内容全体をコピーします。
3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は追加します。
4. コピーした UserJourney 要素の内容全体を UserJourneys 要素の子として貼り付けます。
5. ユーザー体験の ID の名前を変更します。 たとえば、「 Id="CustomSignUpSignIn" 」のように入力します。

ユーザー体験に ID プロバイダーを追加する

これでユーザー体験ができたので、ユーザー体験に新しい ID プロバイダーを追加します。 最初にサインイン ボタンを追加してから、ボタンをアクションにリンクします。 アクションは、前に作成した技術プロファイルです。

1. ユーザー体験内で、Type="CombinedSignInAndSignUp" または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 これは通常、最初のオーケストレーション ステップです。 ClaimsProviderSelections 要素には、ユーザーがサインインに使用できる ID プロバイダーの一覧が含まれています。 要素の順序により、ユーザーに表示されるサインイン ボタンの順序が制御されます。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

2. 次のオーケストレーション ステップで、ClaimsExchange 要素を追加します。 ID を、ターゲットの要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、前に作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション ステップを示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

証明書利用者ポリシーを構成する

証明書利用者ポリシー (例 SignUpSignIn.xml) は、Azure AD B2C が実行されるユーザー体験を指定します。 証明書利用者内の DefaultUserJourney 要素を検索します。 ID プロバイダーを追加したユーザー体験 ID と一致するように ReferenceId を更新します。

次の例では、CustomSignUpSignIn ユーザー体験について、ReferenceId を CustomSignUpSignIn に設定しています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

1. Azure portal にサインインします。
2. ポータル ツール バーにある [ディレクトリ + サブスクリプション] アイコンを選択し、Azure AD B2C テナントを含むディレクトリを選択します。
3. Azure portal で、 [Azure AD B2C] を検索して選択します。
4. [ポリシー] で [Identity Experience Framework] を選択します。
5. [カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを拡張ポリシー (TrustFrameworkExtensions.xml など)、証明書利用者ポリシー (SignUpSignIn.xmlなど) の順序でアップロードします。

カスタム ポリシーのテスト

1. 証明書利用者ポリシー (B2C_1A_signup_signin など) を選択します。
2. [アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL] に https://jwt.ms と表示されます。
3. [今すぐ実行] ボタンを選択します。
4. サインアップまたはサインイン ページで、 [Contoso Employee] を選択し、Azure AD Contoso アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

[省略可能] 省略可能な要求の構成

Azure AD から family_name および given_name 要求を取得する場合は、ご利用のアプリケーションに対して省略可能な要求を Azure portal UI またはアプリケーション マニフェストで構成できます。 詳細については、Azure AD アプリに省略可能な要求を提供する方法に関するページを参照してください。

1. 組織の Azure AD テナントを使用して Azure portal にサインインします。 または、既にサインインしている場合は、組織の Azure AD テナント (Contoso など) が含まれているディレクトリを使用していることを確認します。
   1. ポータル ツールバーの [Directories + subscriptions](ディレクトリ + サブスクリプション) アイコンを選択します。
   2. [ポータルの設定] | [Directories + subscriptions](ディレクトリ + サブスクリプション) ページで Azure AD ディレクトリを [ディレクトリ名] リストで見つけ、 [スイッチ] を選択します。
2. Azure portal で、 [Azure Active Directory] を検索して選択します。
3. 左側のメニューの [管理] で、[アプリの登録] を選択します。
4. 省略可能な要求を構成するアプリケーション (Azure AD B2C App など) を一覧から選択します。
5. [管理] セクションで、 [トークン構成] を選択します。
6. [省略可能な要求を追加] を選択します。
7. [トークンの種類] で、 [ID] を選択します。
8. 追加する省略可能な要求 (family_name と given_name) を選択します。
9. [追加] を選択します。 [Turn on the Microsoft Graph profile permission (required for claims to appear in token)] ( Microsoft Graph のプロファイルのアクセス許可を有効にしてください (クレームがトークン内に表示されるために必要)) と表示された場合は、それを有効にしてから、もう一度 [追加] を選びます。

[省略可能] アプリの信頼性を確認する

発行元の確認により、ユーザーは、登録したアプリの信頼性を把握できます。 検証済みアプリは、アプリの発行元が、Microsoft Partner Network (MPN) を使用して ID を検証したことを意味します。 アプリを発行者確認済みとしてマークする方法についてご確認ください。

次のステップ

Azure AD トークンをアプリケーションに渡す方法について学習する。