Azure AD B2Cを始める(2) - Azure Portalでの設定など
私は、仕事でOffice365関係の管理なども請けているので(長く苦労してるので)わかるのですが、そもそも、Azure AD B2Cを始めるのにあたっては、Azureの管理について慣れなければなりません。
Azure PortalとMicrosoftの構成
この最初のAzure Portalが意外とくせものなのです。
慣れてしまえばどうということはないですし、以前のAzure Portalよりもできることは増えているのですが、いかんせん、動作がもっさりしていて、行きたいところにすぐに行けない。
そしてまず、Azureで管理する基本として
の関係を理解する必要があります。そして、Azure AD B2Cを理解するのにあたっては、もう少し踏み込む必要があります。
私の理解とMSの説明の相違点など
Office365を会社などで契約すると、そのドメインまたは付与されたサブドメインなどでテナントが作成され、Azure上の課金単位毎にサブスクリプションが作成されます。
ディレクトリはテナントに存在してID管理の一単位を構成するものと理解していました。
そして、管理者は、テナントの全体管理者になったり、サブスクリプションと結びついたりといった形になります。一人の管理者が複数のディレクトリやテナントを管理することもできます。
さて、Azure AD B2Cを始めるには、新しくテナントを作ってもよいのですが、多くの場合、既存のテナントで行いたいですよね。ところが、通常、一つのテナントには既にAzure AD(B2Cではない)が存在していることが多いです。
なぜなら、Azure AD B2Cを始めるには、Azure Portalのテナントから始めるからです。
つまり、親になるテナントから、新しいB2C専用のテナントを作成し、既存のサブスクリプションとリンクさせるというフローになるわけです。
ところで、Azure Active Directoryというのは、私はいわば、Azureのテナントと一対をなすものというぐらいのイメージで、Azureの認証のコアだと思っていたのですが、Azureのサポート様の説明によるとそうではなく、むしろ「Azure Active Directoryを管理しているのはOffice365なんです」、とのことでした。
つまり、極論、Azure AD ⊂ Office365ということらしいです。
たしかに、Azure Portalで見れば、ポータルの中にAzure Active Directoryは存在しているのですから、なるほどと言わなければなりません。しかし、Azure Active Directoryなしのテナントって可能なのか、可能として何に使うのか・・・気にするところではないのですが。
しかし、同時に理解できることは、一つのテナントにAzure ADとAzure AD B2Cは共存しない、つまり、独立したテナントを作りつつ、サブスクリプションはリンクできるということです。
Azure Portal もしくはコマンドラインなど
Azure PortalのWebUIで多くのことができます。
MS系の方はご存じとは思いますが、WebUIでは迷子になってしまう場合もありますし、業務の引継ぎなどを考慮すると、Azure PowerShellでの作業が向いている場合もあります。
また、自動化するなら、Microsoft Graphで設計しておく方がなにかと便利かもしれません。
私は、再勉強ということで公式ドキュメントを見てWebUIでぼちぼちやっていきます。