はじめに
今回は、Microsoft Azure B2Cのチュートリアルにおいてカスタムポリシーアップロード後、サインインが上手くいかないときの対処法を丁寧に解説していきたいと思います。
今まさに「カスタムポリシーのアップロードはできたのに、なぜかサインインできない」、「Microsoft公式サイト通りの手順でAPIも許可しているはずなのに、うまくいかない」などお困りの方は、ぜひ本稿の内容をご覧ください。
前提条件
- MS Azure B2Cのテナントを作成済み
- Webアプリケーションを登録済み
- カスタムポリシーを作成済み(下記リンクの手順)
https://docs.microsoft.com/ja-jp/azure/active-directory-b2c/tutorial-create-user-flows?pivots=b2c-custom-policy#add-signing-and-encryption-keys%E3%80%80
サインインまでのステップと症状
-
まずは、portalにログインし、Azure AD B2C テナントが含まれるディレクトリに切り替えた後、検索バーから[Azure AD B2C]を選択。
-
左メニュー[管理]から[Identity Experience Framework]を選択。
-
下へスクロールし、[B2C_1A_SIGNUP_SIGNIN]を選択。
-
以前に作成したWebアプリと応答URLを選択し、[今すぐ実行]を押下。
-
サインイン
-
すると、下記のような表示が出てしまう。。。
※翻訳(筆者訳):このアプリに対するID'XXXXX'は同意が得られず、ローカルアカウントでの使用ができない。
原因と対処法
原因として考えられるのが、以前チュートリアルで作成した[ProxyIdentityExperienceFramework]にまだ許可されていないAPIがあるということです。赤字のエラーメッセージ'The application with identifler'の後ろに表示されたIDは[ProxyIdentityExperienceFramework]のアプリケーションIDを示しています。下記の手順に沿って、APIのアクセス許可の追加を行っていきましょう。
-
[Identity Experience Framework]上の左メニュー[アプリの登録]を押下。
-
[ProxyIdentityExperienceFramework]を選択した後、左メニュー[APIのアクセス許可]を選択。
-
[アクセス許可の追加]を選択。
-
[自分のAPI]を選択し、[IdentityExperienceFramework]を選択。
-
[アクセス許可]下の[user_impersonation]に✓を入れ、[アクセス許可の追加]を選択。
-
[ProxyIdentityExperienceFramework | APIのアクセス許可]の画面に遷移後、[状態]にまだテナントにアクセス許可が付与されていないことを確認。[アクセス許可の追加]右横の[テナントに管理者の同意を与えます]を選択することで、テナントに付与。
-
再び上記の「サインインまでのステップ」通りに実施し、無事にサインインされることを確認。
まとめ
今回は、MS Azure B2Cのカスタムポリシーアップロード後にエラーメッセージなくサインインできる方法についてまとめました。ざっくりと「ProxyIdentityExperienceFramework⇒APIアクセス許可の追加⇒テナントに管理者の同意を付与」の流れで解決できます。まだ思うようにサインインできていない方はぜひ上記の方法で試してみてください。
参考にしたサイト