ポータルの Open ID 接続プロバイダー設定を構成します

このトピックは、Dynamics 365 ポータル およびそれ以降のバージョンが対象です。

OpenID 接続 の外部 ID プロバイダーは、Open ID 接続の 仕様に準拠したサービスです。 プロバイダーを統合するには、プロバイダーに関連付けられる権限 (または発行者) の URL を探します。 構成のための URL は、認証ワークフローに必要なメタデータを提供する発行機関から判別できます。 プロバイダ設定は、OpenIdConnectAuthenticationOptions クラスのプロパティに基づきます。

以下は発行機関の URL の例です。

各 OpenID 接続プロバイダーは、アプリケーションの登録 (OAuth 2.0 のプロバーダーに類似しています) およびクライアント ID の取得も行います。 発行機関の URL および生成されたアプリケーションのクライアント ID は、ポータルと ID プロバイダーとの間の外部アクセス認証を有効にするための設定です。

注意

Google の OpenID 接続エンドポイントは、現在サポートされていません。これは、基盤とするライブラリが互換性問題のある初期リリース段階にあるためです。 ポータル用 OAuth2 プロバイダーの設定 エンドポイントを代わりに使用できます。

Azure Active Directoryに対する OpenID 設定

開始するには、Azure 管理ポータル にサインインして、既存ディレクトリを作成または選択します。 ディレクトリが使用可能な場合、ディレクトリに アプリケーションを追加 するための説明に従います。

  1. ディレクトリの アプリケーション メニューで、追加 ボタンをクリックします。
  2. 自分の組織が作成するアプリケーションを追加 を選択します。
  3. カスタマイズされた 名前 をアプリケーションに指定して、Web アプリケーションまたは Web API の種類を選択します。
  4. サインオン URL および アプリ ID URIには、両方のフィールドにポータルの URL https://portal.contoso.com/ を指定します
  5. この時点で、新しいアプリケーションが作成されます。 メニューの 構成 セクションに移動します。

    シングル サインオン セクションで、最初の 返信 URL エントリを更新し URL にパスを含めます: http://portal.contoso.com/signin-azure-ad。 これは、[RedirectUri] サイト設定値に相当

  6. プロパティ セクションで、クライアント ID フィールドを見つけます。 これは、[ClientId] サイト設定値に相当します。

  7. フッター メニューで [エンドポイントを表示] ボタンをクリックして [フェデレーション メタデータ ドキュメント] フィールドを記録

URL の左の部分は [権限] の値で、次の形式のいずれかになります。

サービスの構成 URL を取得するには、FederationMetadata/2007-06/FederationMetadata.xml のパス末尾を .well-known/openid-configuration のパスに置換します。 たとえば、 https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

これは、MetadataAddress サイト設定値に相当します。

OpenID を使用してサイト設定を作成します

上述のアプリケーションを参照するポータル サイト設定を適用します。

注意

標準の Azure AD 構成は、次の設定のみを使用します (値の例を含む):

[プロバイダー] タグのラベルを置き換えて、複数の ID プロバイダーを構成することができます。 それぞれの固有のラベルは、ID プロバイダーに関連する設定グループとなります。 例: AzureAD、MyIdP

サイト設定の名前 内容
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/OpenIdConnect/[プロバイダー]/Authority 必須。 OpenIdConnect の呼び出しの作成に使用する発行機関。 例: https://login.windows.net/contoso.onmicrosoft.com/。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/MetadataAddress メタデータを取得するための探索エンドポイントです。 通常は次のパスで終わります:/.well-known/openid-configuration 。 例: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationType OWIN 認証のミドルウェアの種類を指定します。 サービス構成メタデータにある発行者の値を指定します。 例: https://sts.windows.net/contoso.onmicrosoft.com/。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ClientId 必須。 プロバイダーのアプリケーションから取得した クライアント ID の値。 「アプリ ID」または「コンシューマ キー」と呼ばれる場合もあります。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ClientSecret プロバイダーのアプリケーションから取得した クライアント シークレットの値。 「アプリ シークレット」または「コンシューマ シークレット」と呼ばれる場合もあります。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/RedirectUri 推奨要件。 AD FS WS-Federation のパッシブ エンドポイントです。 例: https://portal.contoso.com/signin-saml2。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/Caption 推奨要件。 ユーザーがサインインのユーザー インターフェイスに表示できるテキストです。 既定: [プロバイダー]。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/Resource 'resource' (リソース)。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ResponseType '応答の_種類'。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/Scope 要求に対するアクセス許可のスペース区切りの一覧。 既定: openid。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/CallbackPath 認証コールバックを処理する任意の制約されたパスです。 提供されず、RedirectUri がある場合、この値は RedirectUri から生成されます。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/BackchannelTimeout バック チャネル コミュニケーション用のタイムアウト値。 例: 00:05:00 (5 分)。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/RefreshOnIssuerKeyNotFound メタデータの更新を SecurityTokenSignatureKeyNotFoundException の後に実行するかどうかを指定します。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/UseTokenLifetime 認証セッションの有効期限 (例: クッキー) は認証トークンと一致する必要があることを示します。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationMode OWIN 認証のミドルウェアのモードを指定します。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity の作成時に使用される AuthenticationType です。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/PostLogoutRedirectUri 'post_logout_redirect_uri' (ログアウト後のリダイレクト URI)。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ValidAudiences 対象者 URL のコンマ区切り一覧です。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ValidIssuers 発行者 URL のコンマ区切り一覧です。 MSDN
Authentication/OpenIdConnect/[プロバイダー]/ClockSkew 時間を有効にする際に適用するクロック スキューです。
Authentication/OpenIdConnect/[プロバイダー]/NameClaimType 名前の要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RoleClaimType ロールの要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RequireExpirationTime トークンに "期限切れ" の値が必要かどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/RequireSignedTokens System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" が該当するかを示す値は、署名しない場合でも有効になります。
Authentication/OpenIdConnect/[プロバイダー]/SaveSigninToken セッションの作成時に元のトークンが保存されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor を有効にする必要があるかどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateAudience 対象者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateLifetime 有効期限がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuerSigningKey securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" に署名した System.IdentityModel.Tokens.SecurityKey の有効性を制御するブール値が呼び出されます。

関連項目

Dynamics 365 ポータル認証の構成
ポータル用の認証 ID の設定
ポータル用 OAuth2 プロバイダーの設定
ポータル用 WS-Federation プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証