次の方法で共有


Azure AD B2C のサインイン オプション

Azure AD B2C には、アプリケーションのユーザーに対していくつかのサインアップとサインイン方法が用意されています。 ユーザーがアプリケーションにサインアップするときに、ユーザー名、電子メール アドレス、または電話番号を使用して Azure AD B2C テナントにローカル アカウントを作成するかどうかを決定します。 ソーシャル ID プロバイダー (Facebook、LinkedIn、X など) や標準 ID プロトコル (OAuth 2.0、OpenID Connect など) とフェデレーションすることもできます。

この記事では、Azure AD B2C サインイン オプションの概要について説明します。

電子メール サインイン

ローカル アカウント ID プロバイダーの設定では、メール アドレスでのサインアップが既定で有効になっています。 メール オプションを使用すると、ユーザーは自分のメール アドレスとパスワードでサインインしてサインアップできます。

  • サインイン: ユーザーは電子メールとパスワードの入力を求められます。
  • サインアップ: ユーザーは電子メール アドレスの入力を求められます。電子メール アドレスはサインアップ時に確認され (省略可能)、ログイン ID になります。 ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名前、姓など) を入力します。 次に、[ 続行 ] を選択してアカウントを作成します。
  • パスワードリセット:ユーザーは自分のメールを入力して確認し、その後、ユーザーはパスワードをリセットできます

電子メールのサインアップまたはサインイン エクスペリエンスを示す一連のスクリーンショット。

ローカル アカウント ID プロバイダーで電子メール サインインを構成する方法について説明します。

ユーザー名でサインイン

ローカル アカウント ID プロバイダーには、ユーザーがユーザー名とパスワードを使用してサインアップしてアプリケーションにサインインできるようにするユーザー名オプションが含まれています。

  • サインイン: ユーザーはユーザー名とパスワードの入力を求められます。
  • サインアップ: ユーザーはユーザー名の入力を求められ、そのユーザー名がログインIDとなります。 また、ユーザーは、サインアップ時に確認されるメール アドレスの入力を求められます。 このメール アドレスは、パスワード リセット フロー中に使用されます。 ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名前、姓など) を入力します。 次に、ユーザーが [続行] を選択してアカウントを作成します。
  • パスワードのリセット: ユーザーは、ユーザー名と関連付けられている電子メール アドレスを入力する必要があります。 電子メール アドレスを確認する必要があります。その後、ユーザーはパスワードをリセットできます。

サインアップまたはサインイン エクスペリエンスを示す一連のスクリーンショット。

電話によるサインイン

電話によるサインインは、ローカル アカウント ID プロバイダー設定のパスワードなしのオプションです。 このメソッドを使用すると、ユーザーはプライマリ識別子として電話番号を使用してアプリにサインアップできます。 1 回限りのパスワードは、SMS テキスト メッセージを介してユーザーに送信されます。 ユーザーは、サインアップとサインイン中に次のエクスペリエンスを使用できます。

  • サインイン: ユーザーが電話番号を識別子として持つ既存のアカウントを持っている場合、ユーザーは自分の電話番号を入力し、[ サインイン] を選択します。 [ 続行] を選択して国/地域と電話番号を確認し、1 回限りの確認コードが電話に送信されます。 ユーザーが確認コードを入力し、[ 続行 ] を選択してサインインします。
  • サインアップ: ユーザーがまだアプリケーションのアカウントを持っていない場合は、[ 今すぐサインアップ ] リンクをクリックしてアカウントを作成できます。
    1. サインアップ ページが表示され、ユーザーは 自分の国を選択し、電話番号を入力して、[ コードの送信] を選択します。
    2. 1 回限りの確認コードがユーザーの電話番号に送信されます。 ユーザーはサインアップ ページで 確認コード を入力し、[ コードの確認] を選択します。 (ユーザーがコードを取得できない場合は、[ 新しいコードの送信] を選択できます)。
    3. ユーザーは、サインアップ ページで要求されたその他の情報 (表示名、名前、姓など) を入力します。 次に、[続行] を選択します。
    4. 次に、回復 用の電子メールを提供するように求められます。 ユーザーはメール アドレスを入力し、[ 確認コードの送信] を選択します。 コードがユーザーの電子メールの受信トレイに送信され、[確認コード] ボックスにコードを取得して入力できます。 次に、ユーザーが [コードの確認] を選択します。
    5. コードが検証されると、ユーザーは [ 作成 ] を選択して自分のアカウントを作成します。

電話でのサインアップまたはサインイン エクスペリエンスを示す一連のスクリーンショット。

電話によるサインインの価格

1 回限りのパスワードは、SMS テキスト メッセージを使用してユーザーに送信されます。 モバイル ネットワークオペレーターによっては、送信されたメッセージごとに課金される場合があります。 価格情報については、Azure Active Directory B2C の価格「個別の料金」セクションを参照してください。

多要素認証 (MFA) は、電話サインアップでユーザー フローを構成すると、既定で無効になります。 電話のサインアップを使用してユーザー フローで MFA を有効にできますが、電話番号がプライマリ識別子として使用されるため、2 番目の認証要素で使用できるオプションは電子メールワンタイム パスコードだけです。

電話の回復

ユーザー フローの電話によるサインアップとサインインを有効にする場合は、回復メール機能を有効にすることもお勧めします。 この機能を使用すると、ユーザーは電話を持っていないときにアカウントを回復するために使用できるメールアドレスを提供できます。 このメールアドレスは、アカウントの復旧にのみ使用されます。 サインインには使用できません。

  • 回復用メール プロンプトが [オン] の場合、ユーザーが初めてサインアップすると、バックアップ電子メールを確認するように求められます。 以前に回復用電子メールを提供していないユーザーは、次のサインイン時にバックアップ電子メールを確認するように求められます。

  • 再設定用のメール アドレスが [オフ] の場合、サインアップまたはサインインしたユーザーには、再設定用のメール プロンプトが表示されません。

次のスクリーンショットは、電話の回復フローを示しています。

電話回復ユーザー フローを示す図。

電話または電子メールのサインイン

電話によるサインインと、ローカル アカウント ID プロバイダーの設定での電子メール サインインを組み合わせることを選択できます。 サインアップまたはサインイン ページで、ユーザーは電話番号または電子メール アドレスを入力できます。 ユーザー入力に基づいて、Azure AD B2C はユーザーを対応するフローに移動します。

電話または電子メールのサインアップまたはサインイン エクスペリエンスを示す一連のスクリーンショット。

フェデレーション サインイン

ユーザーが外部のソーシャルまたはエンタープライズ ID プロバイダー (IdP) からの資格情報を使用してアプリケーションにサインインできるように Azure AD B2C を構成できます。 Azure AD B2C は、多くの 外部 ID プロバイダー と、OAuth 1.0、OAuth 2.0、OpenID Connect、SAML プロトコルをサポートする任意の ID プロバイダーをサポートしています。

外部 ID プロバイダーのフェデレーションを使用すると、アプリケーション専用の新しいアカウントを作成しなくても、コンシューマーに既存のソーシャル アカウントまたはエンタープライズ アカウントでサインインする機能を提供できます。

サインアップまたはサインイン ページで、Azure AD B2C には、ユーザーがサインインに選択できる外部 ID プロバイダーの一覧が表示されます。 外部 ID プロバイダーのいずれかを選択すると、選択したプロバイダーの Web サイトにリダイレクトされ、サインイン プロセスが完了します。 ユーザーが正常にサインインすると、アプリケーションでアカウントを認証するために Azure AD B2C に戻ります。

ソーシャル アカウント (Facebook) でのモバイル サインインの例を示す図。

Azure Portal を使用して、Azure Active Directory B2C (Azure AD B2C) でサポートされている ID プロバイダーを ユーザー フロー に追加できます。 カスタム ポリシーに ID プロバイダーを追加することもできます。

次のステップ