Azure Active Directory を使用してポータルに OpenID Connect を構成する

この記事では、Azure Active Directory およびマルチテナントの Azure AD を使用してポータルに OpenID Connect プロバイダーを構成する方法について説明します。

注意

  • OpenID Connect プロバイダーに使用するポータルは、Azure AD、マルチテナント Azure AD、Azure AD B2C のみに限定されるものではありません。 ポータルでは OpenID Connect の仕様を確認する他のプロバイダーを使用することができます。
  • 認証設定の変更がポータルに反映されるまで、数分かかる場合があります。 変更をすぐに反映したい場合は、ポータル アクションを使用してポータルを再起動してください。

暗黙的な許可のフローを使用して、OpenID Connect プロバイダーとして Azure AD を構成する :

  1. ポータルで プロバイダーを追加する を選択します。

  2. ログイン プロバイダーその他 を選択します。

  3. OpenID Connectプロトコル を選択します。

  4. プロバイダーの名前を入力します。

    プロバイダー名

  5. 次へ を選択します。

  6. この手順では、アプリケーションを作成し、ID プロバイダーを使用して設定を構成します。

    アプリケーションを作成する

    注意

    • 返信 URL は、認証に成功した後にユーザーをポータルにリダイレクトする目的で、アプリが使用します。 ポータルでカスタム ドメイン名を使用している場合は、ここで提供されているものとは異なる URL を使用している可能性があります。
    • Azure portal でのアプリ登録の作成についての詳細は、クイックスタート : Microsoft IDプラットフォームでアプリケーションを登録する を参照してください。
    1. Azure portalにサインインします。

    2. Azure Active Directory を検索して選択します。

    3. 管理 配下で アプリの登録 を選択します。

    4. 新規登録 を選択します。

      新しいアプリの登録

    5. 名前を入力してください。

    6. 必要に応じて、別の 対応しているアカウント タイプ を選択します。 詳細情報 : 体操しているアカウント タイプ

    7. まだ選択されていない場合は、URI のリダイレクト に使用する Web を選択します。

    8. リダイレクト URI テキスト ボックスにポータルの 返信 URL を入力します。
      例: https://contoso-portal.powerappsportals.com/signin-openid_1

      注意

      既定のポータル URL を使用している場合は、OpenID Connect プロバイダー設定の構成と作成 に記載のとおり、返信 URL をコピーして貼り付けることができます。 ポータルにカスタム ドメイン名を使用している場合は、カスタム URL を入力します。 ただし、OpenID Connect プロバイダーを設定する際に、ポータルの設定で リダイレクト URL を設定する場合は、必ずこの値を使用してください。
      たとえば、Azureポータルで 返信 URLhttps://contoso-portal.powerappsportals.com/signin-openid_1 と入力した場合、ポータルの OpenID Connect の構成ではこれをそのまま使用します。

      アプリケーションの登録

    9. 登録 を選択します。

    10. 左側のメニューの 管理 配下で、認証 を選択します。

      ID トークンを使用して暗黙的な許可のフローを有効にする

    11. 暗黙的な許可 配下で、ID トークン チェック ボックスを選択します。

    12. 保存 を選択します。

  7. この手順では、ポータルの構成で使用するサイトの設定を入力します。

    OpenID Connect のサイト設定を構成する

    ヒント

    前述の手順でアプリ登録の構成をした後でブラウザのウィンドウを閉じてしまった場合は、再度 Azure portal にサインインして、次の手順で登録したアプリに移動します。

    1. オーソリティ - オーソリティの URL を構成するには、次の形式を使用します :

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      たとえば、 Azure ポータルの ディレクトリ (テナント) ID7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb の場合、オーソリティの URL は https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/ となります

    2. クライアントID - Azure ポータルからクライアント ID として アプリケーション (クライアント) ID をコピーします。

      オーソリティとクライアント ID

    3. リダイレクト URL - リダイレクト URL サイトの設定値が、前述の Azure ポータルで設定した リダイレクト URI と同じであることを確認します。

      リダイレクト URL を確認する

      注意

      既定のポータル URL を使用している場合は、OpenID Connect プロバイダー設定の構成と作成 に記載されているとおり、 返信URL をコピーして貼り付けることができます。 カスタム ドメイン名を使用している場合は、URL を手動で入力してください。 ただし、ここで入力した値が、前述の Azure ポータルで リダイレクト URI として入力した値と全く同じである必要があります。

    4. メタデータ アドレス - メタデータ アドレスを構成する方法 :

      1. Azure portal で、概要 を選択します。

      2. エンドポイント を選択します。

        Azure ポータルのエンドポイント

      3. OpenID Connect メタデータ ドキュメント をコピーします。

        OpenID Connect メタデータ ドキュメント

      4. コピーしたドキュメントの URL をポータルの メタデータ アドレス して貼り付けます。

    5. 範囲 - スコープ のサイト設定値に次を設定します :

      openid email

      注意

      スコープopenid 値は必須です。 email の値は任意であり、スコープに指定することで、ポータルユーザー (取引先担当者レコード) のメールアドレスが事前に入力され、ユーザーがログインした後に プロフィール ページに表示されるようになります。

      ヒント

      追加の要求については、追加の要求を構成するを参照してください。

    6. 応答タイプ - コード id_token を選択します。

    7. 応答モード - form_post を選択します。

  8. 確認 を選択します。

    構成の確定

  9. 閉じる を選択します。

追加の要求の構成

名や姓の使用など、追加の要求を構成する方法 :

  1. Azure AD におけるオプションの要求を有効にします。

  2. スコープ を設定して追加の要求を含めます。
    例: openid email profile

  3. 追加のサイト設定に 登録要求のマッピング を設定します。
    例: firstname=given_name,lastname=family_name

  4. 追加のサイト設定に ログイン要求のマッピング を設定します。
    例: firstname=given_name,lastname=family_name

たとえば、追加の要求で提供された名、姓、メールアドレスは、ポータルのプロファイル ページの既定の値となります。

プロファイル ページの例

マルチテナント Azure Active Directory アプリケーションを使用して認証を有効にする

Azure Active Directory に登録されたマルチテナント型のアプリケーションを使用することにより、単に特定のテナントではなく、Azure 内の任意のテナントからの Azure Active Directory ユーザーを受入れるようにポータルを構成することができます。 マルチ テナンシーを有効にするには、Azure Active Directory アプリケーションでアプリケーション登録を更新します

マルチテナント型アプリケーションを使用して Azure Active Directory に対する認証をサポートするには、追加の 発行者フィルター サイト設定を作成または構成する必要があります。

マルチテナンシー向け発行者フィルター

このサイト設定は、ワイルドカード ベースのフィルターで、すべてのテナントを横断するすべての発行者に一致します。 例: https://sts.windows.net/*/

関連項目