Microsoft Entra ID で WS-Federation プロバイダーを設定する
Microsoft Entra は、Power Pages サイトへの 訪問者を認証 するために使用できる WS-Federation ID プロバイダーの 1 つです。 WS-Federation の仕様に準拠していればどのプロバイダーも使用することができます。
この記事では以下の手順について説明します。
Power Pages で Microsoft Entra を設定する
Microsoft Entra をサイトの ID プロバイダーとして設定します。
Power Pages のサイトで、セキュリティ>ID プロバイダーを選択します。
ID プロバイダーが表示されない場合は、使用しているサイトの 一般承認設定 で外部ログイン が オン に設定されているかを確認します。
+ 新規プロバイダー を選択します。
ログイン プロバイダーの選択 で その他 を選択します。
プロトコル で WS-Federation を選択します。
Microsoft Entra ID など、プロバイダーの名前を入力します。
プロバイダー名は、ユーザーがサインイン ページで ID プロバイダーを選択するときに表示されるボタンのテキストです。
次へを選択します。
返信 URL で、コピー を選択します。
Power Pages ブラウザー タブを閉じないでください。すぐに元に戻ります。
Azure でアプリの登録を作成する
サイトの返信 URL をリダイレクト URI として、Azure portal でアプリ登録を作成します。
Azure portalにサインインします。
Azure Active Directory を検索して選択します。
管理 配下で アプリの登録 を選択します。
新規登録を選択します。
名前を入力してください。
組織の要件を最もよく反映した 対応しているアカウントの種類 のうちの 1 つを選択します。
リダイレクト URI で、プラットフォームとして Web を選択し、サイトの返信 URL を入力します。
- サイトの既定の URL を使用している場合は、コピーした 返信 URL を貼り付けます。
- カスタム ドメイン名を使用している場合は、カスタム URL を入力します。 サイトの ID プロバイダーの設定で、アサーション コンシューマ サービスの URL に必ず同じカスタム URL を使用します。
登録を選択します。
ページ上部にある エンドポイント を選択します。
フェデレーション メタデータ ドキュメントの URL を検索し、コピー アイコンを選択します。
左側のサイド パネルで、API を公開するを選択します。
アプリケーション ID の URI の右側で、追加を選択します。
カスタム ドメイン名を使用している場合は、サイト URL を入力してください。 それ以外の場合は、自動生成された URI のままにします。 サイトの設定に合わせてアプリ ID URI を変更する必要があります。
最近の更新により、アプリ ID URI は自動生成された URI または検証済みのカスタム ドメイン名である必要があります。
保存 を選びます。
新しいブラウザー タブで、前にコピーしたフェデレーション メタデータ ドキュメントの URL を貼り付けます。
ドキュメントの
entityID
タグの値をコピーします。
Power Pages でサイト設定を入力する
先ほどの Power Pages の ID プロバイダーを構成する ページに戻り、次の値を入力します。 必要に応じて、追加の設定 を変更します。 完了後、確認 を選択します。
メタデータ アドレス: コピーしたフェデレーション メタデータ ドキュメントの URL を貼り付けます。
認証の種類: コピーした
entityID
の値を貼り付けます。サービス プロバイダー領域: サイトの URL を入力します。
アサーション コンシューマサービスの URL: サイトでカスタム ドメイン名を使用している場合は、カスタム URL を入力します。それ以外の場合は、既定値 (サイトの返信 URL ) のままにします。 値が 作成した アプリケーションのリダイレクト URI と完全に同じであることを確認してください。
Power Pages での追加設定
追加設定を使用して、SAML 2.0 ID プロバイダーでユーザーの認証方法を詳細にコントロールできます。 これらの値を設定する必要はありません。 完全にオプションです。
サインアウト変身: ユーザーサインアウト後に戻る URL を入力します。
対象ユーザーの検証: トークンの検証中に対象ユーザーを検証するには、この設定をオンにします。
有効な対象ユーザー: 対象ユーザー URL のコンマ区切りのリストを入力します。
WHR: ID プロバイダーのホーム レルムを入力します。 この値は、WS-Federation のサインイン リクエスト
whr
パラメーターを設定します。 この設定が空の場合、whr
パラメーターはリクエストに含まれません。メールによる取引先担当者マッピング : この設定では、取引先担当者がサインインしたときに、対応するメール アドレスにマッピングされるかどうかを決定します。
- オン: 一意の取引先担当者レコードが一致するメール アドレスに関連付けられ、ユーザーが正常にサインインした後に自動的に外部 ID プロバイダーがその取引先担当者に割り当てられます。
- オフ
サイト設定でアプリ ID URI を更新する
アプリ ID URI として自動生成された URI を使用している場合は、サイト設定で値を変更する必要があります。
ポータル管理アプリを開き、サイト設定に移動します。
サイト設定 Authentication/WsFederation/WSFederation_1/Wtrealm の値を、自動生成されたアプリ ID URI に変更します。
保存 を選びます。