Azure Active Directory B2C (企業-消費者間) の設計
Azure AD B2C は Microsoft Entra テナントの一種であり、顧客の ID と、顧客による貴社のアプリへのアクセスを管理するためのものです。 Azure AD B2C には Microsoft Entra テナントが必要ですが、このテナントは、組織の Microsoft Entra テナントと同じでは "ありません"。
- Microsoft Entra テナントは自分の組織を表すものです。
- Azure AD B2C テナント は、顧客アプリの ID を表します。
Azure AD B2C テナントを設定したら、アプリを登録する必要があります。 ユーザーのサインインやサインアップなどの操作を管理するには、ユーザー フローを使用します。 Azure AD B2C テナントでは、複数の種類のユーザー フローを作成できます。
Azure AD B2C について知っておくべきこと
Microsoft Entra ID の B2B 機能を確認し、それらを Tailwind Traders の ID ソリューションにどのように実装するかを検討しました。 今度は、Azure AD B2C で提供される顧客機能を見てみることにしましょう。
Azure AD B2C を使用すると、顧客は自分が選んだ ID プロバイダーを使用して安全に認証を行うことができます。
顧客のサインイン、個人設定、変換データをキャプチャできます。
Azure AD B2C では、顧客に関するカスタム属性が保存されるため、お使いのアプリでその情報を使用することができます。
ブランド化された登録とカスタム UI サインインのエクスペリエンスを使用できます。
B2C オプションを使用すると、組織アカウントと顧客アカウントを分離できます。
Azure AD B2C を使用する際の考慮事項
Tailwind Traders は、製品の顧客であるユーザーの ID 管理を実装する方法を調査したいと考えています。 Azure AD B2C ソリューションの使用について、次の点を確認します。
ユーザー体験の再利用可能なフローを検討します。 ユーザー体験とは、ユーザーが目標を達成するためにアプリでたどるパスです。 Tailwind Traders ユーザーは、新しいアカウントの作成やプロファイルの更新を行ったり、他のユーザーを頻繁に確認したりすることができます。 Azure AD B2C には、ユーザー フローと呼ばれる事前構成済みのポリシーが付属しています。 同じユーザー フローをさまざまなアプリで再利用できます。 ユーザー フローを再利用すると、すべてのアプリケーションで一貫したユーザー体験が作成されます。
ユーザーが自分のソーシャル ID でサインインできるようにすることを検討します。 ID プロバイダーをサポートすることによって、Tailwind Traders ユーザーは、自分の既存のソーシャルまたはエンタープライズ アカウントでサインインできるようになります。 多数の ID プロバイダーを掲載した一覧があり、さらに多くのプロバイダーが追加されています。 ソーシャル プロバイダーには、Amazon、Microsoft Entra ID、Facebook、LinkedIn、Twitter、Microsoft のアカウントが含まれます。
ブランド化をサポートするカスタマイズ可能なユーザー インターフェイスを検討します。 Tailwind Traders ユーザー フローのページをカスタマイズします。 独自の HTML や CSS を作成したり、"ページ レイアウト テンプレート" と呼ばれる組み込みテンプレートを使用したりします。
外部ユーザー ストアとの統合を検討します。 Azure AD B2C で提供されているディレクトリには、ユーザーごとに 100 個のカスタム属性を保持できます。 ただし、オプションで外部システムと統合することもできます。 認証には Azure AD B2C を使用できますが、顧客データの信頼できる情報源としての機能は、外部の顧客関係管理 (CRM) や顧客ロイヤルティ データベースに委任できます。
サード パーティの本人確認および ID 校正を検討します。 Azure AD B2C を使用すると、ユーザー データを収集することで、Tailwind Traders のための本人確認や ID 校正が容易になります。 検証、信頼スコアリング、ユーザー アカウント作成の承認を実行するために、ユーザー データをサードパーティのシステムに渡します。
B2B と B2C の ID ソリューションを比較する
Microsoft Entra の ID ソリューションについて基本的な知識が得られたので、Tailwind Traders の場合を例にしてオプションを比較することにしましょう。
| Microsoft Entra B2B (企業間) | Azure AD B2C (企業-消費者間) | |
|---|---|---|
| フォーカスの定義 | Tailwind Traders は、サプライヤー、パートナー、ベンダーなどの外部組織のビジネス パートナーと共同作業したいと考えています。 ユーザーはディレクトリ内のゲスト ユーザーとしてサポートされますが、これらのユーザーは IT を管理している場合もあれば、管理していない場合もあります。 | Tailwind Traders は、製品の顧客と関わりを持ちたいと考えています。 ユーザーは個別の Microsoft Entra ディレクトリまたはテナントで管理されます。 |
| ユーザーの識別 | ユーザーは、Tailwind Traders のパートナー企業の代表者、または Tailwind Traders の従業員になります。 | ユーザーは、自身を代表する Tailwind Traders の顧客になります。 |
| ユーザー プロファイルの管理 | Tailwind Traders は、アクセス レビュー、メール検証、またはアクセス リストおよびブロックリストによってパートナー ユーザーのプロファイルを管理します。 | Tailwind Traders の顧客ユーザーは、自分のプロファイルを自身で管理します。 |
| ユーザー情報の保存 | 外部ユーザーは、Tailwind Traders の従業員と同じディレクトリで管理されますが、通常、外部ユーザーはゲスト ユーザーとして注釈が付けられます。 ゲスト ユーザーは、従業員と同じように管理したり、同じグループに追加したりできます。 | 外部ユーザーは Azure AD B2C ディレクトリで管理されます。 これらのユーザーは、Tailwind Traders の従業員ディレクトリおよびパートナー ディレクトリ (存在する場合) とは別に管理されます。 |
| ユーザー検出の有効化とプライバシーのサポート | Tailwind Traders のパートナー ユーザーは検出可能であり、これらのユーザーは、その組織の他のユーザーを検出できます。 | Tailwind Traders の顧客ユーザーは、他のユーザーに表示されません。 プライバシーとコンテンツが適用されます。 |
| ID プロバイダーとの連携 | 外部ユーザーは、職場アカウント、学校アカウント、任意のメール アドレス、SAML および WS-Fed ベースの ID プロバイダー、Gmail、Facebook を使用して共同作業できます。 | ローカル アプリのアカウント (任意のメール アドレスまたはユーザー名)、またはサポートされているさまざまなソーシャル ID を持つコンシューマー ユーザー、および SAML または WS-Fed ベースの ID プロバイダーのフェデレーションを介して企業や政府が発行した ID を持つユーザーがアプリにアクセスします。 |
| UI のカスタマイズとブランド化のサポート | ホストまたは招待側の組織 (Tailwind Traders) 用にカスタマイズされた UI ブランドを使用できます。 | ブランド化は、Tailwind Traders 固有ではなく、アプリまたは組織ごとに完全にカスタマイズ可能にすることができます。 |
WoodGrove Groceries のチュートリアル
Microsoft Entra の ID ソリューションを選択するための意思決定プロセスに役立つチュートリアルを作成しました。 WoodGrove Groceries は、AAD B2C の一部の機能をデモンストレーションするために Microsoft が作成したライブ Web アプリです。 WoodGrove Groceries の構成については、こちらを参照してください。 現在、チュートリアルのデモを完了するには、数分かかります。
重要
WoodGrove Groceries チュートリアルを完了したら、少し時間を取って、自分の組織に Azure B2B または Azure B2C のどちらが必要であるかを判断してください。 これらのオプションの使い方についての意見を書き留めてください。