重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。
注
Azure Active Directory B2C で、カスタム ポリシーは、主に、複雑なシナリオに取り組む用途向けに設計されています。 ほとんどのシナリオで、組み込みユーザー フローを使用することをお勧めします。 まだ行っていない場合は、Active Directory B2C でのカスタム ポリシーの概要に関する記事で、カスタム ポリシー スターター パックの詳細を確認してください。
[前提条件]
- ユーザーが サインアップしてアプリケーションにサインインできるように、ユーザー フローを作成します。
- Web アプリケーションを登録します。
- 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
- Web アプリケーションを登録します。
アプリケーションを作成する
Azure AD B2C で X アカウントを持つユーザーのサインインを有効にするには、X アプリケーションを作成する必要があります。 まだ X アカウントを持っていない場合は、 https://x.com/signupでサインアップできます。
開発者アカウントを申請する必要もあります。 詳細については、「 アクセスの申請」を参照してください。
- X アカウントの資格情報を使用して X 開発者ポータル にサインインします。
- [ + プロジェクトの作成 ] ボタンを選択します。
- [ プロジェクト名 ] タブで、プロジェクトの優先名を入力し、[ 次へ ] ボタンを選択します。
- [ ユース ケース ] タブで、任意のユース ケースを選択し、[ 次へ] を選択します。
- [ プロジェクトの説明 ] タブで、プロジェクトの説明を入力し、[ 次へ ] ボタンを選択します。
- [ アプリ名 ] タブで、 azureadb2c などのアプリの名前を入力し、[ 次へ ] ボタンを選択します。
- [ キーとトークン ] タブで、 API キーと API キー シークレットの値をコピー します。 これらは後で構成に使用します。
- [ アプリ設定] を選択してアプリ設定を開きます。
- ページの下部にある [ ユーザー認証設定] で、[ 設定] を選択します。
- [ アプリの種類] で、 Web アプリなどの適切なアプリの種類を選択します。
- [ アプリ情報] の下:
-
[コールバック URI/リダイレクト URL] に「
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/your-policy-id/oauth1/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/your-user-flow-Id/oauth1/authresp」と入力します。 テナント名とユーザー フロー ID を入力するときは、Azure AD B2C で大文字で定義されている場合でも、すべて小文字を使用します。 次のように置き換えます。-
your-tenant-nameを自分のテナント名に置き換えます。 -
your-domain-nameをご自分のカスタム ドメインに置き換えます。 -
your-policy-idユーザー フローの識別子を指定します。 たとえば、b2c_1a_signup_signin_xのようにします。
-
-
[Web サイトの URL] に「
https://your-tenant.b2clogin.com」と入力します。your-tenantをテナントの名前に置き換えます。 たとえば、https://contosob2c.b2clogin.comのようにします。 カスタム ドメインを使用する場合は、「https://your-domain-name」と入力します。 - (省略可能) サービス利用規約の URL を入力します (例:
http://www.contoso.com/tos)。 ポリシーの URL は、アプリケーションの利用規約を提供するために維持されるページです。 - (省略可能) プライバシー ポリシーの URL (
http://www.contoso.com/privacyなど) を入力します。 ポリシーの URL は、アプリケーションのプライバシーに関する情報を提供するために維持されるページです。
-
[コールバック URI/リダイレクト URL] に「
- 保存 を選択します。
- X アカウントの資格情報を使用して X 開発者ポータル にサインインします。
- [ + プロジェクトの作成 ] ボタンを選択します。
- [ プロジェクト名 ] タブで、プロジェクトの優先名を入力し、[ 次へ ] ボタンを選択します。
- [ ユース ケース ] タブで、任意のユース ケースを選択し、[ 次へ] を選択します。
- [ プロジェクトの説明 ] タブで、プロジェクトの説明を入力し、[ 次へ ] ボタンを選択します。
- [ アプリ名 ] タブで、 azureadb2c などのアプリの名前を入力し、[ 次へ ] ボタンを選択します。
- [ キーとトークン ] タブで、後で 使用するために API キー と API キー シークレット の値をコピーします。 両方を使用して、Azure AD B2C テナントの ID プロバイダーとして X を構成します。
- [ アプリ設定] を選択してアプリ設定を開きます。
- ページの下部にある [ ユーザー認証設定] で、[ 設定] を選択します。
- [ アプリの種類] で、 Web アプリなどの適切なアプリの種類を選択します。
- [ アプリ情報] の下:
-
[コールバック URI/リダイレクト URL] に「
https://your-tenant.b2clogin.com/your-tenant-name.onmicrosoft.com/your-user-flow-name/oauth1/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/your-user-flow-Id/oauth1/authresp」と入力します。 テナント名とユーザー フロー ID を入力するときは、Azure AD B2C で大文字で定義されている場合でも、すべて小文字を使用します。 次のように置き換えます。-
your-tenant-nameを自分のテナント名に置き換えます。 -
your-domain-nameをご自分のカスタム ドメインに置き換えます。 -
your-user-flow-nameユーザー フローの識別子を指定します。 たとえば、b2c_1_signup_signin_xのようにします。
-
-
[Web サイトの URL] に「
https://your-tenant.b2clogin.com」と入力します。your-tenantをテナントの名前に置き換えます。 たとえば、https://contosob2c.b2clogin.comのようにします。 カスタム ドメインを使用する場合は、「https://your-domain-name」と入力します。 -
サービス利用規約の URL を入力します (例:
http://www.contoso.com/tos)。 ポリシーの URL は、アプリケーションの利用規約を提供するために維持されるページです。 -
プライバシー ポリシーの URL (
http://www.contoso.com/privacyなど) を入力します。 ポリシーの URL は、アプリケーションのプライバシーに関する情報を提供するために維持されるページです。
-
[コールバック URI/リダイレクト URL] に「
- 保存 を選択します。
X を ID プロバイダーとして構成する
- 少なくとも外部 ID プロバイダー管理者特権を持つアカウントで Azure portal にサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
- Azure portal の左上隅にある [ すべてのサービス ] を選択し、 Azure AD B2C を検索して選択します。
- [ ID プロバイダー] を選択し、[ Twitter] を選択します。
- 名前を入力します。 たとえば、 X です。
- クライアント ID には、前に作成した X アプリケーションの API キーを入力します。
- クライアント シークレットの場合は、記録した API キー シークレットを入力します。
- 保存 を選択します。
X ID プロバイダーをユーザー フローに追加する
この時点で、X ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 X ID プロバイダーをユーザー フローに追加するには:
- Azure AD B2C テナントで、[ ユーザー フロー] を選択します。
- X ID プロバイダーを追加するユーザー フローを選択します。
- [ソーシャル ID プロバイダー] で、Twitter を選択します。
- 保存 を選択します。
ユーザー フローをテストする
- ポリシーをテストするには、[ ユーザー フローの実行] を選択します。
-
[アプリケーション] で、以前に登録した testapp1 という名前の Web アプリケーションを選択します。
応答 URL に
https://jwt.msが表示されます。 - [ ユーザー フローの実行 ] ボタンを選択します。
- サインアップまたはサインイン ページで、 Twitter を選択して X アカウントでサインインします。
ポリシー キーを作成する
以前に X アプリ用に記録した秘密鍵を Azure AD B2C テナントに格納する必要があります。
- Azure portal にサインインします。
- 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
- Azure portal で、 [Azure AD B2C] を検索して選択します。
- 左側のメニューの [ ポリシー] で、[ Identity Experience Framework] を選択します。
- [ポリシー キー] を選択し、[追加] を選びます。
-
[オプション] で、[
Manual] を選択します。 - ポリシー キーの名前を入力します。 たとえば、
XSecretのようにします。 プレフィックスB2C_1A_がキーの名前に自動的に追加されます。 - [シークレット] に、前に記録した API キーのシークレット値を入力します。
- [ キーの使用法] で、[
Signature] を選択します。 - Create をクリックしてください。
X を ID プロバイダーとして構成する
ユーザーが X アカウントを使用してサインインできるようにするには、Azure AD B2C がエンドポイント経由で通信できるクレーム プロバイダーとしてアカウントを定義する必要があります。 エンドポイントは、特定のユーザーが認証されたことを確認するために Azure AD B2C によって使用されるクレームのセットを提供します。
X アカウントをクレーム プロバイダーとして定義するには、ポリシーの拡張ファイルの ClaimsProviders 要素に追加します。 この記事の前提条件でダウンロードしたカスタム ポリシー スターター パックを参照してください。
TrustFrameworkExtensions.xmlを開きます。
ClaimsProviders 要素を検索します。 存在しない場合は、ルート要素の下に追加します。
次のように新しい ClaimsProvider を追加します。
<ClaimsProvider> <Domain>x.com</Domain> <DisplayName>X</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Twitter-OAuth1"> <DisplayName>X</DisplayName> <Protocol Name="OAuth1" /> <Metadata> <Item Key="ProviderName">Twitter</Item> <Item Key="authorization_endpoint">https://api.twitter.com/oauth/authenticate</Item> <Item Key="access_token_endpoint">https://api.twitter.com/oauth/access_token</Item> <Item Key="request_token_endpoint">https://api.twitter.com/oauth/request_token</Item> <Item Key="ClaimsEndpoint">https://api.twitter.com/1.1/account/verify_credentials.json?include_email=true</Item> <Item Key="ClaimsResponseFormat">json</Item> <Item Key="client_id">Your X application API key</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_TwitterSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="user_id" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="screen_name" /> <OutputClaim ClaimTypeReferenceId="email" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="twitter.com" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>client_idの値を、前に記録した API キーに置き換えます。
ファイルを保存します。
ユーザー体験を追加する
この時点で、ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成します。それ以外の場合は、次の手順に進みます。
- スターター パックから TrustFrameworkBase.xml ファイルを開きます。
-
を含む
Id="SignUpOrSignIn"要素の内容全体を検索してコピーします。 - TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は、要素を追加します。
- UserJourneys 要素の子としてコピーした UserJourney 要素の内容全体を貼り付けます。
- ユーザージャーニーの ID を変更します。 たとえば、
Id="CustomSignUpSignIn"のようにします。
ID プロバイダーをユーザー体験に追加する
これでユーザー体験が作成されたので、新しい ID プロバイダーをユーザー体験に追加します。 最初にサインイン ボタンを追加し、そのボタンをアクションにリンクします。 あなたが以前に作成した技術プロファイルがこのアクションです。
ユーザー体験に
Type="CombinedSignInAndSignUp"またはType="ClaimsProviderSelection"を含むオーケストレーション ステップ要素を見つけます。 通常は、オーケストレーションの最初の手順です。 ClaimsProviderSelections 要素には、ユーザーがサインインできる ID プロバイダーの一覧が含まれています。 要素の順序は、ユーザーに表示されるサインイン ボタンの順序を制御します。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。次のオーケストレーション手順で、 ClaimsExchange 要素を追加します。 Id をターゲット要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、先ほど作成した技術プロファイルの ID に更新します。
次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション手順を示しています。
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="TwitterExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="TwitterExchange" TechnicalProfileReferenceId="Twitter-OAuth1" />
</ClaimsExchanges>
</OrchestrationStep>
依存当事者ポリシーを構成する
証明書利用者ポリシー ( SignUpSignIn.xmlなど) は、Azure AD B2C が実行するユーザー体験を指定します。 依存するパーティー内で DefaultUserJourney 要素を検索します。 追加した ID プロバイダーのユーザージャーニー ID と一致するように ReferenceId を更新します。
次の例では、 CustomSignUpSignIn ユーザー体験の ReferenceId が CustomSignUpSignInに設定されています。
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
カスタム ポリシーをアップロードする
- Azure portal にサインインします。
- ポータル のツール バーで [ディレクトリ + サブスクリプション ] アイコンを選択し、Azure AD B2C テナントが含まれているディレクトリを選択します。
- Azure portal で、 [Azure AD B2C] を検索して選択します。
- [ ポリシー] で、[ Identity Experience Framework] を選択します。
- [ カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを次の順序でアップロードします。拡張機能ポリシー (
TrustFrameworkExtensions.xmlなど)、証明書利用者ポリシー (SignUpSignIn.xmlなど)。
カスタム ポリシーをテストする
- 依存するパーティポリシーを選択します (例:
B2C_1A_signup_signin)。 - [ アプリケーション] で、 以前に登録した Web アプリケーションを選択します。
応答 URL に
https://jwt.msが表示されます。 - [ 今すぐ実行 ] ボタンを選択します。
- サインアップまたはサインイン ページで、 Twitter を選択して X アカウントでサインインします。
サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。
ヒント
この ID プロバイダーのテスト中に unauthorized エラーが発生した場合は、正しい X API キーと API キー シークレットを使用していることを確認するか、 昇格された アクセスを申請してみてください。 また、機能を利用できる前にアプリを登録した場合は、 X のプロジェクト構造を確認することをお勧めします。