Microsoft Entra ID を使用して OpenID Connect プロバイダーを設定する
Microsoft Entra は、Power Pages サイトへの 訪問者を認証する ために使用できる OpenID Connect ID プロバイダーの 1 つです。 Microsoft Entra ID、マルチテナント型の Microsoft Entra ID、Azure AD B2C とともに、OpenID Connect の仕様 に準拠する他のプロバイダーを使用することができます。
この記事では以下の手順について説明します。
- Power Pages で Microsoft Entra を設定する
- Azure でアプリの登録を作成する
- Power Pages でサイト設定を入力する
- マルチテナント型の Microsoft Entra 認証を許可する
Power Pages で Microsoft Entra を設定する
Microsoft Entra をサイトの ID プロバイダーとして設定します。
Power Pages のサイトで、セキュリティ>ID プロバイダーを選択します。
ID プロバイダーが表示されない場合は、使用しているサイトの 一般承認設定 で外部ログイン が オン に設定されているかを確認します。
+ 新規プロバイダー を選択します。
ログイン プロバイダーの選択 で その他 を選択します。
プロトコル で OpenID Connect を選択します。
Microsoft Entra ID など、プロバイダーの名前を入力します。
プロバイダー名は、ユーザーがサインイン ページで ID プロバイダーを選択するときに表示されるボタンのテキストです。
次へを選択します。
返信 URL で、コピー を選択します。
Power Pages ブラウザー タブを閉じないでください。すぐに元に戻ります。
Azure でアプリの登録を作成する
サイトの返信 URL をリダイレクト URI として、Azure portal でアプリ登録を作成します。
Azure portalにサインインします。
Azure Active Directory を検索して選択します。
管理 配下で アプリの登録 を選択します。
新規登録を選択します。
名前を入力してください。
組織の要件を最もよく反映した 対応しているアカウントの種類 のうちの 1 つを選択します。
リダイレクト URI で、プラットフォームとして Web を選択し、サイトの返信 URL を入力します。
- サイトの既定の URL を使用している場合は、コピーした 返信 URL を貼り付けます。
- カスタム ドメイン名を使用している場合は、カスタム URL を入力します。 サイトの ID プロバイダーの設定で、リダイレクト URL に必ず同じカスタム URL を使用します。
登録を選択します。
アプリケーション (クライアント) ID をコピーします。
クライアント資格情報 の右側で、証明書またはシークレットの追加 を選択します。
+ 新しいクライアント シークレットを選択します。
オプションの説明を入力し、有効期限を選択して、追加 を選択します。
シークレット ID で、クリップボードにコピーする アイコンを選択します。
ページ上部にある エンドポイント を選択します。
OpenID Connect メタデータ ドキュメント の URL を検索し、コピー アイコンを選択します。
左側のサイド ペインで、管理 から 認証 を選択します。
暗黙的な許可 で、ID トークン (暗黙的なフローおよびハイブリッド フローに使用) を選択します。
保存 を選びます。
Power Pages でサイト設定を入力する
先ほどの Power Pages の ID プロバイダーを構成する ページに戻り、次の値を入力します。 必要に応じて、追加の設定 を変更します。 完了後、確認 を選択します。
オーソリティ: 次の形式で オーソリティ URLを入力します:
https://login.microsoftonline.com/<Directory (tenant) ID>/
。ここで、<ディレクトリ (テナント) ID> は 作成した アプリケーションのディレクトリ (テナント) ID です。 たとえば、Azure portal のディレクトリ (テナント) ID が7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
の場合、オーソリティの URL はhttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
となります。クライアント ID: 作成した アプリケーションのアプリケーションまたはクライアントの ID を貼り付けます。
リダイレクト URL: サイトでカスタム ドメイン名を使用している場合は、カスタム URL を入力します。それ以外の場合は、既定値のままにします。 値が 作成した アプリケーションのリダイレクト URI と完全に同じであることを確認してください。
メタデータ アドレス: コピーした OpenID Connect メタデータ ドキュメント URL を貼り付けます。
スコープ:
openid email
を入力します。openid
の値は必須です。email
値はオプションです。これにより、ユーザーがサインインした後に、ユーザーのメール アドレスが自動入力され、プロフィール ページに表示されるようになります。 追加できるその他の要求について説明します。応答の種類:
code id_token
を選択します。クライアント シークレット: 作成した アプリケーションからクライアント シークレットを貼り付けます。 応答の種類が
code
の場合は、この設定が必要です。応答モード:
form_post
を選択します。外部ログアウト: この設定は、サイトでのフェデレーション サインアウトの使用をコントロールします。フェデレーション サインアウトを使用すると、ユーザーがアプリケーションやサイトからサインアウトすると、同じ ID プロバイダーを使用するすべてのアプリケーションやサイトからもサインアウトされます。 オンにすると、Web サイトからサインアウトするときに、ユーザーはフェデレーション サインアウト エクスペリエンスにリダイレクトされます。 オフにすると、ユーザーは Web サイトからのみサインアウトします。
ログアウト後のリダイレクト: ユーザがサインアウトした後に ID プロバイダーがリダイレクトする URL を入力します。この場所は、ID プロバイダーの構成で適切に設定する必要があります。
RP で開始されたログアウト: この設定は、証明書利用者 (OpenID Connect クライアント アプリケーション) がユーザーをサインアウトできるかどうかをコントロールします。 この設定を使用するには、外部ログアウト をオンにします。
Power Pages での追加設定
追加設定を使用して、Microsoft Entra ID プロバイダーでユーザーの認証方法を詳細にコントロールできます。 これらの値を設定する必要はありません。 完全にオプションです。
発行者フィルター: すべてのテナントのすべての発行者に一致するワイルドカード ベースのフィルターを入力します (例:
https://sts.windows.net/*/
)。対象ユーザーの検証: トークンの検証中に対象ユーザーを検証するには、この設定をオンにします。
有効な対象ユーザー: 対象ユーザー URL のコンマ区切りのリストを入力します。
発行者の検証: トークンの検証中に発行者を検証するには、この設定をオンにします。
有効な発行者: 発行者 URL のコンマ区切りのリストを入力します。
登録クレーム マッピング および ログイン クレーム マッピング: ユーザー認証では、クレーム とは、メール アドレスや生年月日などユーザーの個人情報を示します。 アプリケーションや Web サイトにサインインすると、トークン が作成されます。 トークンには、それに関連付けられたクレームなど、ユーザーの個人情報が含まれています。 トークンは、アプリケーションやサイトの他の部分、または同じ ID プロバイダーに接続されている他のアプリケーションやサイトにアクセスするときに、ID を認証するために使用されます。 クレーム マッピング とは、トークンに含まれる情報を変更する方法です。 これを使用して、アプリケーションやサイトで利用できる情報をカスタマイズしたり、機能やデータへのアクセスをコントロールしたりできます。 登録クレーム マッピング は、アプリケーションやサイトに登録するときに発行されるクレームを変更します。 クレーム マッピングにログイン は、アプリケーションやサイトにサインインする際に発行されるクレームを変更します。 クレーム マッピング ポリシーに関する詳細を確認する。
Nonce の有効期間: nonce 値の有効期間を分単位で入力します。 既定値は 10 分です。
トークンの有効期間の使用: この設定は、Cookie などの認証セッションの有効期間が認証トークンの有効期間と一致する必要があるかどうかをコントロールします。 オンにすると、この値は指定すると、この値は Authentication/ApplicationCookie/ExpireTimeSpan サイト設定の アプリケーション クッキーの有効期間 の値を上書きします。
メールによる取引先担当者マッピング : この設定では、取引先担当者がサインインしたときに、対応するメール アドレスにマッピングされるかどうかを決定します。
- オン: 一意の取引先担当者レコードが一致するメール アドレスに関連付けられ、ユーザーが正常にサインインした後に自動的に外部 ID プロバイダーがその取引先担当者に割り当てられます。
- オフ
注意
UI_Locales の要求パラメーターは認証要求で自動的に送信され、ポータルで選択された言語に設定されます。
追加の要求を設定する
Microsoft Entra ID におけるオプションの要求 を有効にします。
スコープ を設定して追加の要求を含めます。例:
openid email profile
。登録要求のマッピング の追加のサイト設定を設定します。例:
firstname=given_name,lastname=family_name
。ログイン要求マッピング の追加のサイト設定を設定します。例:
firstname=given_name,lastname=family_name
。
これらの例では、追加の要求で提供された名、姓、メール アドレスは、Web サイトのプロファイル ページの既定値となります。
注意
要求マッピングは、テキストおよびブール値のデータ型でサポートされています。
マルチテナント型の Microsoft Entra 認証を許可する
Microsoft Entra ユーザーが特定のテナントだけでなく、Azure 内の任意のテナントから認証できるようにするには、マルチテナント型に Microsoft Entra アプリケーションの登録を変更 します。
プロバイダーの 追加設定 で 発行者フィルター を設定する必要もあります。