チュートリアル: Azure Active Directory B2C を使用してキーレスを構成する

キーレス パスワードレス ソリューションを使用して Azure Active Directory B2C (Azure AD B2C) を構成する方法について説明します。 Azure AD B2C を ID プロバイダー (IdP) として使用して、Keyless を顧客アプリケーションと統合し、パスワードレス認証を提供します。 キーレス Zero-Knowledge 生体認証 (ZKB) はパスワードレスの多要素認証であり、不正行為、フィッシング、資格情報の再利用を排除しながら、カスタマー エクスペリエンスを強化し、プライバシーを保護します。

keyless.io に移動して、以下について説明します。

• キーレス
• Keylessがゼロ知識証明を使用して生体認証データを保護する方法

[前提条件]

作業を開始するには、以下が必要です。

• Azure サブスクリプション
  • お持ちでない場合は、Azure 無料アカウントを取得してください。
• Azure サブスクリプションにリンクされた Azure AD B2C テナント
• キーレス クラウド テナント
  • keyless.io に移動してデモをリクエスト
• ユーザーデバイスにインストールされているKeyless Authenticatorアプリ

シナリオの説明

Keyless統合には、次のコンポーネントが含まれています。

• Azure AD B2C – ユーザー資格情報を検証する承認サーバー。 IdP とも呼ばれます。
• Web およびモバイル アプリケーション – Keyless と Azure AD B2C で保護するモバイルまたは Web アプリケーション
• Keyless Authenticator モバイル アプリ – Azure AD B2C 対応アプリケーションへの認証用のモバイル アプリ

次のアーキテクチャ図は、実装を示しています。

1. ユーザーがサインイン ページに到達します。 ユーザーはサインイン/サインアップを選択し、ユーザー名を入力します。
2. アプリケーションは、ID 検証のために Azure AD B2C にユーザー属性を送信します。
3. Azure AD B2C は、認証のためにユーザー属性を Keyless に送信します。
4. Keylessは、認証、顔の生体認証スキャンのために、ユーザーの登録済みモバイルデバイスにプッシュ通知を送信します。
5. ユーザーはプッシュ通知に応答し、アクセスを許可または拒否されます。

IdP を追加し、IdP を構成し、ユーザー フロー ポリシーを作成します

次のセクションを使用して、IdP を追加し、IdP を構成し、ユーザー フロー ポリシーを作成します。

新しい ID プロバイダーを追加する

新しい ID プロバイダーを追加するには:

1. Azure AD B2C テナントの少なくとも B2C IEF ポリシー管理者として Azure portal にサインインします。
2. [ディレクトリ + サブスクリプション] を選択します。
3. ポータルの 設定の [ディレクトリとサブスクリプション ] ページの [ディレクトリ名 ] 一覧で、Azure AD B2C ディレクトリを見つけます。
4. [切り替え] を選択します。
5. Azure portal の左上隅にある [ すべてのサービス] を選択します。
6. Azure AD B2C を検索して選択します。
7. Dashboard>Azure Active Directory B2C>アイデンティティ プロバイダーに移動します。
8. [Identity Providers] を選択します。
9. [] を選択し、[] を追加します。

ID プロバイダーを構成する

IdP を構成するには:

1. ID プロバイダーの種類>OpenID Connect (プレビュー) を選択します。
2. [ 名前] で [ キーレス] を選択します。
3. [メタデータ URL] に、ホストされているキーレス認証アプリの URI を挿入し、その後にパス (https://keyless.auth/.well-known/openid-configuration など) を挿入します。
4. 「クライアント・シークレット」で、キーレス認証インスタンスに関連付けられたシークレットを選択します。 シークレットは、後でキーレスコンテナの設定で使用されます。
5. [クライアント ID] で、クライアント ID を選択します。 クライアント ID は、後でキーレス コンテナの設定で使用されます。
6. [スコープ] で [openid] を選択します。
7. [ 応答の種類] で、[id_token] を選択 します。
8. [応答モード] で [form_post] を選択します。
9. [OK] を選択.
10. [ この ID プロバイダーの要求をマップする] を選択します。
11. UserID に対して、サブスクリプションからを選択します。
12. 表示名 で サブスクリプションから を選択します。
13. [レスポンスモード] で、[サブスクリプションから] を選択します。
14. 保存 を選択します。

ユーザー フロー ポリシーを作成する

Keyless は、B2C ID プロバイダーを備えた新しい OpenID Connect (OIDC) IdP として表示されます。

1. Azure AD B2C テナントを開きます。
2. [ポリシー] で [ユーザー フロー] を選択します。
3. [新しいユーザー フロー] を選択します。
4. サインアップとサインインを選択します。
5. バージョンを選択します。
6. を選択してを作成します。
7. ポリシーの 名前 を入力します。
8. [ID プロバイダー] セクションで、作成した Keyless ID プロバイダーを選択します。
9. 名前を入力してください。
10. 作成したIdPを選択します。
11. メールアドレスを追加します。 Azure はサインインを Keyless にリダイレクトしません。ユーザーオプションを含む画面が表示されます。
12. [多要素認証] フィールドはそのままにします。
13. [条件付きアクセス ポリシーを適用する] を選択します。
14. [ ユーザー属性とトークン要求] の [属性の収集 ] オプションで、[ 電子メール アドレス] を選択します。
15. Microsoft Entra ID は、Azure AD B2C がクライアント アプリケーションに返す要求と共に収集されるユーザー属性を追加します。
16. を選択してを作成します。
17. 新しい ユーザー フローを選択します。
18. 左側のパネルで、[ Application Claims] を選択します。
19. [オプション] で [メール ] チェックボックスをオンにします。
20. 保存 を選択します。

ユーザー フローをテストする

1. Azure AD B2C テナントを開きます。
2. ポリシーでIdentity Experience Frameworkを選択します。
3. 作成した SignUpSignIn を選びます。
4. ユーザー フローを実行する を選択します。
5. [アプリケーション] で、登録済みのアプリを選択します (例: JWT)。
6. [応答 URL] で、リダイレクト URL を選択します。
7. ユーザー フローを実行する を選択します。
8. サインアップ フローを完了し、アカウントを作成します。
9. ユーザー属性が作成されると、フロー中に Keyless が呼び出されます。

フローが不完全な場合は、ユーザーがディレクトリに保存されているかどうかを確認します。

次のステップ

• Azure AD B2C カスタム ポリシーの概要
• チュートリアル: Azure AD B2C でユーザー フローとカスタム ポリシーを作成する