Azure Active Directory B2C を使用して PingOne アカウントでのサインアップおよびサインインを設定する

"開始する前に"、[ポリシーの種類の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

前提条件

• ユーザー フローを作成して、ユーザーがアプリケーションにサインアップおよびサインインできるようにします。
• Web アプリケーションを登録します。

• 「Active Directory B2C でのカスタム ポリシーの概要」にある手順を完了します。
• Web アプリケーションを登録します。

PingOne アプリケーションを作成する

Azure Active Directory B2C (Azure AD B2C) で、PingOne (Ping ID) アカウントを使用してユーザーのサインインを有効にするには、Ping ID 管理者コンソールでアプリケーションを作成する必要があります。 詳細については、Ping ID ドキュメントの「OIDC アプリケーションの追加または更新」を参照してください。 まだ PingOne アカウントを持っていない場合は、https://admin.pingone.com/web-portal/register でサインアップできます。

1. PingOne アカウント資格情報を使用して、Ping ID 管理者コンソールにサインインします。
2. ページの左側のメニューで [Connections](接続) を選択し、[Applications](アプリケーション) の横で + を選択します。
3. [New Application](新しいアプリケーション) ページで Web アプリを選択し、[OIDC] で [Configure](構成) を選択します。
4. アプリケーション名を入力して、[Next](次へ) を選択します。
5. [リダイレクト URL] に、「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-domain-name を実際のカスタム ドメインに、your-tenant-name を実際のテナントの名前に置き換えます。 テナントが Azure AD B2C に大文字で定義されている場合でも、テナント名を入力するときに、すべての小文字を使用します。
6. [Save and Continue](保存して続行) を選択します。
7. [SCOPES](スコープ) でメール アドレスとプロファイルを選択し、[Save and Continue](保存して続行) を選択します。
8. [OIDC attributes](OIDC 属性) ページで、[Save and Close](保存して閉じる) を選択します。
9. アプリケーションのリストから、作成したアプリケーションを選択します。
10. アプリケーションの [Profile]\(プロファイル\) ページで、次の操作を行います。
    1. アプリケーション名の横にあるスイッチ ボタンを使用して、アプリを有効にします。
    2. [クライアント ID] の値をコピーします。
11. [Configuration]\(構成\) タブを選択して、次の操作を行います。
    1. OIDC 検出エンドポイントをコピーします。
    2. クライアント シークレットを表示してコピーします。
    3. モードを [edit](編集) に変更します。 次に、[Token endpoint authentication method](トークン エンドポイントの認証方法) で、値を [Client Secret Post] に変更し、[Save](保存) を選択します。

PingOne を ID プロバイダーとして構成する

1. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

2. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。

3. [ID プロバイダー] を選択してから、 [新しい OpenID Connect プロバイダー ] を選択します。

4. [名前] を入力します。 たとえば、「PingOne」と入力します。

5. [Metadata url](メタデータ URL) に、以前にメモした OIDC 検出エンドポイントを入力します。 次に例を示します。

   https://auth.pingone.eu/00000000-0000-0000-0000-000000000000/as/.well-known/openid-configuration
   

6. [クライアント ID] に、以前にメモしたクライアント ID を入力します。

7. [クライアント シークレット] には、前に記録したクライアント シークレットを入力します。

8. [スコープ] には、「openid email profile」と入力します。

9. [応答の種類] および [応答モード] の既定値はそのままにします。

10. (省略可能) [ドメインのヒント] に、「pingone.com」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。

11. [ID プロバイダー要求のマッピング] で、次の要求を入力します。

    • [ユーザー ID] : sub
    • [表示名] : name
    • [名] : given_name
    • [姓] : family_name
    • [電子メール] : email

12. [保存] を選択します。

ユーザー フローに PingOne ID プロバイダーを追加する

この時点では、PingOne ID プロバイダーは設定されていますが、サインイン ページではまだ使用できません。 PingOne ID プロバイダーをユーザー フローに追加するには、次のようにします。

1. Azure AD B2C テナントで、 [ユーザー フロー] を選択します。
2. PingOne ID プロバイダーを追加するユーザー フローをクリックします。
3. [ソーシャル ID プロバイダー] から [PingOne] を選択します。
4. [保存] を選択します。
5. ポリシーをテストするには、 [ユーザー フローを実行します] を選択します。
6. [アプリケーション] には、以前に登録した testapp1 という名前の Web アプリケーションを選択します。 [応答 URL] に https://jwt.ms と表示されます。
7. [ユーザー フローを実行します] ボタンを選択します。
8. サインアップまたはサインイン ページで、[PingOne] を選択して、PingOne アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

ポリシー キーを作成する

Azure AD B2C テナントで前に記録したクライアント シークレットを格納する必要があります。

1. Azure portal にサインインします。
2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
3. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
4. [概要] ページで、 [Identity Experience Framework] を選択します。
5. [ポリシー キー] を選択し、 [追加] を選択します。
6. オプションについては、Manualを選択します。
7. ポリシー キーの名前を入力します。 たとえば、「 PingOneSecret 」のように入力します。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
8. [シークレット] に、前に記録したクライアント シークレットを入力します。
9. [キー使用法] として [Signature] を選択します。
10. Create をクリックしてください。

PingOne を ID プロバイダーとして構成する

ユーザーが PingOne アカウントを使用してサインインできるようにするには、そのアカウントを Azure AD B2C がエンドポイント経由で通信できる相手のクレーム プロバイダーとして定義する必要があります。 エンドポイントは、特定のユーザーが認証されていることを確認するために Azure AD B2C で使う一連の要求を提供します。

PingOne アカウントをクレーム プロバイダーとして定義するには、そのアカウントをポリシーの拡張ファイル内の ClaimsProviders 要素に追加します。

1. TrustFrameworkExtensions.xml を開きます。

2. ClaimsProviders 要素を見つけます。 存在しない場合は、それをルート要素の下に追加します。

3. 新しい ClaimsProvider を次のように追加します。

   <ClaimsProvider>
     <Domain>pingone.com</Domain>
     <DisplayName>PingOne</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="PingOne-OpenIdConnect">
         <DisplayName>Ping Identity</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">Your PingOne OIDC discovery endpoint</Item>
           <Item Key="client_id">Your PingOne client ID</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">0</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_PingOneSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. METADATA メタデータを PingOne OIDC 検出エンドポイントに設定します。

5. client_id メタデータを PingOne クライアント ID に設定します。

6. ファイルを保存します。

ユーザー体験を追加する

この時点では、ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成してください。そうでない場合は、次の手順に進みます。

1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
2. Id="SignUpOrSignIn" を含む UserJourney 要素を見つけ、その内容全体をコピーします。
3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は追加します。
4. コピーした UserJourney 要素の内容全体を UserJourneys 要素の子として貼り付けます。
5. ユーザー体験の ID の名前を変更します。 たとえば、「 Id="CustomSignUpSignIn" 」のように入力します。

ユーザー体験に ID プロバイダーを追加する

これでユーザー体験ができたので、ユーザー体験に新しい ID プロバイダーを追加します。 最初にサインイン ボタンを追加してから、ボタンをアクションにリンクします。 アクションは、前に作成した技術プロファイルです。

1. ユーザー体験内で、Type="CombinedSignInAndSignUp" または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 これは通常、最初のオーケストレーション ステップです。 ClaimsProviderSelections 要素には、ユーザーがサインインに使用できる ID プロバイダーの一覧が含まれています。 要素の順序により、ユーザーに表示されるサインイン ボタンの順序が制御されます。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

2. 次のオーケストレーション ステップで、ClaimsExchange 要素を追加します。 ID を、ターゲットの要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、前に作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション ステップを示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="PingOneExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="PingOneExchange" TechnicalProfileReferenceId="PingOne-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

証明書利用者ポリシーを構成する

証明書利用者ポリシー (例 SignUpSignIn.xml) は、Azure AD B2C が実行されるユーザー体験を指定します。 証明書利用者内の DefaultUserJourney 要素を検索します。 ID プロバイダーを追加したユーザー体験 ID と一致するように ReferenceId を更新します。

次の例では、CustomSignUpSignIn ユーザー体験について、ReferenceId を CustomSignUpSignIn に設定しています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

1. Azure portal にサインインします。
2. ポータル ツール バーにある [ディレクトリ + サブスクリプション] アイコンを選択し、Azure AD B2C テナントを含むディレクトリを選択します。
3. Azure portal で、 [Azure AD B2C] を検索して選択します。
4. [ポリシー] で [Identity Experience Framework] を選択します。
5. [カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを拡張ポリシー (TrustFrameworkExtensions.xml など)、証明書利用者ポリシー (SignUpSignIn.xmlなど) の順序でアップロードします。

カスタム ポリシーのテスト

1. 証明書利用者ポリシー (B2C_1A_signup_signin など) を選択します。
2. [アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL] に https://jwt.ms と表示されます。
3. [今すぐ実行] ボタンを選択します。
4. サインアップまたはサインイン ページで、[PingOne] を選択して、PingOne アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

次のステップ

PingOne トークンをアプリケーションに渡す方法について説明します。