はじめに
インターナルユーザー向けのAzure AD B2E (Business-to-Employee)だけでなく、 Azure AD B2C (Business-to-Customer)を使って、顧客向けのSSOを実現したいとの要望が社内であがってきました。。。やな予感が、、、
やっぱり来ました。検証&導入をサポートよろしく!!という事で、Azure AD B2Cの調査から入りたいと思います。
Azure AD B2Cとは?
『Azure Active Directory B2C の価格』
https://azure.microsoft.com/ja-jp/pricing/details/active-directory-b2c/
月間アクティブ ユーザー数 (MAU)
Azure Active Directory B2C は月間アクティブ ユーザー (MAU) を基準に課金され、お客様はコストを減らし、確実に今後の計画を行うことができます。1 ユニーク ユーザーが特定の月に認証を行ったときに、1 MAU がカウントされます。
他IDaaS(Onelogin, Okta)は、ユーザー数契約に比べて、月間アクティブユーザー数となりますので、ユーザー数が少ないアプリケーションは、価格面では、お得かもしれないです。
『Azure Active Directory B2C の技術と機能の概要』
https://docs.microsoft.com/ja-jp/azure/active-directory-b2c/technical-overview
Azure AD B2C テナント
Azure Active Directory B2C (Azure AD B2C) では、"テナント" は組織を表しており、ユーザーのディレクトリです。 各 Azure AD B2C テナントは、他の Azure AD B2C テナントと区別され分離されています。 Azure AD B2C テナントは、既にお持ちかもしれない Azure Active Directory テナントとは別のものです。
Office365を利用していると既にAzure ADがございますが、このAzure ADとは別物となります。
『Azure Active Directory B2C のドキュメント』
https://docs.microsoft.com/ja-jp/azure/active-directory-b2c/
Azure Active Directory B2C (Azure AD B2C) は、iOS、Android、.NET、シングルページ (SPA) などのアプリケーションを使用している場合に、顧客によるサインアップ、サインイン、プロファイル管理の方法をカスタマイズして制御できる ID 管理サービスです。 Microsoft が提供するクイック スタート、チュートリアル、サンプルを使用して、Azure AD B2C の使用方法を確認してください。
ドキュメントは、充実しております。まずは、Azure AD B2C テナントの作成から始めたいと思います。
いざスタート
『チュートリアル:Azure Active Directory B2C テナントの作成』
https://docs.microsoft.com/ja-jp/azure/active-directory-b2c/tutorial-create-tenant
早速ですが、上記URLを参考にして、Azure AD B2Cテナントの作成を進めたいと思います。
1.Azure portal にサインインします。
サブスクリプション内、またはサブスクリプション内のリソース グループ内で共同作成者以上のロールが割り当てられている Azure アカウントでサインインします。
いきなり、補足、、となりますが、Azure AD B2C はサブスクリプションベースのサービスとなります。後続の作業で、作成したAzure AD B2Cテナントをサブスクリプションに紐づける作業がございます。この紐づける作業を実施する為に、サブスクリプションの共同作成者以上のロールが割り当てられているAzureアカウントでサインインします。また、Azure AD B2Cの課金は、割り当てたサブスクリプションに紐づきます。
下記が、共同作成者の確認画面となります。
2.Azure portal メニュー上または [ホーム] ページから [リソースの作成] を選択します。
3.検索ボックスに、「Azure Active Directory B2C」と入力すると検索が実行されます。
4.表示された Azure Active Directory B2Cの[作成]をクリック。
5.[新しいAzure AD B2Cテナントを作成する]をクリック。
6.任意の「組織名(ディレクトリ名)」「初期ドメイン名」「リージョン」を入力、選択してから、「作成」をクリックします。*初期ドメインは、後のディレクトリ名となります。
7.下記画面の[ここ]をクリック。
8.作成が完了すると"サブスクリプションを確認してください。"と表示されますので、このまま手順9に進んでください。
9.Azure Portalの上部検索ボックスより[サブスクリプション]を検索して、[サブスクリプション]をクリック。
10.追加画面が表示されますので、[追加]をクリック。
11.任意のプランを選択。(私のサブスクリプションは、従量課金となっておりますので、従量課金を選択しています。)
12."支払情報"、"テクニカルサポートを追加する"を確認して、[サインアップ]をクリック。
13.クイックスタートセンターが表示されますので、[ホーム]をクリック。
14.検索ボックスに、「Azure Active Directory B2C」と入力して、表示された Azure Active Directory B2Cの[作成]をクリック。(手順3と同じ作業となります。)
15.[既存のAzure AD B2CテナントをAzureサブスクリプションにリンクする]をクリック。
16.手順6で作成したディレクトリ名、手順1で選択したサブスクリプション、リソースグループ、場所を選択して、[作成]をクリック。
17.作成が完了すると通知が出ますので、[ダッシュボードにピン留めする]をクリック。
18.マイダッシュボードにピン留めさせた[B2Cテナント]をクリック。
19.表示された[Azure AD B2C 設定]をクリック。
20.Azure AD B2Cのトップ画面が表示されます。サブスクリプションIDが登録済みとなり、請求可能な単位とドメイン名が表示され、テナント作成は完了となります。
Azure AD B2C テナント作成が完了致しましたので、次は、クイックスタートを利用して様々なアプリケーションの登録作業を実施していきたいと思います。
(補足)Azure AD B2C:Extensions アプリ
テナント作成が完了するとB2C:Extensions アプリが自動的に作成されます。
正体は下記となります。
Azure AD B2C ディレクトリが作成されるとき、b2c-extensions-app. Do not modify. Used by AADB2C for storing user data. というアプリがその新しいディレクトリ内に自動で作成されます。 このアプリは b2c-extensions-app と呼ばれ、 [アプリの登録] に表示されます。 Azure AD B2C はこのアプリを使用して、ユーザーとカスタム属性の情報を保存します。 このアプリを削除してしまうと、Azure AD B2C が正しく機能しなくなり、運用環境に影響が出ます。
最後に
キーポイントは、Azure AD B2C テナントは、サブスクリプションベースとなり、紐づけるサブスクリプションが必要となる事です。後は、テナント作成手順に従って、進めて行けば、問題ないと思います。B2Cは、社内ユーザーだけでなく、コンシューマー向けも含まれますので、ユーザーの幅が広がりますので、一度、試してみるのもいいかと思います。
最後に、私の記事が、少しでも皆様のお役に立てれば、幸いでございます。