チュートリアル: FiDO パスキー認証用に Azure AD B2C を使用して Nok Nok S3 Authentication Suite を構成する

重要

2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。

この記事では、Nok Nok S3 Authentication Suite を Azure Active Directory (AD) B2C テナントに統合する方法について説明します。 Nok Nok ソリューションを使用すると、FIDO ユニバーサル認証フレームワーク (UAF)、FIDO Universal Second Factor (U2F)、WebAuthn、FIDO2 などの FIDO 認定多要素認証をモバイル および Web アプリケーションに対して有効にできます。 Nok Nok ソリューションは、最適なユーザー エクスペリエンスを維持しながら、セキュリティを強化します。

詳細については、 Nok Nok をご覧ください。

[前提条件]

開始するには、次のものが必要です。

• Azure サブスクリプション。 お持ちでない場合は、 Azure 無料アカウントを入手してください。
• Azure サブスクリプションにリンクされた Azure AD B2C テナント。 Azure AD B2C テナントを作成する方法について説明します。
• FIDO の登録と認証のための Nok Nok Cloud 評価テナント。

シナリオの説明

ユーザーのパスキー認証を有効にするには、Azure AD B2C テナントで ID プロバイダー (IdP) として Nok Nok を有効にします。 Nok Nok 統合には、次のコンポーネントが含まれています。

• Azure AD B2C – ユーザー資格情報を検証する承認サーバー。
• Web アプリケーションとモバイル アプリケーション - Nok Nok ソリューションと Azure AD B2C で保護するモバイルまたは Web アプリ。
• Nok Nok チュートリアル Web アプリ – デバイスにパスキーを登録するアプリケーション。
• Nok Nok サインイン アプリ – パスキーを使用して Azure AD B2C アプリケーションを認証するためのアプリケーション。

次の図は、パスキー認証に OpenID Connect (OIDC) を使用した Azure AD B2C の IdP としての Nok Nok ソリューションを示しています。

シナリオ 1: パスキーの登録

1. ユーザーは、Nok Nok が提供するリンクを使用して、Nok Nok チュートリアル Web アプリに移動します。
2. ユーザーは、Azure AD B2C のユーザー名と既定のチュートリアル アプリパスワードを入力します。
3. ユーザーは、パスキーを登録するためのプロンプトを受け取ります。
4. Nok Nok サーバーは、パスキー資格情報を検証し、ユーザーへのパスキー登録が成功したことを確認します。
5. ユーザーのデバイスのパスキーは認証の準備ができています。

シナリオ 2: パスキー認証

1. ユーザーは、Azure AD B2C サインイン ページで [Nok Nok Cloud を使用したサインイン] ボタンを選択します。
2. Azure AD B2C は、ユーザーを Nok Nok サインイン アプリにリダイレクトします。
3. ユーザーはパスキーを使用して認証します。
4. Nok Nok サーバーは、パスキー アサーションを検証し、OIDC 認証応答を Azure AD B2C に送信します。
5. 認証結果に基づいて、Azure AD B2C はターゲット アプリケーションへのアクセスを許可または拒否します。

Nok Nok の使用を開始する

1. Nok Nok にお問い合わせください。
2. Nok Nok テナントのフォームに入力します。
3. テナント アクセス情報とドキュメントへのリンクが記載された電子メールが届きます。
4. Nok Nok 統合ドキュメントを使用して、テナント OIDC の構成を完了します。

Azure AD B2C との統合

IdP を追加して構成し、ユーザー フローを構成するには、次の手順に従います。

新しい ID プロバイダーを追加する

次の手順では、Azure AD B2C テナントでディレクトリを使用します。 新しい IdP を追加するには:

1. 少なくとも Azure AD B2C テナントの B2C Identity Experience Framework (IEF) ポリシー管理者として Azure portal にサインインします。
2. ポータルのツール バーで、[ ディレクトリとサブスクリプション] を選択します。
3. ポータル設定の [ディレクトリとサブスクリプション] で、[ディレクトリ名] の一覧で、Azure AD B2C ディレクトリを見つけます。
4. [ 切り替え] を選択します。
5. Azure portal の左上隅にある [ すべてのサービス] を選択します。
6. Azure AD B2C を検索して選択します。
7. Dashboard>Azure Active Directory B2C>アイデンティティ プロバイダーに移動します。
8. ID プロバイダー を選択します。
9. [] を選択し、[] を追加します。

ID プロバイダーを構成する

IdP を構成するには:

1. ID プロバイダーの種類>OpenID Connect (プレビュー) を選択します。
2. [名前] に、Nok Nok 認証プロバイダーまたは別の名前を入力します。
3. [メタデータ URL] には、プレースホルダーを Nok Nok が提供するテナント ID に置き換えた後、次の URL を入力します:https://cloud.noknok.com/<tenant_id>/webapps/nnlfed/realms/<tenant_id>/.well-known/openid-configuration。
4. クライアント シークレットの場合は、Nok Nok のクライアント シークレットを使用します。
5. クライアント ID には、Nok Nok によって提供されるクライアント ID を使用します。
6. [スコープ] には openid を使用します。
7. 応答の種類には、コードを使用します。
8. 応答モードでは、form_postを使用します。
9. ユーザー ID には sub を使用します。
10. [表示名] には sub を使用します。
11. 保存 を選択します。

ユーザー フロー ポリシーを作成する

次の手順では、Nok Nok は B2C ID プロバイダーの一覧の新しい OIDC IdP です。

1. Azure AD B2C テナントの [ ポリシー] で、[ ユーザー フロー] を選択します。
2. 新規を選択します。
3. [サインアップしてサインイン]を選択します。
4. バージョンを選択 します。
5. を選択してを作成します。
6. ポリシー名を入力 します。
7. ID プロバイダーで、作成した Nok Nok IdP を選択します。
8. [ローカル アカウント] で [電子メールのサインアップ] をオンにして、中間の Azure AD B2C サインイン/サインアップ ページを表示し、ユーザーを Nok Nok サインイン アプリにリダイレクトするボタンを表示します。
9. [多要素認証] フィールドはそのままにします。
10. [ Create を選択して保存します。

ユーザー フローをテストする

1. Azure AD B2C テナントを開きます。 [ ポリシー] で、[ Identity Experience Framework] を選択します。
2. 作成した SignUpSignIn を選択します。
3. ユーザー フローを実行する を選択します。
4. [ アプリケーション] で、登録済みのアプリを選択します。 例は JSON Web トークン (JWT) です。
5. [ 応答 URL] で、前の手順で選択したアプリケーションのリダイレクト URL を選択します。
6. ユーザー フローを実行する を選択します。
7. Azure AD B2C ユーザー名と、以前に同じユーザーに登録したパスキーを使用してサインインを実行します。
8. 認証後にトークンを受信したことを確認します。

フローが不完全な場合は、ユーザーがディレクトリに保存されているか、保存されていないことを確認します。

次のステップ

• Azure AD B2C カスタム ポリシーの概要
• チュートリアル: Azure Active Directory B2C でユーザー フローとカスタム ポリシーを作成する