Azure AD B2C テナントを OpenID Connect ID プロバイダーとして追加する (プレビュー)

適用対象: 従業員テナント 外部テナント (詳細情報)

Azure AD B2C テナントを ID プロバイダーとして構成するには、Azure AD B2C カスタム ポリシーを作成してから、アプリケーションを作成する必要があります。

前提 条件

• カスタム ポリシー スターター パックで構成された Azure AD B2C テナント。 チュートリアル - ユーザー フローとカスタム ポリシーの作成 - Azure Active Directory B2C |Microsoft Learn
  • 電子メールが ID トークンで必要な要求である場合、電子メール要求を受信するには、Azure AD B2C テナントでカスタム ポリシーを使用することが必要になる場合があります。
  • カスタム ポリシー展開ツールを使用できます

カスタム ポリシーを構成する

ユーザー フローで有効になっている場合、外部テナントは、Azure AD B2C カスタム ポリシーからトークンで電子メール要求を返す必要がある場合があります。

カスタム ポリシー スターター パックをプロビジョニングした後、Azure AD B2C テナント内の Identity Experience Framework ブレードから B2C_1A_signup_signin ファイルをダウンロードします。

1. Azure portal にサインインし、[Azure AD B2C] を選択します。
2. 概要ページの Policiesで、Identity Experience Frameworkを選択します。
3. B2C_1A_signup_signin ファイルを検索して選択します。
4. B2C_1A_signup_signinをダウンロード.

テキスト エディターで B2C_1A_signup_signin.xml ファイルを開きます。 <OutputClaims> ノードの下に、次の出力要求を追加します。

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

ファイルを B2C_1A_signup_signin.xml として保存し、Azure AD B2C テナント内の Identity Experience Framework ブレードを使用してアップロードします。 を選択して、既存のポリシーを上書きします。 この手順により、Azure AD B2C での認証後に、電子メール アドレスが Microsoft Entra ID への要求として発行されます。

Microsoft Entra ID をアプリケーションとして登録する

Microsoft Entra ID をアプリケーションとして Azure AD B2C テナントに登録する必要があります。 この手順により、Azure AD B2C はフェデレーションのために Microsoft Entra ID にトークンを発行できます。

アプリケーションを作成するには:

1. Azure ポータル にサインインして、Azure AD B2Cを 選択します。

2. [アプリの登録] を選択し、[新しい登録] を選択します。

3. [名前] で、「Microsoft Entra ID とのフェデレーション」と入力します。

4. [サポートされているアカウントの種類] で、[(ユーザー フローを使用してユーザーを認証するための) 任意の ID プロバイダーまたは組織のディレクトリのアカウント] を選択します。

5. [リダイレクト URL] で [Web] を選択し、次の URL をすべて小文字で入力します。your-B2C-tenant-name は、お使いの Azure AD B2C テナントの名前 (例: Contoso) に置き換えます。

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   例えば：

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   カスタム ドメインを使用する場合は、次のように入力します。

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   your-domain-name をカスタム ドメインに置き換え、your-tenant-name をテナントの名前に置き換えます。

6. 許可の下にある、「openid」と「offline_access」権限に対する管理者の同意を付与する」 チェックボックスを選択します。

7. [登録] を選択します。

8. [Azure AD B2C - アプリの登録] ページで、作成したアプリケーションを選択し、アプリケーションの概要ページに表示 アプリケーション (クライアント) ID を記録します。 この ID は、次のセクションで ID プロバイダーを構成するときに必要です。

9. 左側のメニューの [管理] で、[証明書 & シークレット] を選択します。

10. 新しいクライアントシークレット を選択します。

11. [説明] ボックスに、クライアント シークレットの説明を入力します。 例: "FederationWithEntraID"。

12. [有効期限] で、シークレットが有効な期間を選択してから、[追加] を選択します。

13. シークレットの Valueを記録します。 この値は、次のセクションで ID プロバイダーを構成するときに必要になります。

ID プロバイダーとして Azure AD B2C テナントを構成します。

OpenID Connect well-known エンドポイントを構築します。<your-B2C-tenant-name> を Azure AD B2C テナントの名前に置き換えます。

カスタム ドメイン名を使用している場合は、<custom-domain-name> をカスタム ドメインに置き換えます。 <policy> を、B2C テナントで構成したポリシー名に置き換えます。 スターター パックを使用している場合は、B2C_1A_signup_signin ファイルです。

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

または

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. 発行者 URI を https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/として構成するか、カスタム ドメインを使用している場合は、your-b2c-tenant-name.b2clogin.comの代わりにカスタム ドメイン、ドメインを使用します。
2. クライアント IDには、前に記録したアプリケーション ID を入力します。
3. client_secret に [クライアント認証] を選択します。
4. クライアント シークレットのには、前に記録したクライアント シークレットを入力します。
5. スコープに「openid profile email offline_access」と入力します。
6. 応答の種類として code を選択します。
7. クレームマッピングに次の設定を行います。

• サブ: サブ
• 名前: 名前
• 名前: given_name
• 家族名: family_name
• 電子メール: 電子メール

サインインとサインアップのために、ID プロバイダーを作成し、アプリケーションに関連付けられているユーザー フローにアタッチします。

関連コンテンツ

• 外部 ID プロバイダーとしてカスタム OIDC ID プロバイダーを追加
• OIDC 要求のマッピングを設定する