ACS の管理サービス
更新日: 2015 年 6 月 19 日
適用先:Azure
適用対象
Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)
まとめ
ACS 管理サービスは、Access Control名前空間の設定をプログラムで管理および構成できる ACS コンポーネントです。 ACS 管理サービスは、ACS 管理ポータルの代替または補完として使用できます。ACS 管理ポータルには、ACS のグラフィック ユーザー インターフェイスが用意されています。
このトピックでは、次の内容について説明します。
ACS 管理サービスが ACS アーキテクチャ全体にどのように適合するか
ACS 管理サービスを使用して ACS 設定を構成することが適切な場合
ACS 管理サービスを最も効果的に使用する方法
概要
ACS 管理サービスと Open Data (OData) プロトコルを使用して、Access Control名前空間の ACS コンポーネントをプログラムで管理および構成できます。
次の図は、ACS のコンポーネントとその関係を示しています。
.gif "ACS v2 Management Service")
プログラムによる管理は、次のようなシナリオの場合に特に効果的です。
SaaS サービスへの新しいテナントの追加Office 365などのサービスとしてのソフトウェア製品がある場合は、新しい顧客がサービスにサインアップするたびに実行されるコードを記述できます。 このコードは ACS 管理サービスと連携して、選択した ID プロバイダーの新しいテナントを構成します。 ACS に新しいテナントを追加する SaaS アプリケーション ソース コードの作業サンプルについては、次を参照してください https://www.fabrikamshipping.com/。
ソリューションの展開 - 新しいソリューションをデプロイするときに、展開の一部として ACS を構成するカスタム タスクを追加できます。 ACS 管理サービスは、アプリケーションの展開後に展開を自動化し、手動構成タスクを最小限に抑えるのに役立ちます。
カスタム ユーザー インターフェイス:ACS 管理ポータル (独自のドメインでホストされている Web ベースのユーザー インターフェイス) を使用して、ACS コンポーネントを管理および構成できます。 ただし、ユーザー インターフェイスのブランド変更、大規模な管理コンソールへの埋め込み、または Web ベース以外のユーザー インターフェイスを介して公開される場合は、ACS 管理サービスを使用して ACS 設定を管理および構成できます。
その他の機能 ほとんどのタスクは ACS 管理ポータルで実行できますが、一部のタスクは ACS 管理サービスを使用してのみ使用できます。 たとえば、ACS 管理サービスを使用してのみカスタム OpenID ID プロバイダーを追加できます。
ACS 2.0 管理サービスにアクセスする
特定のAccess Control名前空間の ACS 管理サービスにアクセスするには、OData クライアントに管理サービス エンドポイント URL を指定する必要があります。
Access Control名前空間の Management Service エンドポイント URL を見つけるには、次の手順に従います。
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[管理サービス] をクリックします。
URL はページの [管理サービス URL] セクションに表示されます。
エンドポイント URL の形式は https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> です。Namespace はAccess Control名前空間の名前です。
ACS 管理サービスは、認証に ACS を使用します。 ACS は、OAuth WRAP プロトコルで発行された管理資格情報を受け入れ、応答として SWT トークンをクライアントに発行します。 ACS 管理サービスにアクセスするには、SWT トークンが必要です。
ACS 管理サービスに対する認証には、次のいずれかの種類のアカウント資格情報を使用します。
パスワード:OAuth WRAP プロトコルを使用して、プレーンテキスト トークン要求のパスワードを ACS に送信します。 パスワード フィールドは OAuth WRAP v0.9 トークン要求の wrap_password パラメーターに対応し、ユーザー名フィールドは wrap_name パラメーターに対応します。 詳細については、「 方法: OAuth WRAP プロトコルを使用して ACS からトークンを要求する」の「パスワード トークン要求」を参照してください。
対称キー:対称キーを使用して SWT トークンに署名し、OAuth WRAP プロトコルを使用して ACS にトークンを送信します。 詳細については、「 方法: OAuth WRAP プロトコルを使用して ACS からトークンを要求する」の「SWT トークン要求」を参照してください。
X.509 証明書: X.509 証明書を使用して、認証のために ACS に送信される SAML ベアラー トークンの署名を検証します。 詳細については、「方法: OAuth WRAP プロトコルを使用して ACS からトークンを要求する」の「SAML トークン要求」を参照してください。
ACS 管理ポータルでは、これらすべての種類の資格情報を使用して管理サービス アカウントを追加および構成できます。 詳細については、 ACS 管理ポータルを参照してください。
ACS 2.0 管理サービス データ エンティティ
エンティティ データ モデルは、構成データをエンティティの種類 (またはエンティティ) のレコードに整理し、相互に関連付けます。 各Access Control名前空間のデータ モデルについては、OData サービス メタデータ ドキュメントの「https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata<」で説明されています。名前空間>はAccess Control名前空間の名前です。
この XML ドキュメントでは、概念スキーマ定義言語 (CSDL) を使用して、エンティティ モジュールを記述しています。 このドキュメントをダウンロードして、コード内で型指定されたクラスの生成に使用することができます。
ACS エンティティの種類とそのプロパティの詳細については、「 ACS Management Service API リファレンス」を参照してください。
既定のエンティティ データ
すべてのAccess Control名前空間には、ACS 管理サービスに公開される既定の構成データが含まれていますが、ACS 管理ポータルでは使用できません。 この構成データは、通常、Access Control名前空間によって内部的に使用され、カスタム証明書利用者アプリケーションには関連しません。 このデータには次が含まれます。
AccessControlManagement 証明書利用者アプリケーション: ACS 管理ポータルと ACS 管理サービスを表します。ACS 管理サービスは、Access Control名前空間の証明書利用者です。
AccessControlManagement ルール グループとルール- ACS 管理ポータルと ACS 管理サービスのアクセス規則が含まれます。 ACS 管理ポータルでルールとルール グループを構成できます。
Windows Live ID ID ID プロバイダーと発行者- 既定の ID プロバイダーと発行者Windows Live ID (Microsoft アカウント) を表します。 この ID プロバイダーは、ACS 管理ポータルへの認証に AccessControlManagement 証明書利用者によって使用されるため、削除できません。
LOCAL_AUTHORITY発行者:ACS によって出力される要求に対して ACS ルール エンジンで使用される発行者。
参照
タスク
概念
ACS 2.0 コンポーネント
ACS 管理サービス API リファレンス
方法: OAuth WRAP プロトコルを使用して ACS からトークンを要求する
方法: ACS 管理サービスを使用して Facebook をインターネット ID プロバイダーとして構成する
方法: ACS 管理サービスを使用して AD FS 2.0 をEnterprise ID プロバイダーとして構成する
方法: ACS 管理サービスを使用して OpenID ID プロバイダーを構成する