Microsoft Entra 確認済み ID サービスは、お客様の組織の OpenID に準拠している ID プロバイダーによって生成された ID トークンから要求を取得することによって、検証可能な資格情報を発行できます。 この記事では、Authenticator が ID プロバイダーと通信し、発行サービスに渡す正しい ID トークンを取得できるように、ID プロバイダーを設定する方法について説明します。
検証可能な資格情報を発行するために、Authenticator は、コントラクトのダウンロードを通して、ユーザーからの入力を収集してその情報を発行サービスに送信するように指示されます。 ID トークンを使用する必要がある場合は、Authenticator が OpenID Connect プロトコルを使用してユーザーをサインインできるように ID プロバイダーを設定する必要があります。 結果として得られる ID トークン内のクレームは、検証可能な資格情報の内容を設定するために使用されます。 Authenticator は、OpenID Connect 認可コード フローを使用してユーザーを認証します。 OpenID プロバイダーでは、次の OpenID Connect 機能がサポートされている必要があります。
ID プロバイダーに送信される HTTP 要求の例は、下にあります。 ID プロバイダーは、OpenID Connect 認証標準に従って、これらの要求を受け入れて応答する必要があります。
クライアントの登録
検証可能な資格情報を受け取るには、お客様のユーザーが Microsoft Authenticator アプリからお客様の IDP にサインインする必要があります。
この交換を可能にするには、アプリケーションを ID プロバイダーに登録します。 Microsoft Entra ID を使用している場合は、こちらの手順をご覧ください。 登録時には、次の値を使用します。
設定
値
アプリケーション名
<Issuer Name> Verifiable Credential Service
リダイレクト URI
vcclient://openid/
アプリケーションを ID プロバイダーに登録したら、そのクライアント ID を記録します。 これは、後述のセクションで使用します。 また、OIDC と互換性のある ID プロバイダーの既知のエンドポイントへの URL も書き留めておく必要があります。 発行サービスは、このエンドポイントを使用して、Authenticator によって送信される ID トークンを検証するために必要な公開キーをダウンロードします。
構成されたリダイレクト URI は Authenticator によって使用されるので、Authenticator がサインインが完了したタイミングを認識し、ID トークンを取得できます。
Authorization request (承認要求)
ID プロバイダーに送信される認可要求には、次の形式が使用されます。
GET /authorize?client_id=<client-id>&redirect_uri=vcclient%3A%2F%2Fopenid%2F&response_mode=query&response_type=code&scope=openid&state=12345&nonce=12345 HTTP/1.1
Host: www.contoso.com
Connection: Keep-Alive
パラメーター
値
client_id
アプリケーションの登録プロセス中に取得されるクライアント ID。
redirect_uri
vcclient://openid/ を使用する必要があります。
response_mode
query がサポートされている必要があります。
response_type
code がサポートされている必要があります。
scope
openid がサポートされている必要があります。
state
OpenID Connect 標準に従って、クライアントに返される必要があります。
nonce
OpenID Connect 標準に従って、ID トークンのクレームとして返される必要があります。
ID プロバイダーは認可要求を受信すると、ユーザーを認証し、サインインを完了するために必要なすべての手順 (多要素認証など) を実行する必要があります。
ニーズに合わせてサインイン プロセスをカスタマイズできます。 追加情報の提供、サービス使用条件への同意、資格情報の料金の支払いなどを、ユーザーに求めることができます。 すべての手順が完了したら、下に示すようなリダイレクト URI にリダイレクトすることで、認可要求に応答します。