Azure Active Directory B2C を使用して Salesforce アカウントでのサインアップおよびサインインを設定する

"開始する前に" 、上記のセレクターを使用して、構成するポリシーの種類を選択してください。 Azure AD B2C には、ユーザーがアプリケーションを操作する方法を定義する 2 つの方法 (定義済みのユーザー フローを使用する、または完全に構成可能なカスタム ポリシーを使用する) があります。 この記事で必要な手順は、方法ごとに異なります。

注意

Azure Active Directory B2C で、カスタム ポリシーは、主に、複雑なシナリオに取り組む用途向けに設計されています。 ほとんどのシナリオで、組み込みユーザー フローを使用することをお勧めします。

前提条件

Salesforce アプリケーションを作成する

Azure Active Directory B2C (Azure AD B2C) で Salesforce アカウントを持つユーザーのサインインを有効にするために、Salesforce アプリ マネージャでアプリケーションを作成する必要があります。 詳細については、「接続アプリケーションの基本設定」と「API インテグレーション用の OAuth 設定の有効化」を参照してください。

  1. Salesforce にサインインします
  2. メニューから [Setup](設定) を選択します。
  3. [Apps](アプリ) を展開し、 [App Manager](アプリ マネージャ) を選択します。
  4. [New Connected App](新しく接続されたアプリ) を選択します。
  5. [Basic Information](基本情報) で、次のように入力します。
    1. [Connected App Name](接続されているアプリの名前) - 接続されているアプリ名が、アプリ マネージャーと [App Launcher](アプリ起動) タイルに表示されます。 名前は、組織内で一意である必要があります。
    2. [API Name](アプリ名)
    3. [Contact Email](連絡先の電子メール) - Salesforce での連絡先の電子メール
  6. [API (Enable OAuth Settings)](API (OAuth 設定を有効にする)) で、 [Enable OAuth Settings](OAuth 設定を有効にする) を選択します。
    1. [Callback URL] に「https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 カスタム ドメインを使用する場合は、「https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp」と入力します。 your-tenant-name を実際のテナントの名前に、your-domain-name を実際のカスタム ドメインに置き換えます。 テナントが Azure AD B2C に大文字で定義されている場合でも、テナント名を入力するときに、すべての小文字を使用する必要があります。
    2. [Selected OAuth Scopes](選択された OAuth のスコープ) で、 [Access your basic information (id, profile, email, address, phone)](基本情報 (ID、プロファイル、電子メール、アドレス、電話) にアクセスする)[Allow access to your unique identifier (openid)](一意識別子 (openid) へのアクセスを許可する) を選択します。
    3. [Require Secret for Web Server Flow](Web サーバー フロー用のシークレットが必要) を選択します。
  7. [Configure ID Token](ID トークンの構成) を選択します
    1. [Token Valid for](トークンの有効期限) を 5 分に設定します。
    2. [Include Standard Claims](標準要求を含める) を選択します。
  8. [保存] をクリックします。
  9. [Consumer Key](コンシューマー キー)[Consumer Secret](コンシューマー シークレット) の値をコピーします。 テナントで Salesforce を ID プロバイダーとして構成するには、両方の値が必要です。 [クライアント シークレット] は、重要なセキュリティ資格情報です。

Salesforce を ID プロバイダーとして構成する

  1. Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 上部のメニューにある [ディレクトリ + サブスクリプション] フィルターを選択し、ご利用の Azure AD B2C テナントを含むディレクトリを選択します。

  2. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。

  3. [ID プロバイダー] を選択してから、 [新しい OpenID Connect プロバイダー ] を選択します。

  4. [名前] を入力します。 たとえば、「Salesforce」と入力します。

  5. [メタデータ URL] には、Salesforce OpenID Connect 構成ドキュメントの URL を入力してください。 サンドボックスの場合、login.salesforce.com は test.salesforce.com に置き換えられます。 コミュニティの場合、login.salesforce.com は username.force.com/.well-known/openid-configuration などのコミュニティ URL に置き換えられます。 この URL は HTTPS である必要があります。

    https://login.salesforce.com/.well-known/openid-configuration
    
  6. [クライアント ID] には、前に記録したアプリケーション ID を入力します。

  7. [クライアント シークレット] には、前に記録したクライアント シークレットを入力します。

  8. [スコープ] で、openid id profile email を入力します。

  9. [応答の種類] および [応答モード] の既定値はそのままにします。

  10. (省略可能) [ドメインのヒント] に、「contoso.com」と入力します。 詳しくは、「Azure Active Directory B2C を使用した直接サインインの設定」をご覧ください。

  11. [ID プロバイダー要求のマッピング] で、次の要求を入力します。

    • [ユーザー ID] : sub
    • [表示名] : name
    • [名] : given_name
    • [姓] : family_name
    • [電子メール] : email
  12. [保存] を選択します。

ユーザー フローに Salesforce ID プロバイダーを追加する

この時点では、Salesforce ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 ユーザー フローに Salesforce ID プロバイダーを追加するには:

  1. Azure AD B2C テナントで、 [ユーザー フロー] を選択します。
  2. Salesforce ID プロバイダーを追加するユーザー フローをクリックします。
  3. [ソーシャル ID プロバイダー] から、 [Salesforce] を選択します。
  4. [保存] を選択します。
  5. ポリシーをテストするには、 [ユーザー フローを実行します] を選択します。
  6. [アプリケーション] には、以前に登録した testapp1 という名前の Web アプリケーションを選択します。 [応答 URL]https://jwt.ms と表示されます。
  7. [ユーザー フローを実行します] ボタンを選択します。
  8. サインアップまたはサインイン ページで、 [Salesforce] を選択して、Salesforce アカウントを使用してサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

ポリシー キーを作成する

Azure AD B2C テナントで前に記録したクライアント シークレットを格納する必要があります。

  1. Azure portal にサインインします。
  2. ご自分の Azure AD B2C テナントが含まれるディレクトリを必ず使用してください。 上部メニューで [ディレクトリ + サブスクリプション] フィルターを選択し、ご利用のテナントが含まれるディレクトリを選択します。
  3. Azure portal の左上隅にある [すべてのサービス] を選択してから、 [Azure AD B2C] を検索して選択します。
  4. [概要] ページで、 [Identity Experience Framework] を選択します。
  5. [ポリシー キー] を選択し、 [追加] を選択します。
  6. オプション については、Manualを選択します。
  7. ポリシー キーの 名前 を入力します。 たとえば、「 SalesforceSecret 」のように入力します。 プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。
  8. [シークレット] に、前に記録したクライアント シークレットを入力します。
  9. [キー使用法] として [Signature] を選択します。
  10. Create をクリックしてください。

Salesforce を ID プロバイダーとして構成する

ユーザーが Salesforce アカウントを使用してサインインできるようにするには、そのアカウントを Azure AD B2C がエンドポイント経由で通信できる相手のクレーム プロバイダーとして定義する必要があります。 エンドポイントは、特定のユーザーが認証されていることを確認するために Azure AD B2C で使う一連の要求を提供します。

Salesforce アカウントをクレーム プロバイダーとして定義するには、そのアカウントをポリシーの拡張ファイル内の ClaimsProviders 要素に追加します。

  1. TrustFrameworkExtensions.xml を開きます。

  2. ClaimsProviders 要素を見つけます。 存在しない場合は、それをルート要素の下に追加します。

  3. 新しい ClaimsProvider を次のように追加します。

    <ClaimsProvider>
      <Domain>salesforce.com</Domain>
      <DisplayName>Salesforce</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="Salesforce-OpenIdConnect">
          <DisplayName>Salesforce</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="METADATA">https://login.salesforce.com/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="scope">openid id profile email</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">0</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">Your Salesforce application ID</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_SalesforceSecret"/>
          </CryptographicKeys>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="salesforce.com" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. METADATA には、Salesforce OpenID Connect 構成ドキュメントの URL が設定されます。 サンドボックスの場合、login.salesforce.com は test.salesforce.com に置き換えられます。 コミュニティの場合、login.salesforce.com は username.force.com/.well-known/openid-configuration などのコミュニティ URL に置き換えられます。 この URL は HTTPS である必要があります。

  5. client_id を、アプリケーションの登録で取得したアプリケーション ID に設定します。

  6. ファイルを保存します。

ユーザー体験を追加する

この時点では、ID プロバイダーはセットアップされていますが、サインイン ページではまだ使用できません。 独自のカスタム ユーザー体験がない場合は、既存のテンプレート ユーザー体験の複製を作成してください。そうでない場合は、次の手順に進みます。

  1. スターター パックから TrustFrameworkBase.xml ファイルを開きます。
  2. Id="SignUpOrSignIn" を含む UserJourney 要素を見つけ、その内容全体をコピーします。
  3. TrustFrameworkExtensions.xml を開き、UserJourneys 要素を見つけます。 要素が存在しない場合は追加します。
  4. コピーした UserJourney 要素の内容全体を UserJourneys 要素の子として貼り付けます。
  5. ユーザー体験の ID の名前を変更します。 たとえば、「 Id="CustomSignUpSignIn" 」のように入力します。

ユーザー体験に ID プロバイダーを追加する

これでユーザー体験ができたので、ユーザー体験に新しい ID プロバイダーを追加します。 最初にサインイン ボタンを追加してから、ボタンをアクションにリンクします。 アクションは、前に作成した技術プロファイルです。

  1. ユーザー体験内で、Type="CombinedSignInAndSignUp" または Type="ClaimsProviderSelection" を含むオーケストレーション ステップ要素を見つけます。 これは通常、最初のオーケストレーション ステップです。 ClaimsProviderSelections 要素には、ユーザーがサインインに使用できる ID プロバイダーの一覧が含まれています。 要素の順序により、ユーザーに表示されるサインイン ボタンの順序が制御されます。 ClaimsProviderSelection XML 要素を追加します。 TargetClaimsExchangeId の値をフレンドリ名に設定します。

  2. 次のオーケストレーション ステップで、ClaimsExchange 要素を追加します。 ID を、ターゲットの要求交換 ID の値に設定します。TechnicalProfileReferenceId の値を、前に作成した技術プロファイルの ID に更新します。

次の XML は、ID プロバイダーを使用したユーザー体験の最初の 2 つのオーケストレーション ステップを示しています。

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SalesforceExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SalesforceExchange" TechnicalProfileReferenceId="Salesforce-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

証明書利用者ポリシーを構成する

証明書利用者ポリシー (例 SignUpSignIn.xml) は、Azure AD B2C が実行されるユーザー体験を指定します。 証明書利用者内の DefaultUserJourney 要素を検索します。 ID プロバイダーを追加したユーザー体験 ID と一致するように ReferenceId を更新します。

次の例では、CustomSignUpOrSignIn ユーザー体験について、ReferenceIdCustomSignUpOrSignIn に設定しています。

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

カスタム ポリシーをアップロードする

  1. Azure portal にサインインします。
  2. ポータル ツール バーにある [ディレクトリ + サブスクリプション] アイコンを選択し、Azure AD B2C テナントを含むディレクトリを選択します。
  3. Azure portal で、 [Azure AD B2C] を検索して選択します。
  4. [ポリシー][Identity Experience Framework] を選択します。
  5. [カスタム ポリシーのアップロード] を選択し、変更した 2 つのポリシー ファイルを拡張ポリシー (TrustFrameworkExtensions.xml など)、証明書利用者ポリシー (SignUpSignIn.xmlなど) の順序でアップロードします。

カスタム ポリシーのテスト

  1. 証明書利用者ポリシー (B2C_1A_signup_signin など) を選択します。
  2. [アプリケーション] には、前に登録した Web アプリケーションを選択します。 [応答 URL]https://jwt.ms と表示されます。
  3. [今すぐ実行] ボタンを選択します。
  4. サインアップまたはサインイン ページで、 [Salesforce] を選択して、Salesforce アカウントを使用してサインインします。

サインイン プロセスが成功すると、ブラウザーは https://jwt.ms にリダイレクトされ、Azure AD B2C によって返されたトークンの内容が表示されます。

次のステップ

Salesforce トークンをアプリケーションに渡す方法について説明します。