ポータルの Open ID 接続プロバイダー設定を構成します

このトピックは、Dynamics 365 ポータル およびそれ以降のバージョンが対象です。

OpenID 接続 の外部 ID プロバイダーは、Open ID 接続の 仕様に準拠したサービスです。 プロバイダーを統合するには、プロバイダーに関連付けられる権限 (または発行者) の URL を探します。 構成のための URL は、認証ワークフローに必要なメタデータを提供する発行機関から判別できます。 プロバイダ設定は、OpenIdConnectAuthenticationOptions クラスのプロパティに基づきます。

以下は発行機関の URL の例です。

各 OpenID 接続 プロバイダーには、アプリケーション (OAuth 2.0 プロバイダーのものに似ています) の登録とクライアント ID の取得も含まれます。権限 URL と生成されたアプリケーションのクライアント ID は、ポータルとIDプロバイダ間の外部認証を有効にするために必要な設定です。

注意

Google の OpenID 接続エンドポイントは、現在サポートされていません。これは、基盤とするライブラリが互換性問題のある初期リリース段階にあるためです。 ポータル用 OAuth2 プロバイダーの設定 エンドポイントを代わりに使用できます。

Azure Active Directoryに対する OpenID 設定

開始するには、Azure 管理ポータル にサインインして、既存ディレクトリを作成または選択します。 ディレクトリが使用可能な場合、ディレクトリに アプリケーションを追加 するための説明に従います。

  1. ディレクトリの アプリケーション メニューの下で、[追加] を選択します。
  2. 自分の組織が作成するアプリケーションを追加 を選択します。
  3. カスタマイズされた 名前 をアプリケーションに指定して、Web アプリケーションまたは Web API の種類を選択します。
  4. サインオン URL および アプリ ID URIには、両方のフィールドにポータルの URL https://portal.contoso.com/ を指定します
  5. この時点で、新しいアプリケーションが作成されます。 メニューの 構成 セクションに移動します。

    シングル サインオン セクションで、最初の 返信 URL エントリを更新し URL にパスを含めます: http://portal.contoso.com/signin-azure-ad。 これは、[RedirectUri] サイト設定値に相当

  6. プロパティ セクションで、クライアント ID フィールドを見つけます。 これは、[ClientId] サイト設定値に相当します。

  7. フッター メニューで、[エンドポイントの表示] を選び、[フェデレーション メタデータ ドキュメント] フィールドを留意します。

URL の左の部分は [権限] の値で、次の形式のいずれかになります。

サービスの構成 URL を取得するには、FederationMetadata/2007-06/FederationMetadata.xml のパス末尾を .well-known/openid-configuration のパスに置換します。 たとえば、 https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

これは、MetadataAddress サイト設定値に相当します。

OpenID を使用してサイト設定を作成します

上述のアプリケーションを参照するポータル サイト設定を適用します。

注意

標準の Azure AD 構成は、次の設定のみを使用します (値の例を含む):

[プロバイダー] タグのラベルを置き換えて、複数の ID プロバイダーを構成することができます。 それぞれの固有のラベルは、ID プロバイダーに関連する設定グループとなります。 例: AzureAD、MyIdP

サイト設定の名前 内容
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/OpenIdConnect/[プロバイダー]/Authority 必須。 OpenIdConnect の呼び出しの作成に使用する発行機関。 例: https://login.windows.net/contoso.onmicrosoft.com/。 詳細は、OpenIdConnectAuthenticationOptions.Authority を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/MetadataAddress メタデータを取得するための探索エンドポイントです。 通常は次のパスで終わります:/.well-known/openid-configuration 。 例: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration。 詳細は、OpenIdConnectAuthenticationOptions.MetadataAddress を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationType OWIN 認証のミドルウェアの種類を指定します。 サービス構成メタデータにある発行者の値を指定します。 例: https://sts.windows.net/contoso.onmicrosoft.com/。 詳細は、AuthenticationOptions.AuthenticationType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClientId 必須。 プロバイダーのアプリケーションから取得した クライアント ID の値。 「アプリ ID」または「コンシューマ キー」と呼ばれる場合もあります。 詳細は、OpenIdConnectAuthenticationOptions.ClientId を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClientSecret プロバイダーのアプリケーションから取得した クライアント シークレットの値。 「アプリ シークレット」または「コンシューマ シークレット」と呼ばれる場合もあります。 詳細は、OpenIdConnectAuthenticationOptions.ClientSecret を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/RedirectUri 推奨要件。 AD FS WS-Federation のパッシブ エンドポイントです。 例: https://portal.contoso.com/signin-saml2。 詳細は、OpenIdConnectAuthenticationOptions.RedirectUri を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Caption 推奨要件。 ユーザーがサインインのユーザー インターフェイスに表示できるテキストです。 既定: [プロバイダー]。 詳細は、OpenIdConnectAuthenticationOptions.Caption を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Resource 'resource' (リソース)。 詳細は、OpenIdConnectAuthenticationOptions.Resource を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ResponseType '応答の_種類'。 詳細は、OpenIdConnectAuthenticationOptions.ResponseType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Scope 要求に対するアクセス許可のスペース区切りの一覧。 既定: openid。 詳細は、OpenIdConnectAuthenticationOptions.Scope を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/CallbackPath 認証コールバックを処理する任意の制約されたパスです。 提供されず、RedirectUri がある場合、この値は RedirectUri から生成されます。 詳細は、OpenIdConnectAuthenticationOptions.CallbackPath を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/BackchannelTimeout バック チャネル コミュニケーション用のタイムアウト値。 例: 00:05:00 (5 分)。 詳細は、OpenIdConnectAuthenticationOptions.BackchannelTimeout を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/RefreshOnIssuerKeyNotFound メタデータの更新を SecurityTokenSignatureKeyNotFoundException の後に実行するかどうかを指定します。 詳細は、OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/UseTokenLifetime 認証セッションの有効期限 (例: クッキー) は認証トークンと一致する必要があることを示します。 詳細は、OpenIdConnectAuthenticationOptions.UseTokenLifetime を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationMode OWIN 認証のミドルウェアのモードを指定します。 詳細は、AuthenticationOptions.AuthenticationMode を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity の作成時に使用される AuthenticationType です。 詳細は、OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/PostLogoutRedirectUri 'post_logout_redirect_uri' (ログアウト後のリダイレクト URI)。 詳細は、OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ValidAudiences 対象者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.AllowedAudiences を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ValidIssuers 発行者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.ValidIssuers を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClockSkew 時間を有効にする際に適用するクロック スキューです。
Authentication/OpenIdConnect/[プロバイダー]/NameClaimType 名前の要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RoleClaimType ロールの要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RequireExpirationTime トークンに "期限切れ" の値が必要かどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/RequireSignedTokens System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" が該当するかを示す値は、署名しない場合でも有効になります。
Authentication/OpenIdConnect/[プロバイダー]/SaveSigninToken セッションの作成時に元のトークンが保存されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor を有効にする必要があるかどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateAudience 対象者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateLifetime 有効期限がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuerSigningKey securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" に署名した System.IdentityModel.Tokens.SecurityKey の有効性を制御するブール値が呼び出されます。

関連項目

Dynamics 365 ポータル認証の構成
ポータル用の認証 ID の設定
ポータル用 OAuth2 プロバイダーの設定
ポータル用 WS-Federation プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証