ポータルの Open ID 接続プロバイダー設定を構成します

このトピックは、Dynamics 365 ポータル およびそれ以降のバージョンが対象です。

OpenID 接続 の外部 ID プロバイダーは、Open ID 接続の 仕様に準拠したサービスです。 プロバイダーを統合するには、プロバイダーに関連付けられる権限 (または発行者) の URL を探します。 構成のための URL は、認証ワークフローに必要なメタデータを提供する発行機関から判別できます。 プロバイダ設定は、OpenIdConnectAuthenticationOptions クラスのプロパティに基づきます。

以下は発行機関の URL の例です。

各 OpenID 接続 プロバイダーには、アプリケーション (OAuth 2.0 プロバイダーのものに似ています) の登録とクライアント ID の取得も含まれます。権限 URL と生成されたアプリケーションのクライアント ID は、ポータルとIDプロバイダ間の外部認証を有効にするために必要な設定です。

注意

Google の OpenID 接続エンドポイントは、現在サポートされていません。これは、基盤とするライブラリが互換性問題のある初期リリース段階にあるためです。 ポータル用 OAuth2 プロバイダーの設定 エンドポイントを代わりに使用できます。

Azure Active Directoryに対する OpenID 設定

開始するには、Azure 管理ポータル にサインインして、既存ディレクトリを作成または選択します。 ディレクトリが使用可能な場合、ディレクトリに アプリケーションを追加 するための説明に従います。

  1. ディレクトリのアプリケーションメニューの下で、追加を選択します。
  2. 自分の組織が作成するアプリケーションを追加を選択します。
  3. カスタマイズされた名前をアプリケーションに指定して、Web アプリケーションまたは Web API の種類を選択します。
  4. サインオン URL および アプリ ID URI には、両方のフィールドにポータルの URL を指定 https://portal.contoso.com/
  5. この時点で、新しいアプリケーションが作成されます。 メニューの構成セクションに移動します。

    シングル サインオンセクションで、最初の返信URLエントリを更新してURL: http://portal.contoso.com/signin-azure-adにパスを含めます。 これは、RedirectUri サイト設定値に相当

  6. プロパティセクションで、クライアント ID フィールドを見つけます。 これは、ClientId サイト設定値に相当します。

  7. フッター メニューで、エンドポイントの表示を選び、フェデレーション メタデータ ドキュメントフィールドを留意します。

URL の左の部分は権限の値で、次の形式のいずれかになります。

サービスの構成 URL を取得するには、FederationMetadata/2007-06/FederationMetadata.xml のパス末尾を .well-known/openid-configuration のパスに置換します。 たとえば、https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

これは、MetadataAddress サイト設定値に相当します。

上述のアプリケーションを参照するポータル サイト設定を適用します。

注意

標準の Azure AD 構成は、次の設定のみを使用します (値の例を含む):

[プロバイダー] タグのラベルを置き換えて、複数の ID プロバイダーを構成することができます。 それぞれの固有のラベルは、ID プロバイダーに関連する設定グループとなります。 例: AzureAD、MyIdP

サイト設定の名前 内容
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/OpenIdConnect/[プロバイダー]/Authority 必須。 OpenIdConnect の呼び出しの作成に使用する発行機関。 例: https://login.windows.net/contoso.onmicrosoft.com/。 詳細は、OpenIdConnectAuthenticationOptions.Authority を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/MetadataAddress メタデータを取得するための探索エンドポイントです。 通常は次のパスで終わります:/.well-known/openid-configuration 。 例: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration。 詳細は、OpenIdConnectAuthenticationOptions.MetadataAddress を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationType OWIN 認証のミドルウェアの種類を指定します。 サービス構成メタデータにある発行者の値を指定します。 例: https://sts.windows.net/contoso.onmicrosoft.com/。 詳細は、AuthenticationOptions.AuthenticationType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClientId 必須。 プロバイダーのアプリケーションから取得した クライアント ID の値。 「アプリ ID」または「コンシューマ キー」と呼ばれる場合もあります。 詳細は、OpenIdConnectAuthenticationOptions.ClientId を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClientSecret プロバイダーのアプリケーションから取得した クライアント シークレットの値。 「アプリ シークレット」または「コンシューマ シークレット」と呼ばれる場合もあります。 詳細は、OpenIdConnectAuthenticationOptions.ClientSecret を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/RedirectUri 推奨要件。 AD FS WS-Federation のパッシブ エンドポイントです。 例: https://portal.contoso.com/signin-saml2。 詳細は、OpenIdConnectAuthenticationOptions.RedirectUri を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Caption 推奨要件。 ユーザーがサインインのユーザー インターフェイスに表示できるテキストです。 既定: [プロバイダー]。 詳細は、OpenIdConnectAuthenticationOptions.Caption を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Resource 'resource' (リソース)。 詳細は、OpenIdConnectAuthenticationOptions.Resource を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ResponseType '応答の_種類'。 詳細は、OpenIdConnectAuthenticationOptions.ResponseType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/Scope 要求に対するアクセス許可のスペース区切りの一覧。 既定: openid。 詳細は、OpenIdConnectAuthenticationOptions.Scope を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/CallbackPath 認証コールバックを処理する任意の制約されたパスです。 提供されず、RedirectUri がある場合、この値は RedirectUri から生成されます。 詳細は、OpenIdConnectAuthenticationOptions.CallbackPath を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/BackchannelTimeout バック チャネル コミュニケーション用のタイムアウト値。 例: 00:05:00 (5 分)。 詳細は、OpenIdConnectAuthenticationOptions.BackchannelTimeout を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/RefreshOnIssuerKeyNotFound メタデータの更新を SecurityTokenSignatureKeyNotFoundException の後に実行するかどうかを指定します。 詳細は、OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/UseTokenLifetime 認証セッションの有効期限 (例: クッキー) は認証トークンと一致する必要があることを示します。 詳細は、OpenIdConnectAuthenticationOptions.UseTokenLifetime を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/AuthenticationMode OWIN 認証のミドルウェアのモードを指定します。 詳細は、AuthenticationOptions.AuthenticationMode を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity の作成時に使用される AuthenticationType です。 詳細は、OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/PostLogoutRedirectUri 'post_logout_redirect_uri' (ログアウト後のリダイレクト URI)。 詳細は、OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ValidAudiences 対象者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.AllowedAudiences を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ValidIssuers 発行者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.ValidIssuers を参照してください。
Authentication/OpenIdConnect/[プロバイダー]/ClockSkew 時間を有効にする際に適用するクロック スキューです。
Authentication/OpenIdConnect/[プロバイダー]/NameClaimType 名前の要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RoleClaimType ロールの要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/OpenIdConnect/[プロバイダー]/RequireExpirationTime トークンに "期限切れ" の値が必要かどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/RequireSignedTokens System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5"が署名されていない場合に有効になりうるかどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/SaveSigninToken セッションの作成時に元のトークンが保存されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor を有効にする必要があるかどうかを示す値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateAudience 対象者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateLifetime 有効期限がトークンの検証時に検証されるかを制御するブール値です。
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuerSigningKey securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5"に署名したSystem.IdentityModel.Tokens.SecurityKeyの検証を呼び出すかどうかを制御するブール値です。

マルチテナント型の Azure Active Directory アプリケーションを使用する認証を有効にする

Azure Active Directory に登録されたマルチテナント型のアプリケーションを使用することにより、単に特定のテナントではなく、Azure 内の任意のテナントからの Azure Active Directory ユーザーを受入れるようにポータルを構成することができます。 マルチテナント機能を有効にするには、Azure Active Directory アプリケーションでマルチテナント型スイッチをはいにセットします。

Azure Active Directory アプリケーションでマルチテナント機能を有効にする

[プロバイダー] タグのラベルを置き換えて、複数の ID プロバイダーを構成することができます。 それぞれの固有のラベルは、ID プロバイダーに関連する設定グループとなります。 マルチテナント型アプリケーションを使用する Azure Active Directory に対する認証をサポートするように、ポータル内の以下のサイトの設定を作成または構成することができます。

サイト設定の名前 内容
Authentication/OpenIdConnect/[プロバイダー]/Authority OpenIdConnect の呼び出しの作成に使用する発行機関。 例: https://login.windows.net/common
Authentication/OpenIdConnect/[プロバイダー]/ClientId プロバイダーのアプリケーションから取得した クライアント ID の値。 「アプリ ID」または「コンシューマ キー」と呼ばれる場合もあります。
Authentication/OpenIdConnect/[プロバイダー]/ExternalLogoutEnabled 外部アカウントのサインアウトと登録を有効化または無効化します。 この値を True としてセットします。
Authentication/OpenIdConnect/[プロバイダー]/IssuerFilter すべてのテナントですべての発行者に一致するワイルドカード ベースのフィルター。 大抵の場合、以下の値を使用します。https://sts.windows.net/*/
Authentication/OpenIdConnect/[プロバイダー]/RedirectUri プロバイダが認証の応答を送信する返信 URL の場所。例: https://portal.contoso.com/signin-oidc
Authentication/OpenIdConnect/[プロバイダー]/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。 この値を False としてセットします。

関連項目

Dynamics 365 ポータル認証の構成
ポータル用の認証 ID の設定
ポータル用 OAuth2 プロバイダーの設定
ポータル用 WS-Federation プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証