外部テナントの ID プロバイダー
適用対象: 従業員テナント 外部テナント (詳細情報)
ヒント
この記事は、外部テナントでの外部 ID に関するものです。 従業員テナントについては、「従業員テナントでの外部 ID の ID プロバイダー」をご覧ください。
Microsoft Entra 外部 ID を使用すると、顧客および法人顧客向けアプリのための安全でカスタマイズされたサインイン エクスペリエンスを作成できます。 外部テナントでは、ユーザーがアプリにサインアップする方法が複数あります。 アカウントを作成するには、メールアドレスと、パスワードかワンタイム パスコードを使用します。 または、Facebook と Google でのサインインを有効にしている場合は、自分のソーシャル アカウントを使ってサインインできます。
この記事では、外部テナントのアプリにサインアップしてサインインするときにプライマリ認証に使用できる ID プロバイダーについて説明します。 また、ユーザーがサインインするたびに 2 番目の形式の検証を必要とする多要素認証 (MFA) ポリシーを適用することで、セキュリティを強化することもできます (詳細を参照)。
メールとパスワードのサインイン
ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 メール アドレス オプションを使用すると、顧客は自分のメール アドレスとパスワードを使用してサインアップおよびサインインすることができます。
サインアップ: 顧客は、ワンタイム パスコードでのサインアップ時に確認されるメール アドレスの入力を求められます。 次に顧客は、サインアップ ページで要求されたその他の情報 (表示名、名、姓など) を入力します。 次に、 [続行] を選択してアカウントを作成します。
サインイン: 顧客がサインアップしてアカウントを作成したら、メール アドレスとパスワードを入力してサインインできます。
パスワードのリセット: 電子メールとパスワードのサインインを有効にすると、パスワードのリセット リンクがパスワード ページに表示されます。 顧客がパスワードを忘れた場合、このリンクを選択すると、ワンタイム パスコードがメール アドレスに送信されます。 確認後、顧客は新しいパスワードを選択できます。
サインアップとサインインのユーザー フローを作成する場合、[パスワード付きメール] が既定のオプションです。
ワンタイム パスコード付きメールのサインイン
ワンタイム パスコード付きメールは、ローカル アカウント ID プロバイダー設定のオプションです。 このオプションを使用すると、顧客はサインインするたびに、保存されたパスワードではなく一時的なパスコードでサインインします。
サインアップ: 顧客は自分のメール アドレスでサインアップし、一時的なコードを要求して、自分のメール アドレスに送信できます。 その後は、このコードを入力してサインインを続けます。
サインイン: 顧客がサインアップしてアカウントを作成すると、サインインするたびにメール アドレスを入力し、一時的なパスコードを受け取ります。
サインイン ページでセルフサービス パスワード リセットのリンクを表示、非表示、またはカスタマイズするためのオプションも構成できます (詳細)。
サインアップとサインインのユーザー フローを作成する場合、[メールのワンタイム パスコード] はローカル アカウントのオプションの 1 つです。
ソーシャル ID プロバイダー: Facebook と Google
最適なサインイン エクスペリエンスにするには、可能な限りソーシャル ID プロバイダーとフェデレーションします。これにより、顧客にシームレスなサインアップとサインインのエクスペリエンスを提供できるようになります。 外部テナントでは、顧客が自分の Facebook または Google アカウントを使用してサインアップおよびサインインすることを許可できます。 顧客がソーシャル アカウントを使用してアプリにサインアップすると、ソーシャル ID プロバイダーでは、アプリケーションに認証サービスを提供しながら、ID 情報を作成、管理します。
ソーシャル ID プロバイダーを有効にすると、顧客はサインアップ ページで使用可能にしたソーシャル ID プロバイダー オプションから選択できます。 外部テナントでソーシャル ID プロバイダーを設定するには、その ID プロバイダーでアプリケーションを作成し、資格情報を構成します。 クライアントまたはアプリの ID と、クライアントまたはアプリのシークレットを取得して、外部テナントに追加できます。
Google サインイン (プレビュー)
Google とのフェデレーションを設定すると、顧客が自分の Gmail アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Google を追加すると、ユーザーは、サインイン ページで Google アカウントを使用して Microsoft Entra 外部 ID にサインインできます。
次のスクリーンショットは、Google エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Google アカウントでサインイン] を選択します。 その時点で、ユーザーは Google ID プロバイダーにリダイレクトされ、サインインが完了します。
ID プロバイダーとして Google を追加する方法に関するページを確認してください。
Facebook サインイン (プレビュー)
Facebook とのフェデレーションを設定すると、招待されたユーザーが自分の Facebook アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Facebook を追加すると、サインイン ページで、ユーザーは Facebook アカウントを使用して Microsoft Entra 外部 ID にサインインできます。
次のスクリーンショットは、Facebook エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Facebook アカウントでサインイン] を選択します。 その後、ユーザーは Facebook ID プロバイダーにリダイレクトされ、サインインが完了します。
ID プロバイダーとして Facebook を追加する方法に関するページを確認してください。
サインイン方法の更新
アプリのサインイン オプションはいつでも更新できます。 たとえば、ソーシャル ID プロバイダーを追加したり、ローカル アカウントのサインイン方法を変更したりすることができます。
サインイン方法を変更すると、変更は新しいユーザーにのみ影響します。 既存のユーザーは、元の方法を使用して引き続きサインインします。 たとえば、メールとパスワードのサインイン方法から始めて、後にワンタイム パスコードを使用したメールに変更するとします。 新しいユーザーはワンタイム パスコードを使用してサインインしますが、メールとパスワードで既にサインアップしているユーザーは、引き続きメールとパスワードの入力を求められます。
Microsoft Graph API
次の Microsoft Graph API の操作では、Microsoft Entra 外部 ID での ID プロバイダーと認証方法の管理をサポートしています。
- サポート対象の ID プロバイダーと認証方法を特定するには、List availableProviderTypes API を呼び出します。
- テナントで既に構成され有効になっている ID プロバイダーと認証方法を特定するには、List identityProviders API を呼び出します。
- サポート対象の ID プロバイダーまたは認証方法を有効にするには、Create identityProvider API を呼び出します。