実践から学ぶ！SNS ID を

企業認証基盤で活用するには？

AD20

自己紹介

チョークトークかつDeep Diveセッションです

アジェンダ

デジタルマーケティングを支える顧客ID基盤 – Azure AD B2C

デジタルマーケティングにおける顧客チャネルの統合

デジタルマーケティングにおけるSNSの利活用

CIAMが果たす役割 CIAM：顧客ID基盤

（Customer Identity & Access Management）

Azure AD B2Cとは？

Azure AD B2Cが標準で出来ること

Azure AD B2Cが標準で出来ること

Azure AD B2Cが標準で出来ること

企業認証基盤におけるCIAM技術の利活用

企業認証基盤への応用

リクルーティング活動と企業認証基盤の現状

認知 検討

HR活動 広告 面接、試験 雇用 業績評価

IDライフサイクル 匿名 簡易登録 フル登録

IDの管理主体 ユーザ自身 組織

従業員

ID管理

ソリューション

CIAM

（顧客ID管理）

EIAM

(エンタープライズID管理)

退職者

管理せず

退職

ステージ 契約

管理せず

広報や人事部門による管理 IT部門による管理

CIAMとEIAMの分離による課題

認知 検討

HR活動 広告 面接、試験 雇用 業績評価

IDライフサイクル 匿名 簡易登録 フル登録

IDの管理主体 ユーザ自身 組織

従業員

ID管理

ソリューション

CIAM

（顧客ID管理）

EIAM

(エンタープライズID管理)

退職者

管理せず

退職

ステージ 契約

管理せず

広報や人事部門による管理 IT部門による管理

広告を経由して入社した従業員が本当に期待した

業績を出しているのか？すぐに退職していないの

か？の管理/評価がしにくい

紐づいていない

CIAMとEIAMの連携による解決

業績評価

CIAM

EIAM

ユーザ自身

退職HR活動

IDライフサイクル

IDの管理主体

ID管理

ソリューション

ステージ 認知 検討 契約

広告 面接、試験 雇用

匿名 簡易登録 フル登録

ユーザ自身 組織＋ユーザ自身

従業員 退職者

入社後も含め連携

入社後の業績や退職までの期間などを

含めてリクルーティングにおける広告活動

の妥当性の評価が可能

CIAMとEIAMを連携し、企業に

かかわった人材のIDライフサイクル

を一気通貫で管理する

CIAMとEIAMの連携イメージ

SNS IDでログイン済み

SNSアプリ EIAM 紐づけ用アプリCIAM

CIAMはEIAMで追加認証を要求

EIAMでログインCIAMとEIAMの識別子を紐づけ

ID連携

ID連携

ID連携

利便性向上によるユーザ満足度の向上

You’ve got mail from

‘foo@example.com’

xxxxxSend

message

メール受信

メールシステム

企業ID

基盤

メッセージ

配信

IT管理者

CIAMとEIAMの連携

SNS

メッセージングAPI

Webhook

Message from

admin

メールシステムへのSSO

メール受信通知

管理者からのメッセージを受信

Inbox

Important mail

Azure AD B2Cでの実装Identity Experience Framework

実現するために必要なAzure AD B2Cの拡張

• （カスタムポリシー）、OAuth、SAML、ws-federation

カスタムポリシーによる拡張（赤字部分）

• （カスタムポリシー）SAML、ws-federation対応

カスタムポリシーによる拡張（赤字部分）

• REST APIによる外部データソースへの書き込み

カスタムポリシーによる拡張（赤字部分）

Identity Experience Framework実践

企業認証基盤をClaimsProvider登録：AD FS

企業認証基盤をClaimsProvider登録：AD FS

解説①ベースポリシーを拡張する方法

解説②AD FSをClaimsProviderに追加する方法

SAML2

解説②AD FSをClaimsProviderに追加する方法

{FederationMetadataのURI}

解説②AD FSをClaimsProviderに追加する方法

B2C_1A_ADFSSign

B2C_1A_ADFSSign

解説②AD FSをClaimsProviderに追加する方法

socialIdpUserIduserPrincipalName

identityProviderexample.jp

authenticationSourcesocialIdpAuthentication

企業認証基盤をClaimsProvider登録：Azure AD

解説①アプリをAzure ADに登録する

解説②カスタムOpenID Providerとして登録する

解説②カスタムOpenID Providerとして登録する

複数のClaimsProviderを紐づける

解説①副となるClaimsProviderの出力変更

<OutputClaims><OutputClaimClaimTypeReferenceId="socialIdpUserId" PartnerClaimType="userPrincipalName" />

<!-- <OutputClaimClaimTypeReferenceId=“identityProvider” DefaultValue=“example.jp" /> -->

<OutputClaimClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />

</OutputClaims>

解説②副のClaimsProviderを選択

<OrchestrationStepOrder="1"Type="CombinedSignInAndSignUp"ContentDefinitionReferenceId=

"api.signuporsignin"><ClaimsProviderSelections><ClaimsProviderSelectionTargetClaimsExchangeId="ADFSExchange" />

</ClaimsProviderSelections>

解説②副のClaimsProviderから属性を取得

<OrchestrationStepOrder="2“Type="ClaimsExchange"><ClaimsExchanges><ClaimsExchangeId="ADFSExchange" TechnicalProfileReferenceId=

"myADFSProfile" /></ClaimsExchanges>

</OrchestrationStep>

解説②主のClaimsProviderを選択

<OrchestrationStepOrder=“3"Type="CombinedSignInAndSignUp"ContentDefinitionReferenceId=

"api.signuporsignin"><ClaimsProviderSelections><ClaimsProviderSelectionTargetClaimsExchangeId=“LINEExchange" />

</ClaimsProviderSelections>

解説②主のClaimsProviderから属性を取得

<OrchestrationStepOrder=“4“Type="ClaimsExchange"><ClaimsExchanges><ClaimsExchangeId="ADFSExchange" TechnicalProfileReferenceId=

"myLINEProfile" /></ClaimsExchanges>

</OrchestrationStep>

解説②Azure AD上の登録状態を確認する

<OrchestrationStepOrder="5“Type="ClaimsExchange"><ClaimsExchanges><ClaimsExchangeId="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId=

"AAD-UserReadUsingAlternativeSecurityId-NoError" />

</ClaimsExchanges></OrchestrationStep>

解説②新規ユーザならAzure ADへ登録

<OrchestrationStepOrder="6" Type="ClaimsExchange"><Preconditions><Precondition Type="ClaimsExist"

ExecuteActionsIf="true"><Value>objectId</Value><Action>SkipThisOrchestrationStep</Action>

</Precondition></Preconditions>

解説②新規ユーザならAzure ADへ登録

<ClaimsExchanges><ClaimsExchangeId="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId"/>

</ClaimsExchanges></OrchestrationStep>

解説②トークンを発行する

SendClaimsJwtIssuer

SAMLトークンを発行する

解説①Token Issuerを設定する

SAML2

EntityIDのURI

解説①Token Issuerを設定する

SamlAssertionSigning

SamlMessageSigning

SAML SP用のRelyingPartyポリシーを定義する

解説①SAML SP向けポリシーを設定する

SAML2

SPのEntityID

解説①SAML SP向けポリシーを設定する

解説①SAML SP向けポリシーを設定する

SPのSSO ServiceのURI

解説①SAML SP向けポリシーを設定する

SubjectNamingInfo

© 2018 Naohiro Fujie All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。

本情報の内容 (添付文書、リンク先などを含む) は、de:code 2018 開催日 (2018年5月22~23日) 時点のものであり、予告なく変更される場合があります