重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
開始する前にこのページの上部にある ポリシーの種類 セレクターを使用して、設定するポリシーの種類を選択します。 Azure Active Directory B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。
[前提条件]
- ユーザーが サインアップしてアプリケーションにサインインできるように、ユーザー フローを作成します。
- Web アプリケーションを登録します。
- 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
- Web アプリケーションを登録します。
AD FS アプリケーションを作成する
Azure Active Directory B2C (Azure AD B2C) で AD FS アカウントを持つユーザーのサインインを有効にするには、AD FS にアプリケーション グループを作成します。 詳細については、「OpenID Connect と AD FS 2016 以降を使用した Web アプリケーションの構築」を参照してください。
アプリケーション グループを作成するには、次の手順に従います。
- サーバー マネージャーで、[ツール] を選択し、[AD FS 管理] を選択します。
- [AD FS の管理] で、 [アプリケーション グループ] を右クリックし、 [アプリケーション グループの追加] を選択します。
- アプリケーション グループ ウィザードの [ようこそ ] 画面で、次の操作を行います。
- アプリケーションの 名前 を入力します。 たとえば、 Azure AD B2C アプリケーションです。
- [Client-Server アプリケーション] で、Web アプリケーション テンプレートにアクセスする Web ブラウザーを選択します。
- [次へ] を選択します。
- アプリケーション グループ ウィザードの [ネイティブ アプリケーション] 画面で、次の操作を行います。
- [クライアント識別子] の値をコピーします。 クライアント識別子は、AD FS アプリケーション ID です。 この記事の後半でアプリケーション ID が必要になります。
- [ リダイレクト URI] に「
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力し、[ 追加] を入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。your-tenant-nameをテナントの名前に置き換え、your-domain-nameをカスタム ドメインに置き換えます。 - [ 次へ]、[ 次へ] の順に選択し、もう一度 [次へ ] を選択してアプリ登録ウィザードを完了します。
- を選択してを閉じます。
アプリ要求を構成する
この手順では、AD FS アプリケーションが Azure AD B2C に返す要求を構成します。
アプリケーション グループで、作成したアプリケーションを選択します。
アプリケーションのプロパティ ウィンドウの [ アプリケーション] で、 Web アプリケーションを選択します。 次に、[ 編集] を選択します。
[ 発行変換規則 ] タブを選択します。次に、[ ルールの追加] を選択します。
要求規則テンプレートで、[LDAP 属性を要求として送信] を選択し、[次へ] を選択します。
要求規則名を指定します。 属性ストアの場合は、[Active Directory] を選択し、次の要求を追加します。
LDAP 属性 出力方向の要求の種類 ユーザー -Principal-Name UPN 名字 苗字 Given-Name given_name Display-Name 名前 一部の名前は、送信要求の種類のドロップダウンに表示されないことに注意してください。 手動で入力する必要があります (ドロップダウンは編集可能です)。
完了 を選択します。
[ 適用] を選択し、[ OK] を選択します。
もう一度 [OK] を 選択して完了します。
AD FS を ID プロバイダーとして構成する
少なくとも外部 ID プロバイダー管理者特権を持つアカウントで Azure portal にサインインします。
複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。
Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。
[ID プロバイダー] を選択し、[新しい OpenID Connect プロバイダー] を選択します。
名前を入力します。 たとえば、 Contoso などです。
[メタデータ URL] に、AD FS OpenID Connect 構成ドキュメントの URL を入力します。 例えば次が挙げられます。
https://adfs.contoso.com/adfs/.well-known/openid-configurationクライアント IDには、前に記録したアプリケーション ID を入力します。
[スコープ] に、
openidを入力します。[ 応答の種類] で、[id_token] を選択 します。 そのため、 クライアント シークレット の値は必要ありません。 汎用 OpenID Connect ID プロバイダーを追加するときに クライアント ID とシークレット を使用する方法について説明します。
(省略可能) ドメイン ヒントに「
contoso.com」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。[ ID プロバイダー要求マッピング] で、次の要求を選択します。
-
ユーザー ID:
upn -
表示名:
unique_name -
指定された名前:
given_name -
姓:
family_name
-
ユーザー ID:
保存 を選択します。
AD FS ID プロバイダーをユーザー フローに追加する
この時点で、AD FS (Contoso) ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 AD FS ID プロバイダーをユーザー フローに追加するには:
- Azure AD B2C テナントで、[ ユーザー フロー] を選択します。
- AD FS ID プロバイダー (Contoso) を追加するユーザー フローを選択します。
- [ソーシャル ID プロバイダー] で、[Contoso] を選択します。
- 保存 を選択します。
- ポリシーをテストするには、[ ユーザー フローの実行] を選択します。
-
[アプリケーション] で、以前に登録した testapp1 という名前の Web アプリケーションを選択します。
応答 URL に
https://jwt.msが表示されます。 - [ ユーザー フローの実行 ] ボタンを選択します。
- サインアップまたはサインイン ページで、Contoso を選択して Contoso アカウントでサインインします。
サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。
AD FS を ID プロバイダーとして構成する
ユーザーが AD FS アカウントを使用してサインインできるようにするには、Azure AD B2C がエンドポイントを介して通信できるクレーム プロバイダーとして AD FS を定義する必要があります。
TrustFrameworkExtensions.xmlを開きます。
ClaimsProviders 要素を検索します。 存在しない場合は、ルート要素の下に追加します。
次のように新しい ClaimsProvider を追加します。
<ClaimsProvider> <Domain>contoso.com</Domain> <DisplayName>Contoso</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Contoso-OpenIdConnect"> <DisplayName>Contoso</DisplayName> <Protocol Name="OpenIdConnect" /> <Metadata> <Item Key="METADATA">https://your-adfs-domain/adfs/.well-known/openid-configuration</Item> <Item Key="response_types">id_token</Item> <Item Key="response_mode">form_post</Item> <Item Key="scope">openid</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">0</Item> <!-- Update the Client ID below to the Application ID --> <Item Key="client_id">Your AD FS application ID</Item> </Metadata> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="upn" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="unique_name" /> <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>メタデータ URL には、AD FS OpenID Connect 構成ドキュメントの URL を入力します。 例えば次が挙げられます。
https://adfs.contoso.com/adfs/.well-known/openid-configurationclient_idアプリケーション登録のアプリケーション ID に設定します。
ファイルを保存します。
ユーザー体験を追加する
この時点で、ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成します。それ以外の場合は、次の手順に進みます。
- スターター パックから TrustFrameworkBase.xml ファイルを開きます。
-
を含む
Id="SignUpOrSignIn"要素の内容全体を検索してコピーします。 - TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は、要素を追加します。
- UserJourneys 要素の子としてコピーした UserJourney 要素の内容全体を貼り付けます。
- ユーザージャーニーの ID を変更します。 たとえば、
Id="CustomSignUpSignIn"のようにします。
ID プロバイダーをユーザー体験に追加する
これでユーザー体験が作成されたので、新しい ID プロバイダーをユーザー体験に追加します。 最初にサインイン ボタンを追加し、そのボタンをアクションにリンクします。 あなたが以前に作成した技術プロファイルがこのアクションです。
ユーザー体験に
Type="CombinedSignInAndSignUp"またはType="ClaimsProviderSelection"を含むオーケストレーション ステップ要素を見つけます。 通常は、オーケストレーションの最初の手順です。 ClaimsProviderSelections 要素には、ユーザーがサインインできる ID プロバイダーの一覧が含まれています。 要素の順序は、ユーザーに表示されるサインイン ボタンの順序を制御します。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。次のオーケストレーション手順で、 ClaimsExchange 要素を追加します。 Id をターゲット要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、先ほど作成した技術プロファイルの ID に更新します。
次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション手順を示しています。
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-OpenIdConnect" />
</ClaimsExchanges>
</OrchestrationStep>
依存当事者ポリシーを構成する
証明書利用者ポリシー ( SignUpSignIn.xmlなど) は、Azure AD B2C が実行するユーザー体験を指定します。 依存するパーティー内で DefaultUserJourney 要素を検索します。 追加した ID プロバイダーのユーザージャーニー ID と一致するように ReferenceId を更新します。
次の例では、 CustomSignUpSignIn ユーザー体験の ReferenceId が CustomSignUpSignInに設定されています。
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
カスタム ポリシーをアップロードする
- Azure portal にサインインします。
- ポータル のツール バーで [ディレクトリ + サブスクリプション ] アイコンを選択し、Azure AD B2C テナントが含まれているディレクトリを選択します。
- Azure portal で、 [Azure AD B2C] を検索して選択します。
- [ ポリシー] で、[ Identity Experience Framework] を選択します。
- [ カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを次の順序でアップロードします。拡張機能ポリシー (
TrustFrameworkExtensions.xmlなど)、証明書利用者ポリシー (SignUpSignIn.xmlなど)。
カスタム ポリシーをテストする
- 依存するパーティポリシーを選択します (例:
B2C_1A_signup_signin)。 - [ アプリケーション] で、 以前に登録した Web アプリケーションを選択します。
応答 URL に
https://jwt.msが表示されます。 - [ 今すぐ実行 ] ボタンを選択します。
- サインアップまたはサインイン ページで、Contoso を選択して Contoso アカウントでサインインします。
サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。
次のステップ
AD-FS トークンをアプリケーションに渡す方法について説明します。