• プラグイン タブをスクロールして サービスプロバイダーのメタデータ セクションでは、次のような SP メタデータを見つけることができます。 SPエンティティID & ACS (AssertionConsumerService) URL これらはアイデンティティ プロバイダーを構成するために必要です。

 Identity Experience Framework アプリケーションを登録する

• Azure B2C ポータルにログインします
• セットアップボタンをクリックすると、セットアップが開始されます Azure AD B2C テナント。

• 左側のタブセクションから、次の場所に移動します。 アプリ登録 >> 新規登録.

• 名前 、 入る アイデンティティ体験フレームワーク.
• サポートされているアカウントタイプ セクション、選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトするをクリックし、「Web」を選択して、次のように入力します。 https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.comここで、your-tenant-name は Azure AD B2C テナントのドメイン名です。

注意：

次のステップで、 「権限」 セクションが表示されない場合は、そのテナントに対してアクティブな AzureAD B2C サブスクリプションがないことが原因である可能性があります。 AzureAD B2C サブスクリプションに関する詳細を確認できます。 こちら 次の手順に従って新しいテナントを作成できます こちら.



• 権限, [openid および offline_access 権限に管理者の同意を与える] チェック ボックスをオンにします。
• セットアップボタンをクリックすると、セットアップが開始されます 登録する

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

 Identity Experience Framework アプリケーションを登録する

• 左側、下に 管理 セクションで、 APIを公開する サブタブ。
• ソフトウェアの制限をクリック スコープを追加する、[OK]をクリックします 保存して続行する ボタンをクリックして、デフォルトのアプリケーション ID URI を受け入れます。

• 次の値を入力して、Azure AD B2C テナントでカスタム ポリシーの実行を許可するスコープを作成します。
1. スコープ名: ユーザー偽装
2. 管理者の同意表示名: IdentityExperience フレームワークにアクセスする
3. 管理者の同意の説明: サインインしているユーザーに代わってアプリケーションが IdentityExperience Framework にアクセスできるようにします。
• クリック スコープを追加 詳細を保存します。

 ProxyIdentityExperienceFramework アプリケーションを登録する

• ソフトウェアの制限をクリック アプリの登録 タブ、[選択 新規登録.
• 名前 、「ProxyIdentityExperienceFramework」と入力します。
• サポートされているアカウントタイプ選択 この組織ディレクトリのみのアカウント.

• URIをリダイレクトする、ドロップダウンを使用して選択します パブリッククライアント/ネイティブ (モバイルおよびデスクトップ).
• URIをリダイレクトする、「myapp://auth」と入力します。
• 権限 セクションで、「openid および offline_access 権限に管理者の同意を与える」チェック ボックスをオンにします。
• ソフトウェアの制限をクリック 登録する

• 記録する アプリケーション（クライアント）ID 後のステップで使用します。

 次に、アプリケーションをパブリック クライアントとして扱うように指定します。

• 左側のセクションの下にある 管理 セクションをクリック 認証 タブには何も表示されないことに注意してください。
• 下にスクロールします 詳細設定 セクション、有効にする パブリッククライアントフローを許可する (「はい」を選択)。
• ソフトウェアの制限をクリック Save ボタンをクリックして変更を保存します。

 次に、IdentityExperienceFramework の登録で前に公開した API スコープにアクセス許可を付与します。

• 管理 セクションをクリック API権限 タブには何も表示されないことに注意してください。
• 設定された権限 セクションをクリック 権限を追加する.

• セットアップボタンをクリックすると、セットアップが開始されます 私のAPI タブ、次に選択 アイデンティティ体験フレームワーク アプリケーション。

• 下 許可 セクションで、 ユーザー偽装 前に定義したスコープ。
• 選択 権限を追加。 指示に従って、次のステップに進む前に数分間待ちます。

• ソフトウェアの制限をクリック (テナント名) に管理者の同意を与える.

• 現在サインインしている管理者アカウントを選択するか、少なくともクラウド アプリケーション管理者ロールが割り当てられている Azure AD B2C テナントのアカウントを使用してサインインします。
• セットアップボタンをクリックすると、セットアップが開始されます 有り
• ソフトウェアの制限をクリック Refresh.

• 「Granted for ...」が表示されることを確認します。 Status: スコープの列 - offline_access、openid、および user_impersonation。権限が反映されるまでに数分かかる場合があります。

 Moodle アプリケーションを登録する

• MFAデバイスに移動する アプリ登録 >> 新規登録.
• 次のようなアプリケーションの名前を入力します。 Moodleの.
• In サポートされているアカウントタイプ セクション、選択 任意の ID プロバイダーまたは組織ディレクトリ内のアカウント (ユーザー フローによるユーザー認証用).

• URIをリダイレクトする セクションで、[Web] を選択し、ACS URL を入力します。 サービスプロバイダーのメタデータ miniOrange SAML プラグインのタブ。
• チェックボックスを有効にする openid および offline_access 権限に対する管理者の同意を付与します。.
• ソフトウェアの制限をクリック 登録する

• 管理 左側のセクションをクリックしてください APIを公開する タブには何も表示されないことに注意してください。
• ソフトウェアの制限をクリック Add アプリケーション ID URI を入力し、 Save、デフォルト値を受け入れます。

• 保存したら、コピーします アプリケーションID URI に移動します サービスプロバイダーのメタデータ プラグインのセクション。

• コピーした値を SPエンティティID / 発行者 フィールド。
• 下にスクロールしてクリック 変更を保存します

 SSO ポリシーの生成

• 私たちから Azure B2C ポータル、 概要 B2C テナントのセクションを作成し、テナント名を記録します。
  注意： B2C ドメインが b2ctest.onmicrosoft.com の場合、テナント名は b2ctest です。

• あなたの〜を入力してください Azure B2C テナント名 以下に、IdentityExperienceFramework のアプリケーション ID と、
  上記の手順で登録された ProxyIdentityExperienceFramework アプリ。



Azure B2C テナント名:
IdentityExperienceFramework アプリ ID:
ProxyIdentityExperienceFramework アプリ ID:



• セットアップボタンをクリックすると、セットアップが開始されます Azure B2C ポリシーの生成 ボタンをクリックして SSO ポリシーをダウンロードします。
• ダウンロードしたzipファイルを解凍します。 これには、次の手順で必要となるポリシー ファイルと証明書 (.pfx) が含まれています。

 証明書のセットアップ

 証明書をアップロードする

• にサインインする Azureのポータル そして、あなたのサイトを参照してください Azure AD B2C テナント。
• 左サイド、アンダー Policies セクション、選択 アイデンティティ エクスペリエンス フレームワーク タブには何も表示されないことに注意してください。

• MFAデバイスに移動する ポリシーキー >> 追加.

• 選択 オプション as アップロード
• 入力する 名前 as SamlIdpCert。プレフィックス B2C_1A_ がキーの名前に自動的に追加されます。

• アップロード ファイル コントロールを使用して、上記の手順で生成された証明書を SSO ポリシー (tenantname-cert.pfx) とともにアップロードします。
• テナント名として証明書のパスワードを入力し、 をクリックします。 創造する。 たとえば、テナント名が xyzb2c.onmicrosoft.com の場合、パスワードを xyzb2c と入力します。
• B2C_1A_SamlIdpCert という名前の新しいポリシー キーが表示されるはずです。

 署名キーを作成する

• ソフトウェア設定ページで、下図のように 概要 Azure AD B2C テナントのページの Policies選択 アイデンティティ エクスペリエンス フレームワーク.
• 選択 ポリシーキー そしてクリックしてください Add.
• オプション フィールドで、「生成」を選択します。
• In 名前 、「TokenSigningKeyContainer」と入力します。
• キータイプ、「RSA」を選択します。
• 主な使用法、「署名」を選択します。

• セットアップボタンをクリックすると、セットアップが開始されます 創造する

 暗号化キーを作成する

• Azure AD B2C テナントの概要ページで、 Policies選択 アイデンティティ エクスペリエンス フレームワーク.
• 選択 ポリシーキー クリックして Add.
• オプション、「生成」を選択します。
• In 名前 、「TokenEncryptionKeyContainer」と入力します。
• キータイプ、「RSA」を選択します。
• 主な使用法、「暗号化」を選択します。

• セットアップボタンをクリックすると、セットアップが開始されます 創造する

 ポリシーをアップロードする

• 現在地に最も近い アイデンティティ エクスペリエンス フレームワーク Azure portal の B2C テナントのメニュー項目。

• 選択 カスタムポリシーをアップロードする.

• 以下の順序に従って、上記の手順でダウンロードしたポリシー ファイルをアップロードします。
• TrustFrameworkBase.xml
• TrustFrameworkExtensions.xml
• SignUpOrSignin.xml
• プロファイル編集.xml
• パスワードリセット.xml
• SignUpOrSigninSAML.xml
• ファイルをアップロードすると、Azure によって各ファイルにプレフィックス B2C_1A_ が追加されます。

これで、moodle Azure B2C シングル サインオン (SSO) ログインを実現するための SAML IdP (アイデンティティ プロバイダー) として Azure B2C が正常に構成され、moodle (WP) サイトへの安全なログインが確保されました。