Azure Active Directory B2C を使用してモバイル ID でサインアップとサインインを設定する

• ユーザーが サインアップしてアプリケーションにサインインできるように、ユーザー フローを作成します。
• Web アプリケーションを登録します。

• 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
• Web アプリケーションを登録します。

モバイル ID を ID プロバイダーとして構成する

1. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコンを選択し、[ディレクトリとサブスクリプション] メニューからお使いの Azure AD B2C テナントに切り替えます。

2. Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。

3. [ID プロバイダー] を選択し、[新しい OpenID Connect プロバイダー] を選択します。

4. 名前を入力します。 たとえば、「 Mobile ID」と入力します。

5. [メタデータ URL] に、URL Mobile ID OpenId の既知の構成エンドポイントを入力します。 例えば次が挙げられます。

   https://openid.mobileid.ch/.well-known/openid-configuration
   

6. クライアント ID には、モバイル ID クライアント ID を入力します。

7. クライアント シークレットの場合は、Mobile ID クライアント シークレットを入力します。

8. [スコープ] に、openid, profile, phone, mid_profileを入力します。

9. 応答の種類 (code) と応答モード (form_post) の既定値のままにします。

10. (省略可能) ドメイン ヒントに「 mobileid.ch」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。

11. [ ID プロバイダー要求マッピング] で、次の要求を選択します。

    • ユーザー ID: sub
    • 表示名: 名前

12. 保存 を選択します。

モバイル ID ID プロバイダーをユーザー フローに追加する

この時点で、モバイル ID ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 モバイル ID ID プロバイダーをユーザー フローに追加するには:

1. Azure AD B2C テナントで、[ ユーザー フロー] を選択します。
2. モバイル ID ID プロバイダーを追加するユーザー フローを選択します。
3. [ソーシャル ID プロバイダー] で、[モバイル ID] を選択します。
4. 保存 を選択します。
5. ポリシーをテストするには、[ ユーザー フローの実行] を選択します。
6. [アプリケーション] で、以前に登録した testapp1 という名前の Web アプリケーションを選択します。 応答 URL にhttps://jwt.msが表示されます。
7. [ ユーザー フローの実行 ] ボタンを選択します。
8. サインアップまたはサインイン ページで、[ モバイル ID ] を選択して Mobile ID でサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。

ポリシー キーを作成する

Mobile ID から受信したクライアント シークレットを Azure AD B2C テナントに格納する必要があります。

1. Azure portal にサインインします。
2. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 上部のメニューで [ディレクトリ + サブスクリプション ] フィルターを選択し、テナントを含むディレクトリを選択します。
3. Azure portal の左上隅にある [すべてのサービス] を選択してから、[Azure AD B2C] を検索して選択します。
4. [概要] ページで、[Identity Experience Framework] を選びます。
5. [ポリシー キー] を選択し、[追加] を選びます。
6. [オプション] で、[Manual] を選択します。
7. ポリシー キーの名前を入力します。 たとえば、Mobile IDSecret のようにします。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
8. [ シークレット] に、モバイル ID クライアント シークレットを入力します。
9. [ キーの使用法] で、[ Signature] を選択します。
10. を選択してを作成します。

モバイル ID を ID プロバイダーとして構成する

ユーザーがモバイル ID を使用してサインインできるようにするには、モバイル ID を、Azure AD B2C がエンドポイント経由で通信できるクレーム プロバイダーとして定義する必要があります。 エンドポイントは、特定のユーザーが認証されたことを確認するために Azure AD B2C によって使用されるクレームのセットを提供します。

モバイル ID は、ポリシーの拡張ファイルの ClaimsProviders 要素に追加することで、クレーム プロバイダーとして定義できます。

1. TrustFrameworkExtensions.xmlを開きます。

2. ClaimsProviders 要素を検索します。 存在しない場合は、ルート要素の下に追加します。

3. 次のように新しい ClaimsProvider を追加します。

   <ClaimsProvider>
   <Domain>mobileid.ch</Domain>
   <DisplayName>Mobile-ID</DisplayName>
   <TechnicalProfiles>
     <TechnicalProfile Id="MobileID-OAuth2">
     <DisplayName>Mobile-ID</DisplayName>
     <Protocol Name="OAuth2" />
     <Metadata>
       <Item Key="ProviderName">Mobile-ID</Item>
        <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item>
         <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item>
         <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item>
         <Item Key="scope">openid, profile, phone, mid_profile</Item>
         <Item Key="HttpBinding">POST</Item>
         <Item Key="UsePolicyInRedirectUri">false</Item>
         <Item Key="token_endpoint_auth_method">client_secret_post</Item>
         <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
         <Item Key="client_id">Your application ID</Item>
       </Metadata>
       <CryptographicKeys>
         <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" />
       </CryptographicKeys>
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" />
         <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
       </OutputClaims>
       <OutputClaimsTransformations>
         <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
         <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
         <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
       </OutputClaimsTransformations>
       <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. client_idをモバイル ID クライアント ID に設定します。

5. ファイルを保存します。

ユーザー体験を追加する

この時点で、ID プロバイダーは設定されていますが、どのサインイン ページでもまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成します。それ以外の場合は、次の手順に進みます。

1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
2. を含む Id="SignUpOrSignIn" 要素の内容全体を検索してコピーします。
3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は、要素を追加します。
4. UserJourneys 要素の子としてコピーした UserJourney 要素の内容全体を貼り付けます。
5. ユーザージャーニーの ID を変更します。 たとえば、Id="CustomSignUpSignIn" のようにします。

ID プロバイダーをユーザー体験に追加する

これでユーザー体験が作成されたので、新しい ID プロバイダーをユーザー体験に追加します。 最初にサインイン ボタンを追加し、そのボタンをアクションにリンクします。 あなたが以前に作成した技術プロファイルがこのアクションです。

1. ユーザー体験に Type="CombinedSignInAndSignUp"または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 通常は、オーケストレーションの最初の手順です。 ClaimsProviderSelections 要素には、ユーザーがサインインできる ID プロバイダーの一覧が含まれています。 要素の順序は、ユーザーに表示されるサインイン ボタンの順序を制御します。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

2. 次のオーケストレーション手順で、 ClaimsExchange 要素を追加します。 Id をターゲット要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、先ほど作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション手順を示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

依存当事者ポリシーを構成する

証明書利用者ポリシー ( SignUpSignIn.xmlなど) は、Azure AD B2C が実行するユーザー体験を指定します。 依存するパーティー内で DefaultUserJourney 要素を検索します。 追加した ID プロバイダーのユーザージャーニー ID と一致するように ReferenceId を更新します。

次の例では、 CustomSignUpSignIn ユーザー体験の ReferenceId が CustomSignUpSignInに設定されています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

1. Azure portal にサインインします。
2. ポータル のツール バーで [ディレクトリ + サブスクリプション ] アイコンを選択し、Azure AD B2C テナントが含まれているディレクトリを選択します。
3. Azure portal で、 [Azure AD B2C] を検索して選択します。
4. [ ポリシー] で、[ Identity Experience Framework] を選択します。
5. [ カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを次の順序でアップロードします。拡張機能ポリシー ( TrustFrameworkExtensions.xmlなど)、証明書利用者ポリシー ( SignUpSignIn.xmlなど)。

カスタム ポリシーをテストする

1. 依存するパーティポリシーを選択します (例: B2C_1A_signup_signin)。
2. [ アプリケーション] で、 以前に登録した Web アプリケーションを選択します。 応答 URL にhttps://jwt.msが表示されます。
3. [ 今すぐ実行 ] ボタンを選択します。
4. サインアップまたはサインイン ページで、[ モバイル ID ] を選択して Mobile ID でサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されるトークンの内容が表示されます。