適用対象: 開発者 |Basic v2 |標準 |Standard v2 |Premium |Premium v2
Microsoft Entra External ID は、外部 ID がアプリとリソースに安全にアクセスできるようにするクラウド ID 管理ソリューションです。 これを使用して、外部 ID を使用して API Management 開発者ポータルへのアクセスを管理できます。
開発者ポータルへのアクセスをセキュリティで保護するオプションの概要については、 API Management 開発者ポータルへのアクセスのセキュリティ保護に関するページを参照してください。
現在、API Management は、Microsoft Entra ID ワークフォース テナントに構成されている場合において、Microsoft Entra 外部 ID 内の外部 ID プロバイダーをサポートします。 たとえば、Contoso 組織などの従業員テナントのユーザーが開発者ポータルにアクセスできるようにする場合は、外部ユーザーが自分のアカウントを使用してサインインできるように、Google または Facebook を外部 ID プロバイダーとして構成できます。 従業員と外部テナントの構成の詳細については、Microsoft 外部 ID を参照してください。
ヒント
API Management では、1 つのアプリ登録と ID 構成を通じて、複数の Microsoft Entra ID テナント内のユーザーから開発者ポータルへのアクセスがサポートされるようになりました。 現在、これは Developer、Standard、Premium レベルでサポートされています。
注
API Management は、外部 ID プロバイダーとしての Azure Active Directory B2C のレガシ サポートを提供します。 ただし、API Management 開発者ポータルの新しいデプロイには、Azure Active Directory B2C ではなく外部 ID プロバイダーとして Microsoft Entra External ID を使用することをお勧めします。
Important
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
[前提条件]
- 外部アクセスを有効にする Microsoft Entra ID テナント (ワークフォース テナント)。
- ワークフォース テナントでアプリケーションを作成し、ユーザー フローを構成するためのアクセス許可。
- API Management インスタンス。 まだない場合は、 Azure API Management インスタンスを作成します。
- v2 レベルでインスタンスを作成した場合は、開発者ポータルを有効にします。 詳細については、「 チュートリアル: 開発者ポータルにアクセスしてカスタマイズする」を参照してください。
テナントに外部 ID プロバイダーを追加する
このシナリオでは、組織テナントで外部 ID 用のIDプロバイダーを有効にする必要があります。 外部 ID プロバイダーの構成は、特定のプロバイダーによって異なり、この記事の範囲外です。 オプションと手順へのリンクについては、「職場テナントの外部 ID の ID プロバイダー」を参照してください。
Microsoft Entra ID を使用してユーザーのサインインを有効にする - ポータル
構成を簡略化するために、API Management では、開発者ポータルのユーザーに対して Microsoft Entra アプリケーションと ID プロバイダーを自動的に有効にできます。 また、Microsoft Entra アプリケーションと ID プロバイダーを手動で有効にすることもできます。
Microsoft Entra アプリケーションと ID プロバイダーを自動的に有効にする
開発者ポータルで Microsoft Entra ID を自動的に有効にするには、次の手順に従います。
API Management インスタンスの左側にあるメニューの [開発者ポータル] で、[ポータルの概要] を選択します。
[ポータルの概要] ページで、[Microsoft Entra ID を使用してユーザー サインインを有効にする] まで下にスクロールします。
[Microsoft Entra ID を有効にする] を選択します。
[Microsoft Entra ID を有効にする] ページで、[Microsoft Entra ID を有効にする] を選択します。
を選択してを閉じます。
Microsoft Entra プロバイダーが有効になった後:
- Microsoft Entra テナントのユーザーは、 Microsoft Entra アカウントを使用して開発者ポータルにサインインできます。
- Microsoft Entra ID プロバイダーの構成は、 ポータルの開発者ポータル>Identities ページで管理できます。
- 必要に応じて、「複数のテナントのアプリ登録を構成する」の説明に従って、複数のテナントをサポートするように Microsoft Entra ID の アプリ登録を更新します。 API Management によって作成される既定のアプリ登録の名前は、API Management インスタンス名と同じです。
- 必要に応じて、[ID]>[設定] を選択して他のサインイン設定を構成します。 たとえば、匿名ユーザーをサインイン ページにリダイレクトしたい場合があります。
- 構成の変更があれば、開発者ポータルを再発行します。
Microsoft Entra アプリケーションと ID プロバイダーを手動で有効にする
または、Microsoft Entra ID にアプリケーションを自分で登録し、開発者ポータルの ID プロバイダーを構成して、開発者ポータルで Microsoft Entra ID を手動で有効にします。
API Management インスタンスの左側にあるメニューの [開発者ポータル] で、[ID] を選択します。
上部から [+ 追加] を選択して、右側の [ ID プロバイダーの追加 ] ウィンドウを開きます。
[種類] の下で、ドロップダウン メニューから [Microsoft Entra ID] を選択します。 このオプションを選択すると、他の必要な情報を入力できます。
- [クライアント ライブラリ] ドロップダウンで、[MSAL] を選択します。
- [クライアント ID] と [クライアント シークレット] を追加するには、この記事の後半の手順を参照してください。
後で使用するためにリダイレクト URL を保存します。
ブラウザーの新しいタブで、Azure portal を開きます。
[アプリの登録] に移動して、Microsoft Entra ID にアプリを登録します。
[新規登録] を選択します。 [アプリケーションを登録] ページで、次のように値を設定します。
- [名前] は、"開発者ポータル" などのわかりやすい名前に設定します
- サポートされているアカウントの種類を設定し、シナリオに適した選択を行います。 複数の Microsoft Entra ID テナントのユーザーに開発者ポータルへのアクセスを許可する場合は、 任意の組織ディレクトリ (マルチテナント) で [アカウント] を選択します。
- [リダイレクト URI] で [シングルページ アプリケーション (SPA)] を選択し、前の手順で保存したリダイレクト URL を貼り付けます。
- 登録 を選択します。
アプリケーションを登録したら、[概要] ページからアプリケーション (クライアント) ID をコピーします。
API Management インスタンスが含まれているブラウザー タブに切り替えます。
[ID プロバイダーの追加] ウィンドウで、 [クライアント ID] ボックスに [アプリケーション (クライアント) ID] の値を貼り付けます。
アプリの登録を含むブラウザー タブに切り替えます。
適切なアプリの登録を選択します。
サイド メニューの [管理] セクションで、[証明書とシークレット] を選択します。
[証明書とシークレット] ページの [クライアント シークレット] で、[新しいクライアント シークレット] を選択します。
- [Description]\(説明\) を入力します。
- [有効期限] に任意のオプションを選択します。
- [を選択してを追加します]
ページから離れる前に、クライアント シークレット値をコピーします。 後の手順で必要になります。
サイド メニューの [管理] で、[トークン構成]>[+ オプション要求の追加] を選択します。
- [ トークンの種類] で、[ID] を選択 します。
- 電子メール、family_name、given_nameの要求を選択 (チェック) します。
- [] を選択し、[] を追加します。 メッセージが表示されたら、[ Microsoft Graph の電子メール、プロファイルのアクセス許可を有効にする] を選択します。
API Management インスタンスが含まれているブラウザー タブに切り替えます。
シークレットを [ID プロバイダーの追加] ウィンドウの [クライアント シークレット] フィールドに貼り付けます。
Important
キーの有効期限が切れる前に、クライアント シークレットを更新します。
サインイン テナントで、Microsoft Entra へのサインインに使用するテナント名または ID を指定します。 値を指定しない場合は、共通エンドポイントが使用されます。
[許可されたテナント] で、Microsoft Entra にサインインするための 1 つ以上の特定の Microsoft Entra テナント名または ID を追加します。
注
追加のテナントを指定する場合は、複数のテナントをサポートするようにアプリの登録を構成する必要があります。 詳細については、「 複数のテナントのアプリ登録を構成する」を参照してください。
必要な構成を指定したら、 [追加] を選択します。
Microsoft Entra 構成を有効にするには、開発者ポータルを再発行します。 左側のメニューの [開発者ポータル] で、[ポータルの概要]>[発行] を選択します。
Microsoft Entra プロバイダーが有効になった後:
- 指定した Microsoft Entra テナント内のユーザーは、Microsoft Entra アカウントを使用して開発者ポータルにサインインできます。
- Microsoft Entra の構成は、ポータルの [開発者ポータル]>[ID] ページで管理できます。
- 必要に応じて、[ID]>[設定] を選択して他のサインイン設定を構成します。 たとえば、匿名ユーザーをサインイン ページにリダイレクトしたい場合があります。
- 構成の変更があれば、開発者ポータルを再発行します。
テナントのセルフサービス サインアップを有効にする
外部ユーザーが開発者ポータルへのアクセスを登録できるようにするには、次の手順を実行します。
- 外部テナントのセルフサービス サインアップを有効にします。
- セルフサービス サインアップ ユーザー フローにアプリを追加します。
詳細と詳細な手順については、「 B2B コラボレーションのためのセルフサービス サインアップ ユーザー フローの追加」を参照してください。
Microsoft Entra External ID を使用して開発者ポータルにサインインする
開発者ポータルでは、[サインイン ] ボタン (OAuth ウィジェット) を使用して、Microsoft Entra External ID でのサインインを有効にすることができます。 ウィジェットは、既定の開発者ポータル コンテンツのサインイン ページに既に含まれています。
その後、ユーザーは次のように Microsoft Entra External ID を使用してサインインできます。
開発者ポータルに移動します。 [ サインイン] を選択します。
[サインイン] ページ で 、 Microsoft Entra ID を選択します。
![開発者ポータルの [サインイン] ページで Microsoft Entra ID を選択するスクリーンショット。](media/api-management-howto-external-id/developer-portal-sign-in.png)
ヒント
アクセス用に複数の Microsoft Entra テナントを構成する場合は、サインイン ページに複数の Microsoft Entra ID ボタンが表示されます。 各ボタンにはテナント名のラベルが付けられます。
Microsoft Entra テナントのサインイン ウィンドウで、[ サインイン オプション] を選択します。 サインインするために Microsoft Entra テナントで構成されている外部 ID プロバイダーを選択します。 たとえば、Google を ID プロバイダーとして構成した場合は、[ Google でサインイン] を選択します。
サインインを続行するには、プロンプトに応答します。 サインインが完了すると、ユーザーは開発者ポータルにリダイレクトされます。
これで、ユーザーは開発者ポータルにサインインし、[ ユーザー] に新しい API Management ユーザー ID として追加され、Microsoft Entra ID に新しい外部テナント ユーザーとして追加されます。