SAML プロトコルを使用して Salesforce SAML プロバイダーでのサインインを設定する - Azure AD B2C

[アーティクル]
11/17/2023

開始する前に、[ポリシーの種類の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザーフローを使用する、または完全に構成可能なカスタムポリシーを使用する) があります。この記事で必要な手順は、方法ごとに異なります。

この機能は、カスタムポリシーでのみ使用できます。セットアップ手順は、前のセレクターで [カスタムポリシー] を選択します。

注意

Azure Active Directory B2C で、カスタムポリシーは、主に、複雑なシナリオに取り組む用途向けに設計されています。ほとんどのシナリオで、組み込みユーザーフローを使用することをお勧めします。まだ行っていない場合は、Active Directory B2C でのカスタムポリシーの概要に関する記事で、カスタムポリシースターターパックの詳細を確認してください。

この記事では、Azure Active Directory B2C (Azure AD B2C) でカスタムポリシーを使用して Salesforce 組織からのユーザーのサインインを有効にする方法について説明します。サインインを有効にするには、SAML ID プロバイダーをカスタムポリシーに追加します。

前提条件

「Active Directory B2C でのカスタムポリシーの概要」にある手順を完了する。
まだ行っていない場合は、Web アプリケーションを登録します。

まだ行っていない場合は、無料の Developer Edition アカウントにサインアップします。この記事では、Salesforce Lightning Experience を使用します。
Salesforce 組織用の "私のドメイン" のセットアップ。

ID プロバイダーとしての Salesforce のセットアップ

Salesforce にサインインします。
左側のメニューで、 [設定] の下の [ID] を展開し、 [ID プロバイダー] を選択します。
[Enable Identity Provider](ID プロバイダーを有効にする) を選択します。
[Select the certificate] \(証明書の選択) の下から、Azure AD B2C と通信するときに Salesforce で使用する証明書を選択します。既定の証明書を使用できます。
[保存] をクリックします。

Salesforce での接続されたアプリの作成

[Identity Provider](ID プロバイダー) ページで、 [Service Providers are now created via Connected Apps.](接続されたアプリでサービスプロバイダーが作成されました。ここをクリックしてください。) をクリックします。
[基本情報] に、接続されたアプリの必須の値を入力します。
[Web App Settings](Web アプリの設定) で、 [Enable SAML](SAML を有効にする) ボックスをオンにします。
[エンティティ ID] フィールドに、次の URL を入力します。 your-tenant の値を、Azure AD B2C テナントの名前に置き換えます。
```
https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
```
カスタムドメインを使用する場合は、次の形式を使用します。
```
https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase
```
[ACS URL] フィールドに、次の URL を入力します。 your-tenant の値を、Azure AD B2C テナントの名前に置き換えます。
```
https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
```
カスタムドメインを使用する場合は、次の形式を使用します。
```
https://your-domain-name/your-tenant.onmicrosoft.com/B2C_1A_TrustFrameworkBase/samlp/sso/assertionconsumer
```
リストの下までスクロールし、 [保存] をクリックします。

メタデータ URL の取得

接続されたアプリの概要ページで [管理] をクリックします。
メタデータ検出エンドポイントの値をコピーし、保存します。この記事の後半で、その値を使用します。

フェデレーションのための Salesforce ユーザーの設定

接続されたアプリの [Manage](管理) ページで、 [Manage Profiles](プロファイルの管理) をクリックします。
Azure AD B2C とフェデレーションするプロファイル (またはユーザーのグループ) を選択します。システム管理者は、Salesforce アカウントを使用してフェデレーションを行うことができるように、 [システム管理者] のチェックボックスをオンにします。

自己署名証明書の作成

証明書をまだ持っていない場合は、自己署名証明書を使用できます。自己署名証明書は、証明機関 (CA) によって署名されていないセキュリティ証明書であり、CA によって署名された証明書のセキュリティ保証を提供するものではありません。

Windows
macOS

Windows では、PowerShell の New-SelfSignedCertificate コマンドレットを使用して証明書を生成します。

この PowerShell コマンドを実行して、自己署名証明書を生成します。 contosowebapp.contoso.onmicrosoft.com などのアプリケーションと Azure AD B2C のテナント名に合わせて -Subject 引数を変更します。また、証明書に別の有効期限を指定するように -NotAfter 日付を調整することもできます。
```
New-SelfSignedCertificate `
    -KeyExportPolicy Exportable `
    -Subject "CN=yourappname.yourtenant.onmicrosoft.com" `
    -KeyAlgorithm RSA `
    -KeyLength 2048 `
    -KeyUsage DigitalSignature `
    -NotAfter (Get-Date).AddMonths(12) `
    -CertStoreLocation "Cert:\CurrentUser\My"
```
Windows コンピューターで、 [ユーザー証明書の管理] を検索して選択します
[証明書 - 現在のユーザー] で、 [個人用]>[証明書]>yourappname.yourtenant.onmicrosoft.com を開きます。
証明書を選択し、 [アクション]>[すべてのタスク]>[エクスポート] の順に選択します。
[次へ]>[はい、秘密キーをエクスポートします]>[次へ] を選択します。
[エクスポートファイルの形式] の既定値を受け入れて、 [次へ] を選択します。
[パスワード] オプションを有効にして、証明書のパスワードを入力し、 [次へ] を選択します。
証明書を保存する場所を指定するには、 [参照] を選択し、任意のディレクトリに移動します。
[名前を付けて保存] ウィンドウで、 [ファイル名] を入力して、 [保存] を選択します。
[次へ]>[完了] の順に選択します。

Azure AD B2C で .pfx ファイルのパスワードを受け入れるには、Windows 証明書ストアのエクスポートユーティリティで、AES256-SHA256 ではなく、TripleDES-SHA1 オプションを使用してパスワードを暗号化する必要があります。

ポリシーキーを作成する

作成した証明書を Azure AD B2C テナントに格納する必要があります。

Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
[概要] ページで、 [Identity Experience Framework] を選択します。
[ポリシーキー] を選択し、 [追加] を選択します。
オプションについては、Uploadを選択します。
ポリシーの名前を入力します。たとえば、SAMLSigningCert などです。プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
作成した B2CSigningCert.pfx 証明書を参照して選択します。
証明書の [パスワード] を入力します。
Create をクリックしてください。

クレームプロバイダーを追加する

ユーザーが Salesforce アカウントを使用してサインインするようにするには、そのアカウントを Azure AD B2C がエンドポイント経由で通信できる相手のクレームプロバイダーとして定義する必要があります。エンドポイントは、特定のユーザーが認証されていることを確認するために Azure AD B2C で使う一連の要求を提供します。

Salesforce アカウントをクレームプロバイダーとして定義するには、そのアカウントをポリシーの拡張ファイル内の ClaimsProviders 要素に追加します。詳細については、SAML ID プロバイダーの定義に関するページをご覧ください。

TrustFrameworkExtensions.xml を開きます。
ClaimsProviders 要素を見つけます。存在しない場合は、それをルート要素の下に追加します。

新しい ClaimsProvider を次のように追加します。

<ClaimsProvider>
  <Domain>salesforce.com</Domain>
  <DisplayName>Salesforce</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="Salesforce-SAML2">
      <DisplayName>Salesforce</DisplayName>
      <Description>Login with your Salesforce account</Description>
      <Protocol Name="SAML2"/>
      <Metadata>
        <Item Key="WantsEncryptedAssertions">false</Item>
        <Item Key="WantsSignedAssertions">false</Item>
        <Item Key="PartnerEntity">https://contoso-dev-ed.my.salesforce.com/.well-known/samlidp.xml</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="SamlMessageSigning" StorageReferenceId="B2C_1A_SAMLSigningCert"/>
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="userId"/>
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name"/>
        <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name"/>
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email"/>
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="username"/>
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication"/>
        <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-Saml-idp"/>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

PartnerEntity の値を、先ほどコピーした Salesforce メタデータ URL で更新します。
StorageReferenceId の両方のインスタンスの値を、署名証明書のキーの名前に更新します。たとえば、B2C_1A_SAMLSigningCert です。

<ClaimsProviders> セクションを見つけて、次の XML スニペットを追加します。ポリシーに SM-Saml-idp 技術プロファイルが既に含まれている場合、次の手順に進みます。詳細については、シングルサインオンセッション管理に関するページを参照してください。

<ClaimsProvider>
  <DisplayName>Session Management</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="SM-Saml-idp">
      <DisplayName>Session Management Provider</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.SSO.SamlSSOSessionProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="IncludeSessionIndex">false</Item>
        <Item Key="RegisterServiceProviders">false</Item>
      </Metadata>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

ファイルを保存します。

ユーザー体験を追加する

この時点では、ID プロバイダーはセットアップされていますが、サインインページではまだ使用できません。独自のカスタムユーザー体験がない場合は、既存のテンプレートユーザー体験の複製を作成してください。そうでない場合は、次の手順に進みます。

スターターパックから TrustFrameworkBase.xml ファイルを開きます。
Id="SignUpOrSignIn" を含む UserJourney 要素を見つけ、その内容全体をコピーします。
TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。要素が存在しない場合は追加します。
コピーした UserJourney 要素の内容全体を UserJourneys 要素の子として貼り付けます。
ユーザー体験の ID の名前を変更します。たとえば、「 Id="CustomSignUpSignIn" 」のように入力します。

ユーザー体験に ID プロバイダーを追加する

これでユーザー体験ができたので、ユーザー体験に新しい ID プロバイダーを追加します。最初にサインインボタンを追加してから、ボタンをアクションにリンクします。アクションは、前に作成した技術プロファイルです。

ユーザー体験内で、Type="CombinedSignInAndSignUp" または Type="ClaimsProviderSelection" を含むオーケストレーションステップ要素を見つけます。これは通常、最初のオーケストレーションステップです。 ClaimsProviderSelections 要素には、ユーザーがサインインに使用できる ID プロバイダーの一覧が含まれています。要素の順序により、ユーザーに表示されるサインインボタンの順序が制御されます。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。
次のオーケストレーションステップで、ClaimsExchange 要素を追加します。 ID を、ターゲットの要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、前に作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーションステップを示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-SAML2" />
  </ClaimsExchanges>
</OrchestrationStep>

証明書利用者ポリシーを構成する

証明書利用者ポリシー (例 SignUpSignIn.xml) は、Azure AD B2C が実行されるユーザー体験を指定します。証明書利用者内の DefaultUserJourney 要素を検索します。 ID プロバイダーを追加したユーザー体験 ID と一致するように ReferenceId を更新します。

次の例では、CustomSignUpSignIn ユーザー体験について、ReferenceId を CustomSignUpSignIn に設定しています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタムポリシーをアップロードする

Azure portal にサインインします。
ポータルツールバーにある [ディレクトリ + サブスクリプション] アイコンを選択し、Azure AD B2C テナントを含むディレクトリを選択します。
Azure portal で、 [Azure AD B2C] を検索して選択します。
[ポリシー] で [Identity Experience Framework] を選択します。
[カスタムポリシーのアップロード] を選択し、変更した 2 つのポリシーファイルを拡張ポリシー (TrustFrameworkExtensions.xml など)、証明書利用者ポリシー (SignUpSignIn.xmlなど) の順序でアップロードします。

カスタムポリシーのテスト

証明書利用者ポリシー (B2C_1A_signup_signin など) を選択します。
[アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL] に https://jwt.ms と表示されます。
[今すぐ実行] ボタンを選択します。
サインアップまたはサインインページで、 [Salesforce] を選択して、Salesforce アカウントを使用してサインインします。

サインインプロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

Azure Active Directory B2C で SAML プロトコルを使用して Salesforce SAML プロバイダーでのサインインを設定する