Azure AD B2C を使用して OpenID Connect プロバイダーを設定する
Azure Active Directory (Azure AD) B2C は、訪問者 に Power Pages サイトの使用を許可するために使用する OpenID Connect ID プロバイダーです。 Open ID Connect 仕様 に準拠した ID プロバイダーを使用することができます。
この記事では以下の手順について説明します。
Power Pages で Azure AD B2C を設定する
Azure AD B2C をサイトの ID プロバイダーとして設定します。
Power Pages のサイトで、セキュリティ>ID プロバイダーを選択します。
ID プロバイダーが表示されない場合は、使用しているサイトの 一般承認設定 で外部ログイン が オン に設定されているかを確認します。
Azure Active Directory B2C の右側で、その他のコマンド (…) >構成 を選択するか、プロバイダー名を選択します。
プロバイダー名はそのままにするか、必要に応じて変更します。
プロバイダー名は、ユーザーがサインイン ページで ID プロバイダーを選択するときに表示されるボタンのテキストです。
次へを選択します。
返信 URL で、コピー を選択します。
Azure を開く を選択します。
Power Pages ブラウザー タブを閉じないでください。すぐに元に戻ります。
アプリ登録の作成
Azure AD B2C のテナントと、サイトの応答 URL をリダイレクト URI として アプリケーションを登録 を作成します。
Azure AD B2C を検索して選択します。
管理 配下で アプリの登録 を選択します。
新規登録を選択します。
名前を入力してください。
組織の要件を最もよく反映した 対応しているアカウントの種類 のうちの 1 つを選択します。
リダイレクト URI で、プラットフォームとして Web を選択し、サイトの返信 URL を入力します。
- サイトの既定の URL を使用している場合は、コピーした 返信 URL を貼り付けます。
- カスタム ドメイン名を使用している場合は、カスタム URL を入力します。 サイトの ID プロバイダーの設定で、リダイレクト URL に必ず同じカスタム URL を使用します。
登録を選択します。
アプリケーション (クライアント) ID をコピーします。
左側のサイド ペインで、管理 から 認証 を選択します。
暗黙的な許可 で、アクセス トークン (暗黙的なフローに使用) を選択します。
保存 を選びます。
tfp を含む 発行者 (iss) の要求 URL を使用して トークンの互換性を構成 します。 トークンの互換性に関する詳細を確認する。
ユーザー フローを作成する
ユーザー フローから発行者の URL を取得する
作成した サインアップとサインインのユーザー フローを開きます。
Azure ポータル の Azure AD B2C に移動します。
ユーザー フローを実行する を選択します。
新しいブラウザー タブで、OpenID Connect 構成 URL を開きます。
URL は、OpenID Connect ID プロバイダーの構成ドキュメント (OpenID の既知の構成エンドポイント) を参照します。
アドレス バーで 発行者 URL をコピーします。 引用符は含めることができません。 発行者 (iss) の要求 URL に tfp が含まれていることを確認してください。
パスワード リセット ユーザー フローを作成した場合は、それを開き、手順 2 から 5 を繰り返します。
Power Pages でサイト設定とパスワードのリセット設定を入力する
先ほど終了した Power Pages ID プロバイダーの構成 ページに戻ります。
サイト設定の構成 セクションで、次の値を入力します。
パスワード リセットの設定 で、次の値を入力します。
(オプション) 必要に応じて 追加設定 を展開し、設定を変更します。
確認を選択します。
Power Pages での追加設定
追加設定を使用して、Azure AD B2C ID プロバイダーでユーザーの認証方法を詳細にコントロールできます。 これらの値を設定する必要はありません。 完全にオプションです。
登録クレーム マッピング および ログイン クレーム マッピング: ユーザー認証では、クレーム とは、メール アドレスや生年月日などユーザーの個人情報を示します。 アプリケーションや Web サイトにサインインすると、トークン が作成されます。 トークンには、それに関連付けられたクレームなど、ユーザーの個人情報が含まれています。 トークンは、アプリケーションやサイトの他の部分、または同じ ID プロバイダーに接続されている他のアプリケーションやサイトにアクセスするときに、ID を認証するために使用されます。 クレーム マッピング とは、トークンに含まれる情報を変更する方法です。 これを使用して、アプリケーションやサイトで利用できる情報をカスタマイズしたり、機能やデータへのアクセスをコントロールしたりできます。 登録クレーム マッピング は、アプリケーションやサイトに登録するときに発行されるクレームを変更します。 クレーム マッピングにログイン は、アプリケーションやサイトにサインインする際に発行されるクレームを変更します。 クレーム マッピング ポリシーに関する詳細を確認する。
メール、名、姓 属性を使用する場合、これらの設定の値を入力する必要はありません。 他の属性の場合は、論理名と値のペアのリストを入力します。
field_logical_nameが Power Pages のフィールドの論理名で、jwt_attribute_nameが ID プロバイダーから返された値を含む属性であるfield_logical_name=jwt_attribute_name形式で入力します。 これらのペアは、クレーム値 (サインアップまたはサインイン中に作成され、Azure AD B2C から返される) を取引先担当者レコードの属性にマッピングするために使用されます。たとえば、役職 (jobTitle) と 郵便番号 (postalCode) を、ユーザー フローで ユーザー属性 として使用します。 対応する
Contactテーブル フィールド 役職 (jobtitle) と 住所 1: 郵便番号 (address1_postalcode) を更新したい場合。 この場合は、クレーム マッピングをjobtitle=jobTitle,address1_postalcode=postalCodeと入力します。
外部ログアウト: この設定は、サイトでのフェデレーション サインアウトの使用をコントロールします。フェデレーション サインアウトを使用すると、ユーザーがアプリケーションやサイトからサインアウトすると、同じ ID プロバイダーを使用するすべてのアプリケーションやサイトからもサインアウトされます。 たとえば、Microsoft のアカウントを使ってサイトにサインインし、Microsoft のアカウントからサインアウトした場合、フェデレーション サインアウトによって、サイトからもサインアウトされたことが確認されます。
- オン: Web サイトサインアウトするときに、ユーザーはフェデレーション サインアウト エクスペリエンスにリダイレクトされます。
- オフ: ユーザーを Web サイトからのみサインアウトします。
メールによる取引先担当者マッピング : この設定では、取引先担当者がサインインしたときに、対応するメール アドレスにマッピングされるかどうかを決定します。
- オン: 一意の取引先担当者レコードが一致するメール アドレスに関連付けられ、ユーザーが正常にサインインした後に自動的に外部 ID プロバイダーがその取引先担当者に割り当てられます。
- オフ: 取引先担当者レコードが ID プロバイダーと一致しない。 これは、この設定の既定オプションです。
登録が有効: この設定は、ユーザーがサイトに登録できるかどうかをコントロールします。
- オン: ユーザーがサイトでアカウントを作成できるサインアップ ページが表示されます。
- オフ: 外部アカウント登録ページを無効化および非表示にします。