Azure AD B2Cサポートされているアプリケーション

Question

私は、ReactフロントエンドとXamarinで構築されたネイティブアプリケーションを使用してASP.NET Coreアプリケーションのユーザー認証にAzure AD B2Cを使用することを検討しています。

1. ウェブどちらも/アプリを反応させ、ネイティブアプリケーションが同じアプリケーションです：

   私の研究は、いくつかの疑問符を上げました。彼らは同じApp IDを使用して、同じユーザデータベースにアクセスする必要があります。これは本当ですか？

2. チャネル9のビデオは、Azure AD B2Cは、エンタープライズユーザーが長いセッションではなく、ユーザーがセッションを短縮すると想定しています。これをどのように解釈するか分かりません。短いセッションとは何ですか？その最大限はどのくらいですか？
3. 認証されたユーザーのトークンがユーザーを識別するためにGUIDの値を返すと想定するのは安全ですか？ユーザーID？または、別のタイプのIDですか？
4. ネイティブアプリユーザーは、組み込みのブラウザでログインするのか、アプリから直接ログインするのですか？私は、組み込みのブラウザに切り替えなければならないと、ユーザーエクスペリエンスが低下することがあります。

Answer 1

1. ウェブとネイティブアプリケーションが同じアプリケーションとして登録することができ、または、異なるアプリケーションしかし、いずれかの方法として登録することができ、彼らは、ユーザーの同じディレクトリを共有しています。
2. チャネル9のビデオは、アプリケーションセッションではなくエンドユーザの訪問を参照しています。 Azure AD B2Cは、同一のテナント内の複数のアプリケーションと複数のポリシーにわたるトークンの存続期間、セッションの存続期間、シングルサインオンの動作を制御します。これらのライフタイムコントロールの構成および使用のシナリオは、Azure Active Directory B2C: Token, session and single sign-on configurationに記載されています。
3. ユーザーに対して発行されるIDトークンには、ユーザーのオブジェクト識別子に設定されたsub（件名）クレームが含まれています。このオブジェクト識別子は、GUID文字列としてフォーマットされます。 IDトークンはAzure AD B2C: Token referenceに記載されています。
4. 現在Azure AD B2Cはresource owner password credential grant（ただし、work has started on a prototype of this grant）をサポートしていないため、ネイティブアプリはシステムブラウザでユーザーに署名する必要があります。 AppAuth for Android、AppAuth for iOS、Microsoft Authentication Library for .NETなどの認証ライブラリは、あなたのためのブラウザ統合を実装します。また、「best current practice」は、埋め込まれたユーザエージェント（Webビューで実装されたエージェントなど）ではなく、外部ユーザエージェント（通常はブラウザ）でOAuth認証要求を実行することも実装しています。