Azure Active Directory B2C を使用して、ID.me アカウントでサインアップとサインインを設定する

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。

開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

この機能は、カスタム ポリシーでのみ使用できます。 セットアップ手順については、前のセレクターで [カスタム ポリシー] を選択します。

[前提条件]

• 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
• Web アプリを登録していない場合は、Web アプリケーションを登録する手順を使用して Web アプリを登録します。

ID.me アプリケーションを作成する

Azure Active Directory B2C (Azure AD B2C) の ID.me アカウントを持つユーザーのサインインを有効にするには、 API と SDK の ID.me Developer Resources でアプリケーションを作成する必要があります。 詳細については、「 OAuth 統合ガイド」を参照してください。 ID.me 開発者アカウントをまだお持ちでない場合は、 https://developers.id.me/registration/new からサインアップできます。

1. ID.me アカウントの資格情報を使用して、 ID.me Developer Resources for API & SDK にサインインします。
2. [ マイ アプリケーションの表示] を選択し、[ 続行] を選択します。
3. [新規作成] を選択します
   1. [名前] と [表示名] を入力します。
   2. [リダイレクト URI] に「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-tenant-nameをテナントの名前に置き換え、your-domain-nameをカスタム ドメインに置き換えます。
4. [Continue] をクリックします。
5. クライアント ID とクライアント シークレットの値をコピーします。 ID プロバイダーをテナントに追加するには、両方が必要です。

ポリシー キーを作成する

以前に Azure AD B2C テナントに記録したクライアント シークレットを格納する必要があります。

1. Azure portal にサインインします。
2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
3. Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。
4. [概要] ページで、[Identity Experience Framework] を選びます。
5. [ポリシー キー] を選択し、[追加] を選びます。
6. [オプション] で、[Manual] を選択します。
7. ポリシー キーの名前を入力します。 たとえば、IdMeSecret のようにします。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
8. [ シークレット] に、前に記録したクライアント シークレットを入力します。
9. [ キーの使用法] で、[ Signature] を選択します。
10. Create をクリックしてください。

ID.me を ID プロバイダーとして構成する

ユーザーが ID.me アカウントを使用してサインインできるようにするには、Azure AD B2C がエンドポイントを介して通信できる要求プロバイダーとしてアカウントを定義する必要があります。 エンドポイントは、特定のユーザーが認証されたことを確認するために Azure AD B2C によって使用されるクレームのセットを提供します。

ID.me アカウントをクレーム プロバイダーとして定義するには、ポリシーの拡張ファイルの ClaimsProviders 要素にアカウントを追加します。

1. TrustFrameworkExtensions.xmlを開きます。

2. ClaimsProviders 要素を検索します。 存在しない場合は、ルート要素の下に追加します。

3. 次のように新しい ClaimsProvider を追加します。

   <ClaimsProvider>
     <Domain>id.me</Domain>
     <DisplayName>ID.me</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="IdMe-OAuth2">
         <DisplayName>IdMe</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">api.id.me</Item>
           <Item Key="authorization_endpoint">https://api.id.me/oauth/authorize</Item>
           <Item Key="AccessTokenEndpoint">https://api.id.me/oauth/token</Item>
           <Item Key="ClaimsEndpoint">https://api.id.me/api/public/v2/attributes.json</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="scope">openid alumni</Item>
           <Item Key="UsePolicyInRedirectUri">0</Item>
           <!-- Update the Client ID below to the Application ID -->
           <Item Key="client_id">Your ID.me application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_IdMeSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="uuid" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="fname" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="lname" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="me.id.com" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateDisplayNameFromFirstNameAndLastName" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. client_idアプリケーション登録のアプリケーション ID に設定します。

5. ファイルを保存します。

要求変換の追加

次に、displayName 要求を作成するための要求変換が必要です。 次の要求変換を <ClaimsTransformations> 内の <BuildingBlocks> 要素に追加します。

 <ClaimsTransformations>
  <ClaimsTransformation Id="CreateDisplayNameFromFirstNameAndLastName" TransformationMethod="FormatStringMultipleClaims">
    <InputClaims>
      <InputClaim ClaimTypeReferenceId="givenName" TransformationClaimType="inputClaim1" />
      <InputClaim ClaimTypeReferenceId="surName" TransformationClaimType="inputClaim2" />
    </InputClaims>
    <InputParameters>
      <InputParameter Id="stringFormat" DataType="string" Value="{0} {1}" />
    </InputParameters>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" TransformationClaimType="outputClaim" />
    </OutputClaims>
   </ClaimsTransformation>
</ClaimsTransformations>

ユーザー体験を追加する

この時点で、ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成します。それ以外の場合は、次の手順に進みます。

1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
2. を含む Id="SignUpOrSignIn" 要素の内容全体を検索してコピーします。
3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は、要素を追加します。
4. UserJourneys 要素の子としてコピーした UserJourney 要素の内容全体を貼り付けます。
5. ユーザージャーニーの ID を変更します。 たとえば、Id="CustomSignUpSignIn" のようにします。

ID プロバイダーをユーザー体験に追加する

これでユーザー体験が作成されたので、新しい ID プロバイダーをユーザー体験に追加します。 最初にサインイン ボタンを追加し、そのボタンをアクションにリンクします。 あなたが以前に作成した技術プロファイルがこのアクションです。

1. ユーザー体験に Type="CombinedSignInAndSignUp"または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 通常は、オーケストレーションの最初の手順です。 ClaimsProviderSelections 要素には、ユーザーがサインインできる ID プロバイダーの一覧が含まれています。 要素の順序は、ユーザーに表示されるサインイン ボタンの順序を制御します。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

2. 次のオーケストレーション手順で、 ClaimsExchange 要素を追加します。 Id をターゲット要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、先ほど作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション手順を示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdMeExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdMeExchange" TechnicalProfileReferenceId="IdMe-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

依存先パーティーポリシーを構成する

証明書利用者ポリシー ( SignUpSignIn.xmlなど) は、Azure AD B2C が実行するユーザー体験を指定します。 依存するパーティー内で DefaultUserJourney 要素を検索します。 追加した ID プロバイダーのユーザージャーニー ID と一致するように ReferenceId を更新します。

次の例では、 CustomSignUpSignIn ユーザー体験の ReferenceId が CustomSignUpSignInに設定されています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

1. Azure portal にサインインします。
2. ポータル のツール バーで [ディレクトリ + サブスクリプション ] アイコンを選択し、Azure AD B2C テナントが含まれているディレクトリを選択します。
3. Azure portal で、 [Azure AD B2C] を検索して選択します。
4. [ ポリシー] で、[ Identity Experience Framework] を選択します。
5. [ カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを次の順序でアップロードします。拡張機能ポリシー ( TrustFrameworkExtensions.xmlなど)、証明書利用者ポリシー ( SignUpSignIn.xmlなど)。

カスタム ポリシーをテストする

1. 関連パーティポリシー（例: B2C_1A_signup_signin）を選択してください。
2. [ アプリケーション] で、 以前に登録した Web アプリケーションを選択します。 応答 URL にhttps://jwt.msが表示されます。
3. [ 今すぐ実行 ] ボタンを選択します。
4. サインアップ ページまたはサインイン ページで、 ID.me を選択して ID.me アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。