チュートリアル: パスワードレス FIDO2 認証用に Azure Active Directory B2C で Nok Nok Passport を構成する

  • [アーティクル]

Nok Nok S3 認証スイートを Azure Active Directory B2C (Azure AD B2C) テナントに統合する方法について説明します。 Nok Nok ソリューションを使用すると、モバイルおよび Web アプリケーション用の FIDO 認定の多要素認証 (FIDO UAF、FIDO U2F、WebAuthn、FIDO2 など) が有効になります。 Nok Nok ソリューションにより、ユーザー エクスペリエンスのバランスを取りながら、セキュリティ態勢を改善できます。

詳細については、noknok.com にアクセスしてください: Nok Nok Labs, Inc.

前提条件

開始するには、以下が必要です。

シナリオの説明

ユーザーに対してパスワードレス FIDO 認証を有効にするため、Azure AD B2C テナントの ID プロバイダー (IdP) として Nok Nok を有効にします。 Nok Nok ソリューションの統合には、次のコンポーネントが含まれています。

  • Azure AD B2C - ユーザー資格情報を検証する承認サーバー。
  • Web およびモバイル アプリケーション - Nok Nok ソリューション と Azure AD B2C で保護するモバイルまたは Web アプリ
  • Nok Nok アプリ SDK または Passport アプリ - Azure AD B2C が有効なアプリケーションの認証。

次の図は、パスワードレス認証に OpenID Connect (OIDC) を使用する Azure AD B2C の IdP としての Nok Nok ソリューションを示しています。

パスワードレス認証に OpenID Connect (OIDC) を使用する Azure AD B2C の IdP としての Nok Nok の図。

  1. サインイン ページで、ユーザーはサインインまたはサインアップを選択し、ユーザー名を入力します。
  2. Azure AD B2C により、ユーザーは Nok Nok OIDC 認証プロバイダーにリダイレクトされます。
  3. モバイル認証の場合、QR コードが表示されるか、プッシュ通知がユーザー デバイスに送信されます。 デスクトップ サインインの場合、ユーザーはパスワードレス認証のために Web アプリのサインイン ページにリダイレクトされます。
  4. ユーザーは Nok Nok アプリ SDK または Passport アプリを使用して QR コードをスキャンします。 または、ユーザー名がサインイン ページの入力です。
  5. ユーザーは、認証情報を求められます。 ユーザーはパスワードレス認証を行います: 生体認証、デバイス PIN、ローミング認証システム。 Web アプリケーションに認証プロンプトが表示されます。 ユーザーはパスワードレス認証を行います: 生体認証、デバイス PIN、ローミング認証システム。
  6. Nok Nok サーバーによって、FIDO アサーションが検証され、Azure AD B2C に OIDC 認証応答が送信されます。
  7. ユーザーは、アクセスを許可または拒否されます。

Nok Nok の使用を開始する

  1. noknok.com の [連絡先] ページに移動します。
  2. Nok Nok テナントのフォームに入力します。
  3. テナント アクセス情報とドキュメントへのリンクが記載されたメールが届きます。
  4. Nok Nok 統合ドキュメントを使用して、テナントの OIDC 構成を完了します。

Azure AD B2C との統合

次の手順に従って、IdP を追加して構成し、ユーザー フローを構成します。

新しい ID プロバイダーの追加

次の手順では、Azure AD B2C テナントでディレクトリを使用します。 新しい IdP を追加するには:

  1. Azure AD B2C テナントのグローバル管理者として、Azure portal にサインインします。
  2. ポータルのツール バーで、[ディレクトリとサブスクリプション] を選択します。
  3. ポータルの [設定]、[ディレクトリとサブスクリプション][ディレクトリ名] の一覧で、Azure AD B2C ディレクトリを見つけます。
  4. [切り替え] を選択します。
  5. Azure portal の左上にある [すべてのサービス] を選択します。
  6. Azure AD B2C を検索して選択します。
  7. [ダッシュボード]>[Azure Active Directory B2C]>[ID プロバイダー] の順に移動します。
  8. [Identity Providers] を選択します。
  9. [追加] を選択します。

ID プロバイダーの構成

IdP を構成するには:

  1. [ID プロバイダーの種類]>[OpenID Connect (Preview)] の順に選択します。
  2. [名前] に「Nok Nok 認証プロバイダー」または別の名前を入力します。
  3. [メタデータ URL] には、ホストされている Nok Nok 認証アプリの URI を入力し、その後に https://demo.noknok.com/mytenant/oidc/.well-known/openid-configuration などのパスを挿入します
  4. [クライアント シークレット] の場合は、Nok Nok から提供されたクライアント シークレットを使用します。
  5. [クライアント ID] には、Nok Nok によって提供されたクライアント ID を使用します。
  6. [スコープ] には、OpenID プロファイルの電子メールを使用します。
  7. [応答の種類][コード] を使用します。
  8. [応答モード] で、[form_post] を使用します。
  9. [OK] を選択します。
  10. [Map this identity provider's claims] を選択します。
  11. [UserID] で、[サブスクリプションから] を選択します。
  12. [表示名] で、[サブスクリプションから] を選択します。
  13. [応答モード] で、[サブスクリプションから] を選択します。
  14. [保存] を選択します。

ユーザー フロー ポリシーの作成

次の手順では、Nok Nok は B2C ID プロバイダー リストの新しい OIDC IdP です。

  1. Azure AD B2C テナントの [ポリシー] で、 [ユーザー フロー] を選択します。
  2. [新規] を選択します。
  3. [サインアップとサインイン] を選択します。
  4. バージョンを選択します。
  5. [作成] を選択します
  6. ポリシーの [名前] を入力します。
  7. [ID プロバイダー] で、作成した Nok Nok IdP を選択します。
  8. 電子メール アドレスを追加できます。 Azure はサインインを Nok Nok にリダイレクトしません。ユーザー オプションを含む画面が表示されます。
  9. [多要素認証] フィールドはそのままにしておきます。
  10. [条件付きアクセス ポリシーを適用する] を選択します。
  11. [ユーザー属性とトークン要求] の [属性を収集する] オプションで、[メール アドレス] を選択します。
  12. Azure AD B2C がクライアント アプリケーションに返す要求を使用して Microsoft Entra ID が収集するユーザー属性を追加します。
  13. [作成] を選択します
  14. 新しいユーザー フローを選択します。
  15. 左側のパネルで、 [アプリケーション クレーム] を選択します。
  16. [オプション] で、[電子メール] チェックボックスをオンにします
  17. [保存] を選択します。

ユーザー フローをテストする

  1. Azure AD B2C テナントを開き、[ポリシー] の下にある [Identity Experience Framework] を選択します。
  2. 作成した SignUpSignIn を選択します。
  3. [ユーザー フローを実行します] を選択します。
  4. [アプリケーション] で、登録済みのアプリを選択します。 例は JWT です。
  5. [応答 URL] で、リダイレクト URL を選択します。
  6. [ユーザー フローを実行します] を選択します。
  7. サインアップ フローを実行し、アカウントを作成します。
  8. ユーザー属性が作成されると、Nok Nok が呼び出されます。

フローが不完全な場合は、ユーザーがディレクトリに保存されているか、またはそうでないか確認してください。

次のステップ