次の方法で共有

従業員テナントでの外部 ID の ID プロバイダー

適用対象: 白いチェック マーク記号が付いた緑の円。 従業員テナント 灰色の X 記号が付いた白い円。 外部テナント (詳細情報)

ヒント

この記事の対象は、従業員テナントでの B2B コラボレーションです。 外部テナントの詳細については、外部テナントの認証方法と ID プロバイダーに関する記事をご覧ください。

ID プロバイダー (IdP) は、アプリケーションに認証サービスを提供しながら、ID 情報を作成、維持、管理します。 アプリとリソースを外部ユーザーと共有する場合は、Microsoft Entra ID が共有のための既定の ID プロバイダーです。 Microsoft Entra アカウントまたは Microsoft アカウントを既に持っている外部ユーザーを招待すると、それ以上構成を行わなくても、そのユーザーは自動的にサインインできます。

外部 ID では、さまざまな ID プロバイダーを提供しています。

  • Microsoft Entra アカウント: ゲスト ユーザーは、Microsoft Entra の職場または学校アカウントを使用して、B2B コラボレーションの招待を利用したり、サインアップ ユーザー フローを完了したりできます。 Microsoft Entra ID は、既定で許可されている ID プロバイダーの 1 つです。 この ID プロバイダーをユーザー フローで使用できるようにするために必要なその他の構成はありません。

  • Microsoft アカウント: ゲスト ユーザーは、自分自身の個人用 Microsoft アカウント (MSA) を使用して、B2B コラボレーションの招待を引き換えることができます。 セルフサービス サインアップのユーザー フローを設定するときには、許可される ID プロバイダーの 1 つとして Microsoft アカウントを追加できます。 この ID プロバイダーをユーザー フローで使用できるようにするために必要なその他の構成はありません。

  • ワンタイム パスコードをメールで送信する: ゲストは、招待に応じるとき、または共有リソースにアクセスするときに、一時的なコードを要求できます。 このコードがメール アドレスに送信されます。 その後は、このコードを入力してサインインを続けます。 電子メール ワンタイム パスコード機能では、B2B ゲスト ユーザーが他の手段を使用して認証できないときにユーザーを認証します。 セルフサービス サインアップのユーザー フローを設定するときには、許可される ID プロバイダーの 1 つとして電子メール ワンタイム パスコードを追加できます。 いくつかの設定が必要になります。「電子メール ワンタイム パスコード認証」を参照してください。

  • Google: Google フェデレーションでは、外部ユーザーが自分の Gmail アカウントでアプリにサインインすることにより、あなたからの招待を利用することができます。 Google フェデレーションは、セルフサービスのサインアップ ユーザー フローでも使用できます。 ID プロバイダーとして Google を追加する方法に関するページを参照してください。

    重要

    • 2021 年 7 月 12 日の時点で、Microsoft Entra B2B のお客様がカスタムまたは基幹業務アプリケーションのセルフサービス サインアップで使用する新しい Google 統合を設定した場合、認証がシステム Web ビューに移動されるまで、Google ID による認証は機能しません。 詳細情報 を参照してください。
    • 2021 年 9 月 30 日、Google は 埋め込み Web ビュー サインインのサポートを非推奨にしました。 アプリで埋め込み Web ビューを使用してユーザーを認証していて、Google フェデレーションを Azure AD B2C、Microsoft Entra B2B (外部ユーザーの招待用)、またはセルフサービス サインアップで使用している場合、Google Gmail ユーザーが認証されなくなります。 詳細情報 を参照してください。

  • Facebook: アプリを構築するときに、セルフサービス サインアップを構成し、Facebook フェデレーションを有効にすることで、ユーザーが自分の Facebook アカウントを使用してアプリにサインアップできるようにすることが可能です。 Facebook は、セルフサービス サインアップ ユーザー フローにのみ使用でき、ユーザーがあなたからの招待を利用するときにサインイン オプションとして使用することはできません。 ID プロバイダーとして Facebook を追加する方法に関するページを参照してください。

  • SAML/WS-Fed ID プロバイダー フェデレーション: SAML または WS-Fed プロトコルをサポートする任意の外部 ID プロバイダーとのフェデレーションを設定することもできます。 SAML/WS-Fed IdP フェデレーションを使用すると、外部ユーザーは独自の IdP マネージド アカウントを使用してアプリまたはリソースにサインインできます。新しい Microsoft Entra 資格情報を作成する必要はありません。 詳細については、「 SAML/WS-Fed ID プロバイダー」を参照してください。 詳細なセットアップ手順については、「 SAML/WS-Fed ID プロバイダーとのフェデレーションを追加する」を参照してください。

Google、Facebook、または SAML/WS-Fed ID プロバイダーとのフェデレーションを構成するには、少なくとも Microsoft Entra テナントの 外部 ID プロバイダー管理者 である必要があります。

ソーシャル ID プロバイダーの追加

Azure AD はセルフサービス サインアップが既定で有効になっているため、ユーザーは常に Microsoft Entra アカウントを使用してサインアップすることができます。 ただし、Google や Facebook のようなソーシャル ID プロバイダーを含め、その他の ID プロバイダーを有効にできます。 Microsoft Entra テナントでソーシャル ID プロバイダーを設定するには、その ID プロバイダーでアプリケーションを作成し、資格情報を構成します。 クライアントまたはアプリの ID と、クライアントまたはアプリのシークレットを取得して、Microsoft Entra テナントに追加できます。

Microsoft Entra テナントに ID プロバイダーを追加した後、次のようにします。

  • 組織内のアプリまたはリソースに外部ユーザーを招待すると、外部ユーザーはその ID プロバイダーでの自分のアカウントを使用してサインインできるようになります。

  • アプリに対してセルフサービス サインアップを有効にすると、外部ユーザーは、追加した ID プロバイダーでの自分のアカウントを使用して、アプリにサインアップできます。 サインアップ ページで使用できるようにしたソーシャル ID プロバイダーのオプションから選択できます。

    Google と Facebook のオプションが表示されたサインイン画面のスクリーンショット

最適なサインイン エクスペリエンスにするには、可能な限り ID プロバイダーとフェデレーションします。これにより、招待されたゲストがアプリにアクセスしたときに、シームレスなサインイン エクスペリエンスを提供できるようになります。

次のステップ

アプリケーションへのサインイン用に ID プロバイダーを追加する方法については、次の記事を参照してください。