Azure AD B2C のサインイン オプション
Azure AD B2C には、アプリケーションのユーザー向けにサインアップおよびサインインの方法としていくつかが用意されています。 ユーザーがアプリケーションにサインアップするときに、彼らがユーザー名、電子メール アドレス、または電話番号を使用して所定の Azure AD B2C テナントにローカル アカウントを作成できるようにするかどうかを決定します。 また、ソーシャル ID プロバイダー (Facebook、LinkedIn、Twitter など) と標準の ID プロトコル (OAuth 2.0、OpenID Connect など) とフェデレーションすることもできます。
この記事では Azure AD B2C サインイン オプションの概要について説明します。
メール アドレスでのサインイン
ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 メール アドレス オプションを使用すると、ユーザーは自分のメール アドレスとパスワードを使用してサインインおよびサインアップすることができます。
- サインイン: ユーザーは自分のメール アドレスとパスワードを入力するように求められます。
- サインアップ: ユーザーはメール アドレスを入力するように求められます。これがサインアップ時に検証され (省略可能)、ログイン ID になります。 次にユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名、姓など) を入力します。 次に、 [続行] を選択してアカウントを作成します。
- パスワードのリセット: ユーザーは自分のメール アドレスを入力し、それを確認すると、パスワードをリセットできるようになります。
ローカル アカウント ID プロバイダーで電子メール サインインを構成する方法について学習します。
ユーザー名でのサインイン
ご利用のローカル アカウント ID プロバイダーには、ユーザーがユーザー名とパスワードを使用してアプリケーションにサインアップおよびサインインできるようにするためのユーザー名オプションが含まれています。
- サインイン: ユーザーは、ユーザー名とパスワードを入力するように求められます。
- サインアップ: ユーザーはユーザー名を入力するように求められます。これがログイン ID になります。 ユーザーはメール アドレスの入力も求められます。このアドレスはサインアップ時に検証されます。 このメール アドレスは、パスワード リセット フローで使用されます。 ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名、姓など) を入力します。 次にユーザーは、[続行] を選択してアカウントを作成します。
- パスワードのリセット: ユーザーは、自分のユーザー名と、関連付けられたメール アドレスを入力する必要があります。 このメール アドレスを確認する必要があります。その後、ユーザーはパスワードをリセットできます。
電話によるサインイン
ローカル アカウント ID プロバイダーの設定で、電話によるサインインはパスワードレスのオプションです。 この方法を設定すると、ユーザーが電話番号を自分のプライマリ ID として使用して、アプリにサインアップできます。 ワンタイム パスワードが SMS テキスト メッセージを介してユーザーに送信されます。 ユーザーはサインアップおよびサインイン時に次の操作を行うことになります。
- サインイン: 自身の電話番号を ID として使用する既存のアカウントを持っている場合、ユーザーはその電話番号を入力し、 [サインイン] を選択します。 [続行] を選択して国と電話番号を確定すると、1 回限りの認証コードがそのユーザーの電話に送信されます。 ユーザーが確認コードを入力し、 [続行] を選択してサインインします。
- サインアップ: アプリケーションのアカウントをまだ持っていない場合、ユーザーは [今すぐサインアップ] リンクをクリックしてアカウントを作成できます。
- サインアップ ページが表示されます。ここでユーザーは [国] を選択し、電話番号を入力して、 [コードの送信] を選択します。
- 1 回限りの確認コードがユーザーの電話番号に送信されます。 ユーザーは、サインアップ ページで確認コードを入力し、 [コードの確認] を選択します (ユーザーがコードを取得できない場合、 [新しいコードを送信します] を選択できます)。
- ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名、姓など) を入力します。 その後 [続行] を選択します。
- 次に、ユーザーは回復用メール アドレスを入力するように求められます。 ユーザーはメール アドレスを入力し、 [確認コードを送信する] を選択します。 ユーザーはメールの受信トレイに送信されたコードを取得して、 [確認コード] ボックスに入力できます。 次に、ユーザーは [コードの確認] を選択します。
- コードが確認されたら、ユーザーは [作成] を選択してアカウントを作成します。
電話でのサインインの料金
ワンタイム パスワードが SMS テキスト メッセージを使用してユーザーに送信されます。 携帯電話会社によっては、送信されるメッセージごとに課金される場合があります。 価格情報については、「Azure Active Directory B2C の価格」の「別料金」セクションを参照してください。
注意
電話でのサインアップを使用したユーザー フローを構成するときは、多要素認証 (MFA) が既定で無効化されます。 電話でのサインアップを使用したユーザー フローで MFA を有効にすることはできますが、電話番号がプライマリ ID として使用されるため、2 番目の認証要素に使用できる唯一のオプションは電子メールによるワンタイム パスコードです。
電話での回復
ユーザー フローで電話でのサインアップとサインインを有効にする場合、回復用メール機能を有効にすることもお勧めします。 この機能を使用すると、ユーザーが自分の電話を持っていないときにアカウントを回復するために使用できるメール アドレスを指定できます。 このメール アドレスは、アカウントの回復のみに使用されます。 サインインに使用することはできません。
回復用メール アドレスのプロンプトがオンの場合、ユーザーが初めてサインアップするときに、バックアップのメール アドレスを確認するように求められます。 前に回復用メールを提供していないユーザーは、次回のサインイン時にバックアップのメール アドレスの確認を求められます。
回復用メールがオフの場合、ユーザーがサインアップまたはサインインしても、回復用メール プロンプトは表示されません。
次のスクリーンショットは、電話での回復フローを示しています。
電話またはメール アドレスでのサインイン
ローカル アカウント ID プロバイダーの設定で、電話でのサインインとメール アドレスでのサインインを組み合わせることを選択できます。 サインアップまたはサインインのページで、ユーザーは電話番号またはメール アドレスを入力できます。 ユーザー入力に基づいて、対応するフローにユーザーが移動されます。
フェデレーション サインイン
ユーザーが外部のソーシャル ID プロバイダー (IdP) またはエンタープライズ ID プロバイダーの資格情報を使ってアプリケーションにサインインできるように、Azure AD B2C を構成できます。 Azure AD B2C は、多くの外部 ID プロバイダーと、OAuth 1.0、OAuth 2.0、OpenID Connect、SAML プロトコルをサポートする任意の ID プロバイダーをサポートしています。
外部 ID プロバイダーのフェデレーションを使用すると、アプリケーション用だけに新しいアカウントを作成する必要なしに、既存のソーシャルまたはエンタープライズ アカウントを使用してサインインする機能を、コンシューマーに提供できます。
サインアップまたはサインイン ページには、Azure AD B2C によって、ユーザーがサインインのために選択できる外部 ID プロバイダーの一覧が表示されます。 いずれかの外部 ID プロバイダーを選ぶと、選ばれたプロバイダーの Web サイトにリダイレクトされ、そこでサインイン プロセスを完了します。 正常にサインインしたユーザーは、お使いのアプリケーションでアカウントを認証するために、Azure AD B2C に戻されます。
Azure portal を使用して、Azure Active Directory B2C (Azure AD B2C) によってサポートされる ID プロバイダーをユーザー フローに追加できます。 カスタム ポリシーに ID プロバイダーを追加することもできます。
次のステップ
- 「Azure Active Directory B2C のユーザー フロー」によって提供される組み込みのポリシーの詳細について学習します。
- ローカル アカウント ID プロバイダーを構成する