Share via

外部テナントでの認証方法と ID プロバイダー

  • [アーティクル]

ヒント

この記事は、外部テナントでの外部 ID に関するものです。 従業員テナントについては、「従業員テナントでの外部 ID の ID プロバイダー」をご覧ください。

Microsoft Entra 外部 ID を使用すると、顧客および法人顧客向けアプリのための安全でカスタマイズされたサインイン エクスペリエンスを作成できます。 外部テナントでは、ユーザーがアプリにサインアップする方法が複数あります。 アカウントを作成するには、メールアドレスと、パスワードかワンタイム パスコードを使用します。 または、Facebook と Google でのサインインを有効にしている場合は、自分のソーシャル アカウントを使ってサインインできます。 また、多要素認証 (MFA) を適用し、ユーザーがサインインするたびに検証用のワンタイム パスコードの入力が求められるようにして、セキュリティを強化することもできます。

この記事では、外部テナントで使用できる認証方法と ID プロバイダーについて説明します。

メールとパスワードのサインイン

ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 メール アドレス オプションを使用すると、顧客は自分のメール アドレスとパスワードを使用してサインアップおよびサインインすることができます。

  • サインアップ: 顧客は、ワンタイム パスコードでのサインアップ時に確認されるメール アドレスの入力を求められます。 次に顧客は、サインアップ ページで要求されたその他の情報 (表示名、名、姓など) を入力します。 次に、 [続行] を選択してアカウントを作成します。

  • サインイン: 顧客がサインアップしてアカウントを作成したら、メール アドレスとパスワードを入力してサインインできます。

  • パスワードのリセット: 電子メールとパスワードのサインインを有効にすると、パスワードのリセット リンクがパスワード ページに表示されます。 顧客がパスワードを忘れた場合、このリンクを選択すると、ワンタイム パスコードがメール アドレスに送信されます。 確認後、顧客は新しいパスワードを選択できます。

    パスワード付きメールのサインイン画面のスクリーンショット。

サインアップとサインインのユーザー フローを作成する場合、[パスワード付きメール] が既定のオプションです。

ワンタイム パスコード付きメールのサインイン

ワンタイム パスコード付きメールは、ローカル アカウント ID プロバイダー設定のオプションです。 このオプションを使用すると、顧客はサインインするたびに、保存されたパスワードではなく一時的なパスコードでサインインします。

  • サインアップ: 顧客は自分のメール アドレスでサインアップし、一時的なコードを要求して、自分のメール アドレスに送信できます。 その後は、このコードを入力してサインインを続けます。

  • サインイン: 顧客がサインアップしてアカウントを作成すると、サインインするたびにメール アドレスを入力し、一時的なパスコードを受け取ります。

    ワンタイム パスコード付きメールのサインイン画面のスクリーンショット。

重要

多要素認証 (MFA) を有効にする場合は、ローカル アカウントの認証方法を [パスワード付きメール] に設定します。 ローカル アカウントのオプションを [ワンタイム パスコード付きメール] に設定した場合、ワンタイム パスコードは既に第 1 要素のサインイン方法であり、2 番目の要素として使用できないため、この方法を使用する顧客はサインインできません。 現時点では、顧客シナリオには他の検証方法を使用できません。

サインアップとサインインのユーザー フローを作成する場合、[メールのワンタイム パスコード] はローカル アカウントのオプションの 1 つです。

ソーシャル ID プロバイダー: Facebook と Google

最適なサインイン エクスペリエンスにするには、可能な限りソーシャル ID プロバイダーとフェデレーションします。これにより、顧客にシームレスなサインアップとサインインのエクスペリエンスを提供できるようになります。 外部テナントでは、顧客が自分の Facebook または Google アカウントを使用してサインアップおよびサインインすることを許可できます。 顧客がソーシャル アカウントを使用してアプリにサインアップすると、ソーシャル ID プロバイダーでは、アプリケーションに認証サービスを提供しながら、ID 情報を作成、管理します。

ソーシャル ID プロバイダーを有効にすると、顧客はサインアップ ページで使用可能にしたソーシャル ID プロバイダー オプションから選択できます。 外部テナントでソーシャル ID プロバイダーを設定するには、その ID プロバイダーでアプリケーションを作成し、資格情報を構成します。 クライアントまたはアプリの ID と、クライアントまたはアプリのシークレットを取得して、外部テナントに追加できます。

Google サインイン (プレビュー)

Google とのフェデレーションを設定すると、顧客が自分の Gmail アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Google を追加した後、ユーザーは、サインイン ページで Google アカウントを使用して Microsoft Entra 外部 ID にサインインできます。

次のスクリーンショットは、Google エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Google アカウントでサインイン] を選択します。 その時点で、ユーザーは Google ID プロバイダーにリダイレクトされ、サインインが完了します。

Google サインイン画面のスクリーンショット。

ID プロバイダーとして Google を追加する方法に関するページを確認してください。

Facebook サインイン (プレビュー)

Facebook とのフェデレーションを設定すると、招待されたユーザーが自分の Facebook アカウントを使用してアプリケーションにサインインできるようになります。 アプリケーションのサインイン オプションの 1 つとして Facebook を追加すると、サインイン ページで、ユーザーは Facebook アカウントを使用して Microsoft Entra 外部 ID にサインインできます。

次のスクリーンショットは、Facebook エクスペリエンスでのサインインを示しています。 サインイン ページで、ユーザーは [Facebook アカウントでサインイン] を選択します。 その後、ユーザーは Facebook ID プロバイダーにリダイレクトされ、サインインが完了します。

Facebook サインイン画面のスクリーンショット。

ID プロバイダーとして Facebook を追加する方法に関するページを確認してください。

サインイン方法の更新

アプリに対して選択したサインイン オプションはいつでも更新できます。 たとえば、ソーシャル ID プロバイダーを追加したり、ローカル アカウントのサインイン方法を変更したりすることができます。

サインイン方法を変更すると、変更は新しいユーザーにのみ影響することに注意してください。 既存のユーザーは、元の方法を使用して引き続きサインインします。 たとえば、メールとパスワードのサインイン方法から始めて、後にワンタイム パスコードを使用したメールに変更するとします。 新しいユーザーはワンタイム パスコードを使用してサインインしますが、メールとパスワードで既にサインアップしているユーザーは、引き続きメールとパスワードの入力を求められます。

Microsoft Graph API

次の Microsoft Graph API の操作では、Microsoft Entra 外部 ID での ID プロバイダーと認証方法の管理をサポートしています。

  • サポート対象の ID プロバイダーと認証方法を特定するには、List availableProviderTypes API を呼び出します。
  • テナントで既に構成され有効になっている ID プロバイダーと認証方法を特定するには、List identityProviders API を呼び出します。
  • サポート対象の ID プロバイダーまたは認証方法を有効にするには、Create identityProvider API を呼び出します。

次のステップ