Azure Active Directory B2C を使用して Microsoft アカウントでのサインアップおよびサインインを設定する

  • [アーティクル]

"開始する前に"、[ポリシーの種類の選択] セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

注意

Azure Active Directory B2C で、カスタム ポリシーは、主に、複雑なシナリオに取り組む用途向けに設計されています。 ほとんどのシナリオで、組み込みユーザー フローを使用することをお勧めします。 まだ行っていない場合は、Active Directory B2C でのカスタム ポリシーの概要に関する記事で、カスタム ポリシー スターター パックの詳細を確認してください。

前提条件

Microsoft アカウント アプリケーションを作成する

Azure Active Directory B2C (Azure AD B2C) で Microsoft アカウントを持つユーザーのサインインを有効にするには、Azure portal でアプリケーションを作成する必要があります。 詳細については、Microsoft ID プラットフォームにアプリケーションを登録する方法に関するページを参照してください。 まだ Microsoft アカウントを持っていない場合は、https://www.live.com/ で取得できます。

  1. Azure portal にサインインします。

  2. 複数のテナントにアクセスできる場合は、上部のメニュー内の設定アイコンを選択し、[ディレクトリとサブスクリプション] メニューから、ご利用の Microsoft Entra ID テナントに切り替えます。

  3. Azure portal の左上隅にある [すべてのサービス] を選択し、 [アプリの登録] を検索して選択します。

  4. [新規登録] を選択します。

  5. アプリケーションの [名前] を入力します。 たとえば、 MSAapp1 です。

  6. [サポートされているアカウントの種類] で、[個人用の Microsoft アカウント (Skype、Xbox など)] を選びます。

    アカウントの種類のその他の選択肢の詳細については、「クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

  7. [リダイレクト URI (省略可能)][Web] を選択し、https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authrespを入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-tenant-name をユーザーの Azure AD B2C テナントの名前に、your-domain-name をユーザーのカスタム ドメインに置き換えます。

  8. [登録] を選択します

  9. アプリケーションの [概要] ページに表示されている [アプリケーション (クライアント) ID] を記録します。 このクライアント ID は、次のセクションで ID プロバイダーを構成するときに必要です。

  10. [証明書とシークレット] を選択します。

  11. [新しいクライアント シークレット] をクリックします

  12. シークレットの [説明] を「アプリケーション パスワード 1」のように入力して、 [追加] をクリックします。

  13. [値] 列に示されているアプリケーション パスワードを記録します。 このクライアント シークレットは、次のセクションで ID プロバイダーを構成するときに必要です。

Microsoft を ID プロバイダーとして構成する

  1. Azure AD B2C テナントの全体管理者として Azure Portal にサインインします。
  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
  3. Azure Portal の左上隅の [すべてのサービス] を選択し、 [Azure AD B2C] を検索して選択します。
  4. [ID プロバイダー] を選択してから、 [Microsoft アカウント] を選択します。
  5. [名前] を入力します。 たとえば、「MSA」とします。
  6. [クライアント ID] には、前に作成した Microsoft Entra アプリケーションのアプリ (クライアント) ID を入力します。
  7. [クライアント シークレット] には、記録したクライアント シークレットを入力します。
  8. [保存] を選択します。

ユーザー フローに Microsoft ID プロバイダーを追加する

この時点では、Microsoft ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 ユーザー フローに Microsoft ID プロバイダーを追加するには:

  1. Azure AD B2C テナントで、 [ユーザー フロー] を選択します。
  2. Microsoft ID プロバイダーを追加するユーザー フローをクリックします。
  3. [ソーシャル ID プロバイダー] から、 [Microsoft アカウント] を選択します。
  4. [保存] を選択します。
  5. ポリシーをテストするには、 [ユーザー フローを実行します] を選択します。
  6. [アプリケーション] には、以前に登録した testapp1 という名前の Web アプリケーションを選択します。 [応答 URL]https://jwt.ms と表示されます。
  7. [ユーザー フローを実行します] ボタンを選択します。
  8. サインアップまたはサインイン ページで、 [Microsoft] を選択して Microsoft アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

省略可能な要求の構成

Microsoft Entra ID から family_name および given_name 要求を取得する場合は、Azure portal UI またはアプリケーション マニフェストでアプリケーションの省略可能な要求を構成できます。 詳細については、Microsoft Entra アプリに省略可能な要求を提供する方法に関するページを参照してください。

  1. Azure portal にサインインします。 Microsoft Entra ID を検索して選択します。
  2. [管理] セクションで、 [アプリの登録] を選択します。
  3. 省略可能な要求を構成するアプリケーションを一覧から選択します。
  4. [管理] セクションで、 [トークンの構成 (プレビュー)] を選択します。
  5. [省略可能な要求を追加] を選択します。
  6. 構成するトークンの型を選択します。
  7. 追加する省略可能な要求を選択します。
  8. [追加] をクリックします。

ポリシー キーを作成する

これで、Microsoft Entra テナント内にアプリケーションが作成されたので、そのアプリケーションのクライアント シークレットを Azure AD B2C テナント内に格納する必要があります。

  1. Azure portal にサインインします。
  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
  3. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
  4. [概要] ページで、 [Identity Experience Framework] を選択します。
  5. [ポリシー キー] を選択し、 [追加] を選択します。
  6. オプションについては、Manualを選択します。
  7. ポリシー キーの名前を入力します。 たとえば、「 MSASecret 」のように入力します。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
  8. [シークレット] に、前のセクションで記録したクライアント シークレットを入力します。
  9. [キー使用法] として [Signature] を選択します。
  10. Create をクリックしてください。

Microsoft を ID プロバイダーとして構成する

ユーザーが Microsoft アカウントを使用してサインインできるようにするには、そのアカウントを Azure AD B2C がエンドポイント経由で通信できるクレーム プロバイダーとして定義する必要があります。 エンドポイントは、特定のユーザーが認証されていることを確認するために Azure AD B2C で使う一連の要求を提供します。

ポリシーの拡張ファイル内で ClaimsProvider 要素に追加して、Microsoft Entra ID をクレーム プロバイダーとして定義できます。

  1. TrustFrameworkExtensions.xml ポリシー ファイルを開きます。

  2. ClaimsProviders 要素を見つけます。 存在しない場合は、それをルート要素の下に追加します。

  3. 新しい ClaimsProvider を次のように追加します。

    <ClaimsProvider>
  <Domain>live.com</Domain>
  <DisplayName>Microsoft Account</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
      <DisplayName>Microsoft Account</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="ProviderName">https://login.live.com</Item>
        <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
        <Item Key="response_types">code</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="scope">openid profile email</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="client_id">Your Microsoft application client ID</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="email" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. client_id の値を、前に記録した Azure AD アプリケーションの "アプリケーション (クライアント) ID" に置き換えます。

  5. ファイルを保存します。

これで、Azure AD B2C で Microsoft Entra ID 内の Microsoft アカウント アプリケーションと通信する方法を認識できるようにポリシーが構成されました。

ユーザー体験を追加する

この時点では、ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成してください。そうでない場合は、次の手順に進みます。

  1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
  2. Id="SignUpOrSignIn" を含む UserJourney 要素を見つけ、その内容全体をコピーします。
  3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は追加します。
  4. コピーした UserJourney 要素の内容全体を UserJourneys 要素の子として貼り付けます。
  5. ユーザー体験の ID の名前を変更します。 たとえば、「 Id="CustomSignUpSignIn" 」のように入力します。

ユーザー体験に ID プロバイダーを追加する

これでユーザー体験ができたので、ユーザー体験に新しい ID プロバイダーを追加します。 最初にサインイン ボタンを追加してから、ボタンをアクションにリンクします。 アクションは、前に作成した技術プロファイルです。

  1. ユーザー体験内で、Type="CombinedSignInAndSignUp" または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 これは通常、最初のオーケストレーション ステップです。 ClaimsProviderSelections 要素には、ユーザーがサインインに使用できる ID プロバイダーの一覧が含まれています。 要素の順序により、ユーザーに表示されるサインイン ボタンの順序が制御されます。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

  2. 次のオーケストレーション ステップで、ClaimsExchange 要素を追加します。 ID を、ターゲットの要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、前に作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション ステップを示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

証明書利用者ポリシーを構成する

証明書利用者ポリシー (例 SignUpSignIn.xml) は、Azure AD B2C が実行されるユーザー体験を指定します。 証明書利用者内の DefaultUserJourney 要素を検索します。 ID プロバイダーを追加したユーザー体験 ID と一致するように ReferenceId を更新します。

次の例では、CustomSignUpSignIn ユーザー体験について、ReferenceIdCustomSignUpSignIn に設定しています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

  1. Azure portal にサインインします。
  2. ポータル ツール バーにある [ディレクトリ + サブスクリプション] アイコンを選択し、Azure AD B2C テナントを含むディレクトリを選択します。
  3. Azure portal で、 [Azure AD B2C] を検索して選択します。
  4. [ポリシー][Identity Experience Framework] を選択します。
  5. [カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを拡張ポリシー (TrustFrameworkExtensions.xml など)、証明書利用者ポリシー (SignUpSignIn.xmlなど) の順序でアップロードします。

カスタム ポリシーのテスト

  1. 証明書利用者ポリシー (B2C_1A_signup_signin など) を選択します。
  2. [アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL]https://jwt.ms と表示されます。
  3. [今すぐ実行] ボタンを選択します。
  4. サインアップまたはサインイン ページで、 [Microsoft] を選択して Microsoft アカウントでサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。