重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
Azure AD B2C では、ユーザーがアプリケーションにアクセスするために従うビジネス ロジックを定義できます。 たとえば、ユーザーがサインイン、サインアップ、プロファイルの編集、パスワードのリセットを行うときに従う一連の手順を決定できます。 シーケンスが完了すると、ユーザーはトークンを取得し、アプリケーションにアクセスできるようになります。
Azure AD B2C では、ID ユーザー エクスペリエンスを提供する 2 つの方法があります。
ユーザー フロー は定義済みの組み込みの構成可能なポリシーであり、サインアップ、サインイン、ポリシー編集のエクスペリエンスを数分で作成できます。
カスタム ポリシーを 使用すると、ユーザー フローでサポートされていない複雑な ID エクスペリエンス シナリオ用に独自のユーザー体験を作成できます。 Azure AD B2C は、カスタム ポリシーを使用して拡張性を提供します。
次のスクリーンショットは、ユーザー フロー設定 UI とカスタム ポリシー構成ファイルを示しています。
この記事では、ユーザー フローとカスタム ポリシーの概要について説明し、ビジネス ニーズに最適な方法を決定するのに役立ちます。
ユーザー フロー
最も一般的な ID タスクを設定するために、Azure portal には 、ユーザー フローと呼ばれる定義済みの構成可能なポリシーがいくつか含まれています。
次のようなユーザー フロー設定を構成して、アプリケーションでの ID エクスペリエンスの動作を制御できます。
- サインインに使用されるアカウントの種類 (Facebook などのソーシャル アカウント、サインインにメール アドレスとパスワードを使用するローカル アカウントなど)
- 名、姓、郵便番号、居住国/地域など、コンシューマーから収集される属性
- 多要素認証
- ユーザー インターフェイスのカスタマイズ
- ユーザーがユーザー フローを完了した後にアプリケーションが受け取るトークン内のクレームのセット
- セッションの管理
- ...その他
アプリの一般的な ID シナリオのほとんどは、ユーザー フローを使用して効果的に定義および実装できます。 カスタム ポリシーの完全な柔軟性を必要とする複雑なユーザー体験シナリオがない限り、組み込みのユーザー フローを使用することをお勧めします。
カスタム ポリシー
カスタム ポリシーは、Azure AD B2C テナント ユーザー エクスペリエンスの動作を定義する構成ファイルです。 ユーザー フローは最も一般的な ID タスク用に Azure AD B2C ポータルで事前に定義されていますが、カスタム ポリシーは ID 開発者が完全に編集して、さまざまなタスクを完了できます。
カスタム ポリシーは完全に構成可能で、ポリシードリブンです。 OpenID Connect、OAuth、SAML などの標準プロトコルのエンティティ間の信頼を調整します。 REST API ベースのシステム間でのクレーム交換など、いくつかの非標準的なものも含まれています。 このフレームワークは、ユーザー フレンドリで白いラベルの付いたエクスペリエンスを作成します。
カスタム ポリシーを使用すると、任意の組み合わせの手順でユーザー体験を構築できます。 例えば次が挙げられます。
- 他の ID プロバイダーとのフェデレーション
- ファースト パーティとサード パーティの多要素認証の課題
- ユーザー入力を収集する
- REST API 通信を使用して外部システムと統合する
各ユーザー体験は、ポリシーによって定義されます。 組織に最適なユーザーエクスペリエンスを実現するために必要な数のポリシーをいくつでも構築できます。
カスタム ポリシーは、階層チェーン内で相互に参照する複数の XML ファイルによって定義されます。 XML 要素は、要求スキーマ、要求変換、コンテンツ定義、クレーム プロバイダー、技術プロファイル、ユーザー体験オーケストレーション手順、および ID エクスペリエンスのその他の側面を定義します。
カスタム ポリシーの強力な柔軟性は、複雑な ID シナリオを構築する必要がある場合に最適です。 カスタム ポリシーを構成する開発者は、メタデータ エンドポイント、正確なクレーム交換定義を含め、各 ID プロバイダーで必要に応じてシークレット、キー、証明書を構成するために、信頼されたリレーションシップを慎重に定義する必要があります。
Azure Active Directory B2C のカスタム ポリシーについてさらに詳しく学びます。
ユーザー フローとカスタム ポリシーの比較
次の表では、Azure AD B2C ユーザー フローとカスタム ポリシーで有効にできるシナリオの詳細な比較を示します。
| コンテキスト | ユーザー フロー | カスタム ポリシー |
|---|---|---|
| ターゲット ユーザー | ID に関する専門知識を持つ、または持たないすべてのアプリケーション開発者。 | ID プロフェッショナル、システム インテグレーター、コンサルタント、社内 ID チーム。 OpenID Connect フローに慣れ、ID プロバイダーとクレーム ベースの認証について理解します。 |
| 構成方法 | ユーザー フレンドリなユーザー インターフェイス (UI) を備えた Azure portal。 | XML ファイルを直接編集し、Azure portal にアップロードします。 |
| UI のカスタマイズ | HTML、CSS、JavaScript などの完全な UI カスタマイズ。 カスタム文字列での多言語サポート。 |
ユーザー フローと同じ |
| 属性のカスタマイズ | 標準属性とカスタム属性。 | ユーザー フローと同じ |
| トークンとセッションの管理 | トークンとセッションの動作をカスタマイズします。 | ユーザー フローと同じ |
| ID プロバイダー | 例えば、Microsoft Entra テナントとのフェデレーションのような、事前定義されたローカルまたはソーシャル プロバイダー。 | 標準ベースの OIDC、OAUTH、SAML。 REST API との統合を使用して認証することもできます。 |
| ID タスク | ローカルまたは多くのソーシャル アカウントでサインアップまたはサインインします。 セルフサービスパスワードリセット。 プロファイルの編集。 複数要因の認証。 アクセス トークンのフロー。 |
カスタム ID プロバイダーを使用するか、カスタム スコープを使用して、ユーザー フローと同じタスクを実行します。 登録時に別のシステムでユーザー アカウントをプロビジョニングします。 独自のメール サービス プロバイダーを使用してウェルカム メールを送信します。 Azure AD B2C の外部でユーザー ストアを使用します。 API を使用して、信頼できるシステムでユーザーが提供した情報を検証します。 |
アプリケーションの統合
テナント内に多数のユーザー フローまたは異なる種類のカスタム ポリシーを作成し、必要に応じてアプリケーションで使用できます。 ユーザー フローとカスタム ポリシーの両方をアプリケーション間で再利用できます。 この柔軟性により、コードに対する最小限の変更または変更なしで ID エクスペリエンスを定義および変更できます。
ユーザーがアプリケーションにサインインする場合、アプリケーションはユーザー フローまたはカスタム ポリシーによって提供されるエンドポイントに対する承認要求を開始します。 ユーザー フローまたはカスタム ポリシーは、ユーザーのエクスペリエンスを定義および制御します。 ユーザー フローが完了すると、Azure AD B2C によってトークンが生成され、ユーザーがアプリケーションにリダイレクトされます。
複数のアプリケーションで、同じユーザー フローまたはカスタム ポリシーを使用できます。 1 つのアプリケーションで複数のユーザー フローまたはカスタム ポリシーを使用できます。
たとえば、アプリケーションにサインインする場合、アプリケーションは サインアップまたはサインイン ユーザー フローを使用します。 ユーザーがサインインしたら、自分のプロファイルを編集できます。 プロファイルを編集するために、アプリケーションは別の承認要求を開始します。今回はプロファイル 編集 ユーザー フローを使用します。
アプリケーションは、ユーザー フローまたはカスタム ポリシー名を含む標準の HTTP 認証要求を使用して、ユーザー フローをトリガーします。 カスタマイズされた トークン が応答として受信されます。
次のステップ
- 推奨されるユーザー フローを作成するには、「 チュートリアル: ユーザー フローを作成する」の手順に従います。
- Azure AD B2C のユーザー フロー バージョンについて説明します。
- Azure AD B2C カスタム ポリシーの詳細を確認します。