方法: ACS 管理サービスを使用して証明書利用者アプリケーションを構成する

更新日: 2015 年 6 月 19 日



  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)


ACS 管理ポータル (詳細については、証明書利用者アプリケーションを参照) または ACS 管理サービスを使用して ACS 証明書利用者アプリケーションを構成できます。 ACS 管理サービスの使用は、ACS を管理するためのカスタム ユーザー インターフェイスを構築する場合や、マルチテナント サービスとしてのソフトウェア (SaaS) ソリューションの新しいテナントのオンボードを自動化する場合に、より効率的になります。

ACS 管理サービスを使用した証明書利用者アプリケーションの構成手順


次の手順を実行する前に、システムが ACS の前提条件に要約されているすべての .NET フレームワークとプラットフォームの要件を満たしていることを確認します。

ACS 管理サービスを使用して証明書利用者アプリケーションを構成するには、次の手順を実行します。

  • 手順 1 – ACS 構成情報を収集する

  • 手順 2 – サンプル コンソール アプリケーションを作成する

  • 手順 3 – 必要なサービスとアセンブリへの参照を追加する

  • 手順 4 – 管理サービス クライアントを実装する

  • 手順 5 – 証明書利用者アプリケーションの追加

手順 1 – ACS 構成情報を収集する

ACS 管理ポータルを使用して、必要な構成情報を収集できます。 ACS 管理ポータルを起動する方法の詳細については、ACS 管理ポータルを参照してください。

ACS 構成情報を収集するには

  1. ACS 管理ポータルを起動します。 ACS 管理ポータルを起動する方法の詳細については、ACS 管理ポータルを参照してください。

  2. ACS 管理サービス アカウントの値を取得します。 既定の ManagementClient アカウントを使用できます。 この値を表示するには、ACS 管理ポータルで、ページの左側にあるツリーの [管理] セクションの下にある [管理サービス] をクリックします。

  3. ACS 管理サービス アカウントのパスワードの値を取得します。 この値を表示するには、次の操作を実行します。

    1. ACS 管理ポータルで、ページの左側にあるツリーの [管理] セクションにある [管理サービス] をクリックします。

    2. [管理サービス] ページの [管理サービス アカウント] で [ManagementClient] をクリックします。

    3. [管理サービス アカウントの編集] ページの [資格情報] で [パスワード] をクリックします。

    4. [管理資格情報の編集] ページで、[パスワード] フィールドの値をコピーします。

  4. Azure 名前空間の名前を取得します。 この値は、Azure portalまたは ACS 管理ポータルの URL から取得できます。 たとえば、名前空間名は contoso です。

  5. ACS ホスト名を取得します。 通常、これは です。

手順 2 – サンプル コンソール アプリケーションを作成する

この手順では、ACS ルール グループとルールを追加するためのコードを実行できるサンプル コンソール アプリケーションを作成します。

サンプル コンソール アプリケーションを作成するには

  1. Visual Studio 2012 を開き、インストールされているテンプレートの下に新しいコンソール アプリケーション プロジェクトWindows作成します。

  2. 次のコードを Program クラスに追加してから、serviceIdentityPasswordForManagement、serviceNamespace、および acsHostName 変数を、前の手順で収集した適切な構成情報に割り当てます。

    public const string serviceIdentityUsernameForManagement = "ManagementClient";
    public const string serviceIdentityPasswordForManagement = "My Password/Key for ManagementClient";
    public const string serviceNamespace = "MyNameSpaceNoDots";
    public const string acsHostName = "";
    public const string acsManagementServicesRelativeUrl = "v2/mgmt/service/";
    static string cachedSwtToken;

手順 3 – 必要なサービスとアセンブリへの参照を追加する



  1. [参照] を右クリックし、[参照の追加] をクリックして、参照を System.Web.Extensions に追加します。


    ソリューション エクスプローラーでサンプルのコンソール アプリケーション名を右クリックし、[プロパティ] を選択して、サンプル アプリケーションのターゲット フレームワークを .NET Framework 4 Client Profile (新しいコンソール アプリケーションの作成時に既定で割り当てられる) から .NET Framework 4 に変更しなければならない場合があります。

  2. [サービス参照] を右クリックし、[サービス参照の追加] をクリックして、管理サービスにサービス参照を追加します。 管理サービスの URL は名前空間に対して一意であり、次のような形式です。


  3. 次の宣言を追加します。ここで、MyConsoleApplication はコンソール アプリケーションの名前です。

    using System;
    using System.IO;
    using System.Collections.Generic;
    using System.Linq;
    using System.Text;
    using System.Web;
    using System.Net;
    using System.Data.Services.Client;
    using System.Collections.Specialized;
    using System.Web.Script.Serialization;
    using System.Globalization;
    using System.Security.Cryptography;
    using System.Security.Cryptography.X509Certificates; 
    using MyConsoleApplication.MyServiceReference;

手順 4 – 管理サービス クライアントを実装する

この手順では、管理サービス クライアントを実装します。

管理サービス クライアントを実装するには

  1. Program クラスに次のメソッドを追加します。

       public static ManagementService CreateManagementServiceClient()
                string managementServiceEndpoint = String.Format(CultureInfo.InvariantCulture, "https://{0}.{1}/{2}",
                ManagementService managementService = new ManagementService(new Uri(managementServiceEndpoint));
                managementService.SendingRequest += GetTokenWithWritePermission;
                return managementService;
  2. GetTokenWithWritePermission メソッドとそのヘルパー メソッドを Program クラスに追加します。 GetTokenWithWritePermission とそのヘルパーにより、HTTP 要求の承認ヘッダーに SWT OAuth トークンが追加されます。

    public static void GetTokenWithWritePermission(object sender, SendingRequestEventArgs args)
            public static void GetTokenWithWritePermission(HttpWebRequest args)
                if (cachedSwtToken == null)
                    cachedSwtToken = GetTokenFromACS();
                args.Headers.Add(HttpRequestHeader.Authorization, "Bearer " + cachedSwtToken);
            private static string GetTokenFromACS()
                // Request a token from ACS
                WebClient client = new WebClient();
                client.BaseAddress = string.Format(CultureInfo.CurrentCulture, 
                NameValueCollection values = new NameValueCollection();
                values.Add("grant_type", "client_credentials");
                values.Add("client_id", serviceIdentityUsernameForManagement);
                values.Add("client_secret", serviceIdentityPasswordForManagement);
                values.Add("scope", client.BaseAddress + acsManagementServicesRelativeUrl);
                byte[] responseBytes = client.UploadValues("/v2/OAuth2-13", "POST", values);
                string response = Encoding.UTF8.GetString(responseBytes);
                // Parse the JSON response and return the access token 
                JavaScriptSerializer serializer = new JavaScriptSerializer();
                Dictionary<string, object> decodedDictionary = serializer.DeserializeObject(response) as Dictionary<string, object>;
                return decodedDictionary["access_token"] as string;

手順 5 – 証明書利用者アプリケーションの追加

この手順では、SAML 2.0 トークン形式 (既定のオプション)、トークン暗号化ポリシー (既定のオプション)、Windows Live ID (Microsoft アカウント) ID プロバイダー (既定のオプション)、600 秒のトークン有効期間 (既定のオプション)、証明書利用者アプリケーションのカスタム X.509 トークン署名証明書、または証明書利用者アプリケーションのトークン署名証明書を使用して、サンプル証明書利用者アプリケーションを作成します。名前空間Access Controlします。

Access Control名前空間トークン署名証明書を使用して証明書利用者アプリケーションを追加するには

  1. 次のコードを Program クラスの Main メソッドに追加して、管理サービス クライアントを初期化します。

    ManagementService svc = CreateManagementServiceClient();
  2. 新しい証明書利用者アプリケーション (以下のコードに示されているように “MyRelyingPartyApplication” という名前を付けることができます) を追加し、以下のコードを Program クラスの Main メソッドに追加して変更を保存します。


    以下のコードの "Full path to your .PFX file" を X.509 証明書への有効な完全パスに置き換えます。 たとえば、ACS2ClientCertificate.cer という証明書が C: の下に保存されている場合、正しい値は "C:\ACS2ClientCertificate.cer"。

    以下のコードの "MyCertificatePassword" を X.509 証明書の正しいパスワードに置き換えます。

                //Create Relying Party Application
                RelyingParty relyingParty = new RelyingParty()
                    Name = "MyRelyingPartyApplication",
                    AsymmetricTokenEncryptionRequired = false,
                    TokenType = "SAML_2_0",
                    TokenLifetime = 3600
                //Create the Realm Address
                RelyingPartyAddress realmAddress = new RelyingPartyAddress()
                    Address = "",
                    EndpointType = "Realm"
                svc.AddRelatedObject(relyingParty, "RelyingPartyAddresses", realmAddress);
                //Create the Return URL Address
                RelyingPartyAddress replyAddress = new RelyingPartyAddress()
                    Address = "",
                    EndpointType = "Reply"
                svc.AddRelatedObject(relyingParty, "RelyingPartyAddresses", replyAddress);
              // Create a Rule Group for This Relying Party Application
                RuleGroup rg = new RuleGroup();
                rg.Name = "SampleRuleGroup For " + relyingParty.Name;
                // Assign This New Rule Group to Your New Relying Party Application
                RelyingPartyRuleGroup relyingPartyRuleGroup = new RelyingPartyRuleGroup();
                svc.AddLink(relyingParty, "RelyingPartyRuleGroups", relyingPartyRuleGroup);
                svc.AddLink(rg, "RelyingPartyRuleGroups", relyingPartyRuleGroup);
                //Save Your New Relying Party Application


  1. 次のコードを Program クラスの Main メソッドに追加して、管理サービス クライアントを初期化します。

    ManagementService svc = CreateManagementServiceClient();
  2. ヘルパー関数 ReadBytesFromPfxFile を作成して、次のコードを Program クラスに追加することで X.509 証明書からバイトを読み取ります。

    //Helper Function to Read Bytes from Your .pfx file
            public static byte[] ReadBytesFromPfxFile(string pfxFileName, string protectionPassword)
                byte[] signingCertificate;
                using (FileStream stream = File.OpenRead(pfxFileName))
                    using (BinaryReader br = new BinaryReader(stream))
                        signingCertificate = br.ReadBytes((int)stream.Length);
                return signingCertificate;
  3. 新しい証明書利用者アプリケーション (以下のコードに示されているように “MyRelyingPartyApplication” という名前を付けることができます) を追加し、以下のコードを Program クラスの Main メソッドに追加して変更を保存します。


    以下のコードの "Full path to your .PFX file" を X.509 証明書への有効な完全パスに置き換えます。 たとえば、ACS2ClientCertificate.cer という証明書が C: の下に保存されている場合、正しい値は "C:\ACS2ClientCertificate.cer"。

    以下のコードの "MyCertificatePassword" を X.509 証明書の正しいパスワードに置き換えます。

                //Create Relying Party Application
                RelyingParty relyingParty = new RelyingParty()
                    Name = "MyRelyingPartyApplication",
                    AsymmetricTokenEncryptionRequired = false,
                    TokenType = "SAML_2_0",
                    TokenLifetime = 3600
                //Create the Realm Address
                RelyingPartyAddress realmAddress = new RelyingPartyAddress()
                    Address = "",
                    EndpointType = "Realm"
                svc.AddRelatedObject(relyingParty, "RelyingPartyAddresses", realmAddress);
                //Create the Return URL Address
                RelyingPartyAddress replyAddress = new RelyingPartyAddress()
                    Address = "",
                    EndpointType = "Reply"
                svc.AddRelatedObject(relyingParty, "RelyingPartyAddresses", replyAddress);
                //Create a Signing Certificate
                X509Certificate2 cert = new X509Certificate2(@"Full path to your .PFX file", "MyCertificatePassword");
                DateTime startDate, endDate;
                startDate = cert.NotBefore.ToUniversalTime();
                endDate = cert.NotAfter.ToUniversalTime();
                string pfxFileName = @"Full path to your .PFX file";
                string pfxPassword = @"MyCertificatePassword";
                byte[] signingCertificate = ReadBytesFromPfxFile(pfxFileName, pfxPassword);
                RelyingPartyKey relyingPartyKey = new RelyingPartyKey()
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime(),
                    Type = "X509Certificate",
                    Usage = "Signing",
                    IsPrimary = true,
                    Value = signingCertificate,
                    Password = Encoding.UTF8.GetBytes("MyCertificatePassword")
                svc.AddRelatedObject(relyingParty, "RelyingPartyKeys", relyingPartyKey);
              // Create a Rule Group for This Relying Party Application
                RuleGroup rg = new RuleGroup();
                rg.Name = "SampleRuleGroup For " + relyingParty.Name;
                // Assign This New Rule Group to Your New Relying Party Application
                RelyingPartyRuleGroup relyingPartyRuleGroup = new RelyingPartyRuleGroup();
                svc.AddLink(relyingParty, "RelyingPartyRuleGroups", relyingPartyRuleGroup);
                svc.AddLink(rg, "RelyingPartyRuleGroups", relyingPartyRuleGroup);
                //Save Your New Relying Party Application



ACS の利用方法