Azure Active Directory B2C を使用して PingOne アカウントでサインアップとサインインを設定する

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。

開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

[前提条件]

• ユーザーが サインアップしてアプリケーションにサインインできるように、ユーザー フローを作成します。
• Web アプリケーションを登録します。

• 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
• Web アプリケーションを登録します。

PingOne アプリケーションを作成する

Azure Active Directory B2C (Azure AD B2C) で PingOne (Ping ID) アカウントを持つユーザーのサインインを有効にするには、Ping ID 管理者コンソールでアプリケーションを作成する必要があります。 PingOne アカウントをまだお持ちでない場合は、 https://admin.pingone.com/web-portal/registerでサインアップできます。

1. PingOne アカウントの資格情報を使用して、Ping ID 管理者コンソールにサインインします。
2. ページの左側のメニューで [ 接続] を選択し、[ アプリケーション] の横にある [ +] を選択します。
3. [ 新しいアプリケーション ] ページで Web アプリを選択し、 OIDC で [ 構成] を選択します。
4. アプリケーション名を入力し、[次へ] を選択します。
5. [リダイレクト URL] に「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-domain-name をカスタム ドメインに置き換え、your-tenant-name をテナントの名前に置き換えます。 テナントが Azure AD B2C で大文字で定義されている場合でも、テナント名を入力するときは、すべて小文字を使用します。
6. [Save and Continue](保存して続行) を選択します。
7. [スコープ] で電子メールとプロファイルを選択し、[保存して続行] を選択します。
8. [ OIDC 属性] ページで 、[ 保存して閉じる] を選択します。
9. アプリケーションの一覧から、作成したアプリケーションを選択します。
10. アプリケーション プロファイル ページで、次の操作を行います。
    1. アプリケーション名の横にある [切り替え] ボタンを使用してアプリを有効にします。
    2. クライアント ID の値をコピーします。
11. [ 構成 ] タブを選択し、次の操作を行います。
    1. OIDC 検出エンドポイントをコピーします。
    2. クライアント シークレットを表示してコピーします。
    3. 編集するモードを変更します。 次に、[トークン エンドポイント認証方法] で値を [クライアント シークレット ポスト] に変更し、[保存] を選択します。

PingOne を ID プロバイダーとして構成する

1. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

2. Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。

3. [ID プロバイダー] を選択し、[新しい OpenID Connect プロバイダー] を選択します。

4. 名前を入力します。 たとえば、「 PingOne」と入力します。

5. [メタデータ URL] に、前に記録した OIDC DISCOVERY ENDPOINT を入力します。 例えば次が挙げられます。

   https://auth.pingone.eu/00000000-0000-0000-0000-000000000000/as/.well-known/openid-configuration
   

6. [クライアント ID] に、前に記録したクライアント ID を入力します。

7. クライアント シークレットのには、前に記録したクライアント シークレットを入力します。

8. [ スコープ] に「 openid email profile」と入力します。

9. [応答の種類] と [応答モード] の既定値のままにします。

10. (省略可能) ドメイン ヒントに「 pingone.com」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。

11. [ ID プロバイダー要求マッピング] で、次の要求を選択します。

    • ユーザー ID: sub
    • 表示名: 名前
    • 指定された名前: given_name
    • 姓: family_name
    • 電子メール: 電子メール

12. 保存 を選択します。

PingOne ID プロバイダーをユーザー フローに追加する

この時点で、PingOne ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 PingOne ID プロバイダーをユーザー フローに追加するには:

1. Azure AD B2C テナントで、[ ユーザー フロー] を選択します。
2. PingOne ID プロバイダーを追加するユーザー フローをクリックします。
3. ソーシャル ID プロバイダーで、PingOne を選択します。
4. 保存 を選択します。
5. ポリシーをテストするには、[ ユーザー フローの実行] を選択します。
6. [アプリケーション] で、以前に登録した testapp1 という名前の Web アプリケーションを選択します。 応答 URL にhttps://jwt.msが表示されます。
7. [ ユーザー フローの実行 ] ボタンを選択します。
8. サインアップまたはサインイン ページで、 PingOne を選択して PingOne アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。

ポリシー キーを作成する

以前に Azure AD B2C テナントに記録したクライアント シークレットを格納する必要があります。

1. Azure portal にサインインします。
2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
3. Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。
4. [概要] ページで、[Identity Experience Framework] を選びます。
5. [ポリシー キー] を選択し、[追加] を選びます。
6. [オプション] で、[Manual] を選択します。
7. ポリシー キーの名前を入力します。 たとえば、PingOneSecret のようにします。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
8. [ シークレット] に、前に記録したクライアント シークレットを入力します。
9. [ キーの使用法] で、[ Signature] を選択します。
10. Create をクリックしてください。

PingOne を ID プロバイダーとして構成する

ユーザーが PingOne アカウントを使用してサインインできるようにするには、Azure AD B2C がエンドポイントを介して通信できるクレーム プロバイダーとしてアカウントを定義する必要があります。 エンドポイントは、特定のユーザーが認証されたことを確認するために Azure AD B2C によって使用されるクレームのセットを提供します。

PingOne アカウントをクレーム プロバイダーとして定義するには、ポリシーの拡張ファイルの ClaimsProviders 要素に追加します。

1. TrustFrameworkExtensions.xmlを開きます。

2. ClaimsProviders 要素を検索します。 存在しない場合は、ルート要素の下に追加します。

3. 次のように新しい ClaimsProvider を追加します。

   <ClaimsProvider>
     <Domain>pingone.com</Domain>
     <DisplayName>PingOne</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="PingOne-OpenIdConnect">
         <DisplayName>Ping Identity</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">Your PingOne OIDC discovery endpoint</Item>
           <Item Key="client_id">Your PingOne client ID</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">0</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_PingOneSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. METADATA メタデータを PingOne OIDC 検出エンドポイントに設定します。

5. client_idメタデータを PingOne クライアント ID に設定します。

6. ファイルを保存します。

ユーザー体験を追加する

この時点で、ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成します。それ以外の場合は、次の手順に進みます。

1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
2. を含む Id="SignUpOrSignIn" 要素の内容全体を検索してコピーします。
3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は、要素を追加します。
4. UserJourneys 要素の子としてコピーした UserJourney 要素の内容全体を貼り付けます。
5. ユーザージャーニーの ID を変更します。 たとえば、Id="CustomSignUpSignIn" のようにします。

ID プロバイダーをユーザー体験に追加する

これでユーザー体験が作成されたので、新しい ID プロバイダーをユーザー体験に追加します。 最初にサインイン ボタンを追加し、そのボタンをアクションにリンクします。 あなたが以前に作成した技術プロファイルがこのアクションです。

1. ユーザー体験に Type="CombinedSignInAndSignUp"または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 通常は、オーケストレーションの最初の手順です。 ClaimsProviderSelections 要素には、ユーザーがサインインできる ID プロバイダーの一覧が含まれています。 要素の順序は、ユーザーに表示されるサインイン ボタンの順序を制御します。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

2. 次のオーケストレーション手順で、 ClaimsExchange 要素を追加します。 Id をターゲット要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、先ほど作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション手順を示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="PingOneExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="PingOneExchange" TechnicalProfileReferenceId="PingOne-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

依存先パーティーポリシーを構成する

証明書利用者ポリシー ( SignUpSignIn.xmlなど) は、Azure AD B2C が実行するユーザー体験を指定します。 依存するパーティー内で DefaultUserJourney 要素を検索します。 追加した ID プロバイダーのユーザージャーニー ID と一致するように ReferenceId を更新します。

次の例では、 CustomSignUpSignIn ユーザー体験の ReferenceId が CustomSignUpSignInに設定されています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

1. Azure portal にサインインします。
2. ポータル のツール バーで [ディレクトリ + サブスクリプション ] アイコンを選択し、Azure AD B2C テナントが含まれているディレクトリを選択します。
3. Azure portal で、 [Azure AD B2C] を検索して選択します。
4. [ ポリシー] で、[ Identity Experience Framework] を選択します。
5. [ カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを次の順序でアップロードします。拡張機能ポリシー ( TrustFrameworkExtensions.xmlなど)、証明書利用者ポリシー ( SignUpSignIn.xmlなど)。

カスタム ポリシーをテストする

1. 関連パーティポリシー（例: B2C_1A_signup_signin）を選択してください。
2. [ アプリケーション] で、 以前に登録した Web アプリケーションを選択します。 応答 URL にhttps://jwt.msが表示されます。
3. [ 今すぐ実行 ] ボタンを選択します。
4. サインアップまたはサインイン ページで、 PingOne を選択して PingOne アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。

次のステップ

PingOne トークンをアプリケーションに渡す方法について説明します。