Azure Active Directory B2C アプリを Microsoft Entra アプリ ギャラリーに発行する

Microsoft Entra アプリ ギャラリーは、何千ものアプリのカタログです。 アプリ ギャラリーを使用すると、シングル サインオン (SSO) のデプロイと構成を簡単に行い、ユーザーのセットアップを自動化できます。 ギャラリーには、Workday、ServiceNow、Zoom などの一般的なクラウド アプリがあります。

この記事では、Microsoft Entra アプリ ギャラリーで Azure Active Directory B2C (Azure AD B2C) アプリを発行する方法について説明します。 アプリを発行すると、Microsoft Entra テナントにアプリを追加するときに選択できるオプションの一覧が表示されます。

Azure AD B2C アプリをアプリ ギャラリーに追加する利点を次に示します。

• アプリは、Microsoft との検証済みの統合です。
• アプリと Microsoft Entra アプリの間で SSO アクセスが有効になります。
• 顧客は、簡単な検索でギャラリーでアプリを見つけることができます。
• アプリの構成はシンプルで最小限です。
• お客様には、詳細な構成チュートリアルが用意されています。
• お客様は、組織内のさまざまなユーザーとグループにアプリを割り当てることができます。
• テナント管理者は、テナント全体の管理者の同意をアプリに付与できます。

サインイン フローの概要

サインイン フローでは、次の手順が実行されます。

1. ユーザーは マイ アプリ ポータル に移動し、アプリを選択します。 アプリがアプリのサインイン URL を開きます。
2. アプリのサインイン URL によって承認要求が開始され、ユーザーが Azure AD B2C 承認エンドポイントにリダイレクトされます。
3. ユーザーは、Microsoft Entra ID "Corporate" アカウントでサインインすることを選択します。 Azure AD B2C は、ユーザーを Microsoft Entra の承認エンドポイントに移動させ、そこで職場アカウントでサインインさせます。
4. Microsoft Entra SSO セッションがアクティブな場合、Microsoft Entra ID は、ユーザーに再度サインインを求めることなくアクセス トークンを発行します。 それ以外の場合、ユーザーはもう一度サインインするように求められます。

ユーザーの SSO セッションと Microsoft Entra ID の設定によっては、次のメッセージが表示される場合があります。

• メール アドレスまたは電話番号を入力します。

• パスワードを入力するか、 Microsoft 認証アプリでサインインします。

• 多要素認証を完了します。

• 同意ページに同意します。 顧客のテナント管理者は、 テナント全体の管理者の同意をアプリに付与できます。 同意が付与されると、同意ページはユーザーに表示されません。

サインインに成功すると、Microsoft Entra ID はトークンを Azure AD B2C に返します。 Azure AD B2C はトークン要求を検証して読み取り、アプリケーションにトークンを返します。

[前提条件]

• 「Active Directory B2C でのカスタム ポリシーの概要」の手順を完了してください。 このチュートリアルでは、Azure AD B2C テナント構成を使用するようにカスタム ポリシー ファイルを更新する方法について説明します。
• Web アプリを登録していない場合は、Web アプリケーションを登録する手順を使用して Web アプリを登録します。

手順 1: Azure AD B2C にアプリケーションを登録する

Azure AD B2C を使用してアプリへのサインインを有効にするには、Azure AD B2C ディレクトリにアプリを登録します。 アプリを登録すると、アプリと Azure AD B2C の間に信頼関係が確立されます。

まだ登録していない場合は、 Web アプリケーションを登録します。 後で、このアプリを Azure アプリ ギャラリーに登録します。

手順 2: マルチテナント Microsoft Entra ID のサインインを設定する

Microsoft Entra テナントの従業員とコンシューマーが Azure AD B2C を使用してサインインできるようにするには、 マルチテナント Microsoft Entra ID のサインインを設定するためのガイダンスに従います。

手順 3: アプリを準備する

アプリで、サインイン エンドポイントの URL をコピーします。 Web アプリケーション サンプルを使用する場合、サインイン URL はhttps://localhost:5001/MicrosoftIdentity/Account/SignIn?。 この URL は、Microsoft Entra アプリ ギャラリーがユーザーをアプリにサインインさせる場所です。

運用環境では、通常、アプリ登録リダイレクト URI は、アプリが実行されているパブリックにアクセス可能なエンドポイントです。 応答 URL は、 httpsで始まる必要があります。

手順 4: Azure AD B2C アプリを発行する

最後に、マルチテナント アプリを Microsoft Entra アプリ ギャラリーに追加します。 「 アプリを Microsoft Entra アプリ ギャラリーに発行する」の手順に従います。 アプリ ギャラリーにアプリを追加するには、次の手順に従います。

1. ドキュメントを作成して発行します。

2. 次の情報を使用してアプリを送信します。

   質問	指定する必要がある回答
   どのような種類の要求を送信しますか?	ギャラリーで [アプリケーションの一覧表示] を選択します。
   ギャラリーにアプリケーションを一覧表示するときに、どのような機能を有効にしますか?	Federated SSO (SAML、 WS-Fed & OpenID Connect) を選択します。
   アプリケーションのフェデレーション プロトコルを選択する	OpenID Connect と OAuth 2.0 を選択します。
   アプリケーション (クライアント) ID	Azure AD B2C アプリケーションの ID を指定します。
   アプリケーション サインイン URL	手順 3 で構成したアプリのサインイン URL を指定 します。アプリを準備します。
   マルチテナント	[はい] を選択します。

次のステップ

• Microsoft Entra アプリ ギャラリーに Microsoft Entra アプリを発行する方法について説明します。