ファネルベースのアプローチを用いてグローバル ID ソリューションを構築する

[アーティクル]
01/26/2024

この記事では、ファネルベースの設計アプローチのシナリオについて説明します。設計を開始する前に、ファネルベースとリージョンベースの両方の設計アプローチの機能とパフォーマンスを確認することをお勧めします。この記事は、組織に最適な設計を決定するのに役立ちます。

設計では、以下を考慮します。

ローカルアカウントのサインアップとサインイン
フェデレーションアカウントのサインアップとサインイン
テナント間 API ベースの認証でサポートされる、登録済みリージョン外からサインインするユーザーのローカルアカウントの認証
テナント間 API ベースの参照でサポートされる、登録済みリージョン外からサインインするユーザーのフェデレーションアカウントの認証
複数の異なるリージョンからのサインアップの防止
接続する単一のエンドポイントがある各リージョンのアプリケーション

グローバル Azure AD B2C 環境では、次のようなユースケースが一般的です。ローカルアカウントのユースケースには、移動中のユーザーのアカウントも含まれます。各ユースケースに応じた図とワークフローの手順があります。

このユースケースは、ユーザーが自分の国またはリージョンから Azure AD B2C ローカルアカウントを使用してサインアップを実行する方法を示しています。

ローカルユーザーのサインアップフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカ (EMEA) のユーザーが myapp.fr にサインアップを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、定義された条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーがサインアップを試みます。サインアッププロセスでは、グローバルルックアップテーブルを調べて、リージョンの Azure AD B2C テナントのいずれかにユーザーが存在するかどうかが確認されます。
グローバルルックアップテーブルでユーザーが見つかりません。このユーザーのアカウントが Azure AD B2C に書き込まれ、ユーザーがサインアップしたリージョンを追跡するためのレコードがグローバルルックアップテーブルに作成されます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

このユースケースは、ユーザーが自分の国/リージョンから、または別のリージョンから同じメールアドレスを再登録し、ブロックされる場合を示しています。

既存のアカウントのサインアップフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインアップを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーがサインアップを試みます。サインアッププロセスでは、グローバルルックアップテーブルを調べて、リージョンの Azure AD B2C テナントのいずれかにユーザーが存在するかどうかが確認されます。
グローバルルックアップテーブルでユーザーのメールアドレスが見つかります。これは、過去のある時点でユーザーがこのメールアドレスをソリューションに登録したことを示しています。
そのアカウントが存在することを示すエラーがユーザーに表示されます。

このユースケースは、ユーザーが自分の国またはリージョンから Azure AD B2C ローカルアカウントを使用してサインインを実行する方法を示しています。

ローカルユーザーのサインインフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、リージョンのテナントで資格情報を入力します。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

このユースケースは、ユーザーがリージョン間を移動しても、サインアップに応じてリージョンのテナントに保存されているユーザープロファイルと資格情報を維持する方法を示しています。

移動中のユーザーのサインインフローを示すスクリーンショット。

北米 (NOAM) のユーザーが、フランスでの休暇中に myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、リージョンのテナントで資格情報を入力します。
ユーザーのメールアドレスが EMEA Azure AD B2C ディレクトリで見つからなかったため、リージョンのテナントでグローバルルックアップテーブルの参照が実行されます。
ユーザーのメールアドレスは、NOAM Azure AD B2C テナントにサインアップされていることがわかります。
EMEA Azure AD B2C テナントで、NOAM Azure AD B2C テナントに対して Microsoft Entra ROPC フローが実行され、資格情報が検証されます。

注意

この呼び出しでは、ユーザーが Graph API 呼び出しを実行するためのトークンもフェッチされます。 EMEA Azure AD B2C テナントで、NOAM Azure AD B2C テナントに対して Graph API 呼び出しが実行され、ユーザーのプロファイルがフェッチされます。この呼び出しは、最後のステップで取得された Graph API のアクセストークンによって認証されます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

ローカルユーザーがパスワードを忘れた場合

このユースケースは、自分の国またはリージョンにいるユーザーがパスワードをリセットする方法を示しています。

ローカルユーザーがパスワードを忘れた場合のフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが EMEA Azure AD B2C テナントにアクセスし、[パスワードを忘れた場合] を選択します。ユーザーがメールアドレスを入力して検証します。
メールアドレスの参照が実行され、ユーザーが存在するリージョンのテナントが特定されます。
ユーザーが新しいパスワードを指定します。
この新しいパスワードが、EMEA Azure AD B2C テナントに書き込まれます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

移動中のユーザーがパスワードを忘れた場合

このユースケースは、アカウントを登録したリージョンから離れているユーザーがパスワードをリセットする方法を示しています。

移動中のユーザーがパスワードを忘れた場合のフローを示すスクリーンショット。

フランスで休暇を過ごしている NOAM のユーザーが、myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが EMEA Azure AD B2C テナントにアクセスし、[パスワードを忘れた場合] を選択します。ユーザーがメールアドレスを入力して検証します。
メールアドレスの参照が実行され、ユーザーが存在するリージョンのテナントが特定されます。
メールアドレスが NOAM Azure AD B2C テナントに存在することがわかりました。ユーザーが新しいパスワードを指定します。
この新しいパスワードが、Graph API 呼び出しを介して NOAM Azure AD B2C テナントに書き込まれます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

ローカルユーザーによるパスワードの変更

このユースケースは、ユーザーがアカウントを登録したリージョンにログインした後にパスワードを変更する方法を示しています。

ローカルユーザーがパスワードを変更する場合のフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが、myapp.fr にログイン後、[パスワードの変更] を選択します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーは EMEA Azure AD B2C テナントにアクセスし、シングルサインオン (SSO) の Cookie 設定により、すぐにパスワードを変更できます。
新しいパスワードが、EMEA Azure AD B2C テナントのユーザーアカウントに書き込まれます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

移動中のユーザーによるパスワードの変更

このユースケースは、アカウントを登録したリージョンから離れているユーザーが、ログイン後にパスワードを変更する方法を示しています。

移動中のユーザーがパスワードを変更する場合のフローを示すスクリーンショット。

NOAM のユーザーが、myapp.fr にログイン後、[パスワードの変更] を試みます。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーは EMEA Azure AD B2C テナントにアクセスし、SSO の Cookie 設定により、すぐにパスワードを変更できます。
グローバルルックアップテーブルを確認した結果、ユーザーのメールアドレスが NOAM テナントに存在することがわかりました。
新しいパスワードが、MS Graph API 呼び出しによって NOAM Azure AD B2C テナントのユーザーアカウントに書き込まれます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

フェデレーション ID プロバイダーの認証

以下のユースケースは、フェデレーション ID を使用して Azure AD B2C クライアントとしてサインアップまたはサインインする例を示しています。

このユースケースは、ユーザーがローカルリージョンからフェデレーション ID を使用してサービスにサインアップする方法を示しています。

フェデレーション ID でサインアップする場合のフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインアップを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、フェデレーション ID プロバイダー (IdP) を使用してサインインすることを選択します。
グローバルルックアップテーブルの参照が実行されます。
- アカウントリンクがスコープ内にある場合: フェデレーション IdP 識別子またはフェデレーション IdP から返されたメールアドレスがルックアップテーブルに存在しない場合は続行されます。
- アカウントリンクがスコープ内にない場合: フェデレーション IdP から返されたフェデレーション IdP 識別子がルックアップテーブルに存在しない場合は続行されます。
EMEA Azure AD B2C テナントにユーザーアカウントが書き込まれます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

このユースケースは、ユーザーがローカルリージョンからフェデレーション ID を使用してサービスにサインインする方法を示しています。

ローカルフェデレーションユーザーがサインインする場合のフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、フェデレーション ID プロバイダーを使用してサインインすることを選択します。
グローバルルックアップテーブルの参照が実行され、ユーザーのフェデレーション ID が EMEA に登録されていることが確認されます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

このユースケースは、ユーザーがサインアップしたリージョンから離れているときに、フェデレーション IdP を使用して自分のアカウントにサインインする方法を示しています。

移動中のフェデレーションユーザーがサインインする場合のフローを示すスクリーンショット。

NOAM のユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、フェデレーション ID プロバイダーを使用してサインインすることを選択します。

注意

すべての Azure AD B2C リージョンテナントのソーシャル IdP でアプリ登録の同じアプリ ID を使用します。これにより、ソーシャル IdP から返される ID が常に同じになります。
グローバルルックアップテーブルの参照が実行され、ユーザーのフェデレーション ID が NOAM に登録されていることが特定されます。
NOAM Azure AD B2C テナントから MS Graph API を使用してアカウントデータが読み取られます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

一致条件を使用したアカウントリンク

このユースケースは、一致条件が満たされたときにユーザーがアカウントリンクを実行する方法を示しています。一致条件は、通常、ユーザーのメールアドレスです。新しい ID プロバイダーからのサインインの一致条件が、Azure AD B2C 内の既存のアカウントと同じ値である場合、アカウントリンクプロセスを開始できます。

フェデレーションアカウントをマージするためのフローを示すスクリーンショット。

ヨーロッパ、中近東およびアフリカのユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、フェデレーション ID プロバイダーまたはソーシャル IdP でサインインすることを選択します。
フェデレーション IdP から返された ID に対してグローバルルックアップテーブルの参照が実行されます。
ID は存在しないが、フェデレーション IdP からのメールアドレスが EMEA Azure AD B2C に存在する場合、アカウントリンクのユースケースです。
ディレクトリからユーザーが読み取られ、アカウントで有効な認証方法が特定されます。ユーザーがこのアカウントの既存の認証方法でサインインするための画面が表示されます。
ユーザーが Azure AD B2C のアカウントを所有していることが証明されると、新しいソーシャル ID が既存のアカウントに追加され、グローバルルックアップテーブルのアカウントにソーシャル ID が追加されます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

一致条件を使用した移動中ユーザーのアカウントリンク

このユースケースは、一致条件が満たされた場合に、非ローカルユーザーがアカウントリンクを実行できる方法を示しています。一致条件は、通常、ユーザーのメールアドレスです。新しい ID プロバイダーからのサインインの一致条件が、Azure AD B2C 内の既存のアカウントと同じ値である場合、アカウントリンクプロセスを開始できます。

移動中のフェデレーションユーザーをマージするためのフローを示すスクリーンショット。

NOAM のユーザーが myapp.fr にサインインを試みます。このユーザーがローカルアプリケーションインスタンスに送信されない場合、トラフィックマネージャーは、リダイレクトを強制します。
ユーザーがグローバルファネル Azure AD B2C テナントに到達します。このテナントは、OpenId フェデレーションを使用し、いくつかの条件に基づいて、リージョンの Azure AD B2C テナントにリダイレクトするように構成されています。これは、Application clientId に基づく参照にすることができます。
ユーザーが、フェデレーション ID プロバイダーまたはソーシャル IdP でサインインすることを選択します。
フェデレーション IdP から返された ID に対してグローバルルックアップテーブルの参照が実行されます。
ID が存在せず、フェデレーション IdP からのメールアドレスが別のリージョンに存在する場合、これは、移動中ユーザーのアカウントリンクのユースケースです。
現在収集されているユーザーの要求をアサートする id_token_hint リンクが作成されます。フェデレーションを使用して NOAM Azure AD B2C テナントに体験がブートストラップされます。ユーザーは、NOAM Azure AD B2C テナントを介して、アカウントを所有していることを証明します。

Note

この方法は、ホームテナント内の既存のアカウントリンクロジックを再利用し、ID コレクションを操作するための外部 API 呼び出しを減らすために使用されます。 id_token_hint を利用するカスタムポリシーのサンプルについては、こちらを参照してください。
ユーザーが Azure AD B2C のアカウントを所有していることが証明されると、NOAM Azure AD B2C テナントへの Graph API 呼び出しが行われ、既存のアカウントに新しいソーシャル ID が追加されます。グローバルルックアップテーブルのアカウントにソーシャル ID が追加されます。
リージョンのテナントで、ファネルテナントにトークンが再発行されます。
ファネルテナントで、アプリケーションにトークンが発行されます。

次の方法で共有