エクスポート (0) 印刷
すべて展開

方法:AD FS 2.0 を ID プロバイダーとして構成する

発行: 2011年4月

更新日: 2011年5月

適用対象: Windows Azure

適用の対象

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

  • Active Directory® フェデレーション サービス 2.0

要約

ここでは、Active Directory Federation Services (AD FS) 2.0 を ID プロバイダーとして構成する方法について説明します。ASP.NET Web アプリケーションの ID プロバイダーとして AD FS 2.0 を構成することにより、ユーザーは、Active Directory によって管理される企業アカウントにログオンすることで、ASP.NET Web アプリケーションへの認証を行うことが可能になります。

内容

  • 目的

  • 概要

  • 手順の概要

  • 手順 1 - ACS 管理ポータルで AD FS 2.0 を ID プロバイダーとして追加する

  • 手順 2 - AD FS 2.0 から受け取ったトークンを暗号化解除するための証明書を ACS 管理ポータルで ACS に追加する

  • 手順 3 - ACS 名前空間を証明書利用者として AD FS 2.0 に追加する

  • 手順 4 - ACS 名前空間の要求規則を AD FS 2.0 に追加する

目的

  • ACS と AD FS 2.0 の間の信頼を構成します。

  • トークンおよびメタデータの交換のセキュリティを向上させます。

概要

AD FS 2.0 を ID プロバイダーとして構成することで、企業の Active Directory で認証用に管理されている既存のアカウントを再利用することが可能になります。これにより、複雑なアカウント同期メカニズムを構築したり、エンド ユーザーの資格情報を受信し、資格情報ストアに照らして検証し、ID を管理するタスクを実行するカスタム コードを開発したりする必要がなくなります。ACS と AD FS 2.0 の統合は、構成だけで実現されます。カスタム コードは不要です。

手順の概要

  • 手順 1 - ACS 管理ポータルで AD FS 2.0 を ID プロバイダーとして追加する

  • 手順 2 - AD FS 2.0 から受け取ったトークンを暗号化解除するための証明書を ACS 管理ポータルで ACS に追加する

  • 手順 3 - ACS 名前空間を証明書利用者として AD FS 2.0 に追加する

  • 手順 4 - ACS 名前空間の要求規則を AD FS 2.0 に追加する

手順 1 - ACS 管理ポータルで AD FS 2.0 を ID プロバイダーとして追加する

この手順では、ACS 管理ポータルで AD FS 2.0 を ID プロバイダーとして追加します。

ACS 名前空間で AD FS 2.0 を ID プロバイダーとして追加するには

  1. ACS 管理ポータルのメイン ページで、[ID プロバイダー] をクリックします。

  2. [ID プロバイダーの追加] をクリックします。

  3. [Microsoft Active Directory フェデレーション サービス 2.0] の横の [追加] をクリックします。

  4. [表示名] フィールドで、この ID プロバイダーの表示名を入力します。この名前は、管理ポータルに表示され、アプリケーションのログイン ページにも既定で表示されます。

  5. [WS-Federation メタデータ] フィールドで、AD FS 2.0 インスタンスのメタデータ ドキュメントへの URL を入力するか、[ファイル] オプションを使用してメタデータ ドキュメントのローカル コピーをアップロードします。URL を使用する場合、メタデータ ドキュメントへの URL パスは、AD FS 2.0 管理コンソールの [サービス\エンドポイント] セクションで確認できます。次の 2 つの手順では、証明書利用者アプリケーションのログイン ページ オプションを処理します。これらの手順は省略可能です。

  6. アプリケーションのログイン ページでこの ID プロバイダーについて表示されるテキストを編集する場合は、[ログイン リンク テキスト] フィールドに目的のテキストを入力します。

  7. アプリケーションのログイン ページにこの ID プロバイダーの画像を表示する場合は、[画像 URL] フィールドに画像ファイルへの URL を入力します。この画像ファイルは、信頼できるサイトでホストされているのが理想的です (可能であれば、HTTPS を使用して、ブラウザーのセキュリティ警告が表示されないようにします)。また、AD FS 2.0 パートナーから画像の表示についての許可を得る必要があります。ログオン ページ設定に関する追加のガイダンスについては、「ログイン ページとホーム領域検出」のヘルプを参照してください。

  8. リンクをクリックするのではなく、電子メール アドレスを使用してログオンするようにユーザーに求める場合は、この ID プロバイダーに関連付ける電子メール ドメイン サフィックスを [電子メール ドメイン名] フィールドに入力します。たとえば、電子メール アドレスの末尾が @contoso.com であるユーザー アカウントを ID プロバイダーがホストする場合は、「contoso.com」と入力します。サフィックスのリストを区切るには、セミコロンを使用します (たとえば、「contoso.com; fabrikam.com」)。ログオン ページ設定に関する追加のガイダンスについては、「ログイン ページとホーム領域検出」のヘルプを参照してください。

  9. [証明書利用者アプリケーション] フィールドで、この ID プロバイダーに関連付ける既存の証明書利用者アプリケーションを選択します。これにより、指定したアプリケーションのログイン ページに ID プロバイダーが表示されるようになり、また要求を ID プロバイダーからアプリケーションに送信できるようになります。ただし、送信する要求を定義する規則をアプリケーションの規則グループに追加する必要はあります。

  10. [保存] をクリックします。

手順 2 - AD FS 2.0 から受け取ったトークンを暗号化解除するための証明書を ACS 管理ポータルで ACS に追加する

この手順では、AD FS 2.0 から受信したトークンを暗号化解除するための証明書を追加および構成します。この手順は省略可能ですが、セキュリティを強化するのに役立ちます。具体的には、トークンの内容が表示されたり、改ざんされたりするのを防ぐことができます。

AD FS 2.0 から受信したトークンを暗号化解除するための証明書を ACS 名前空間に追加するには (省略可能)

  1. http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) に移動します。

  2. Windows Live ID を使用した認証が済んでいない場合は、認証を要求されます。

  3. Windows Live ID による認証の後、Windows Azure AppFabric ポータルの [プロジェクト] ページにリダイレクトされます。

  4. [プロジェクト] ページで目的のプロジェクト名をクリックします。

  5. [プロジェクト:<<プロジェクト名>>] ページで、目的の名前空間の横にある [アクセス制御] リンクをクリックします。

  6. [アクセス制御設定: <<名前空間>>] ページで、[アクセス制御の管理] リンクをクリックします。

  7. ACS 管理ポータルのメイン ページで、[証明書およびキー] をクリックします。

  8. [トークン暗号化解除証明書の追加] をクリックします。

  9. [名前] フィールドに、証明書の表示名を入力します。

  10. [証明書] フィールドで、この ACS 名前空間に使用する、秘密キーを含む X.509 証明書 (.pfx ファイル) を参照し、[パスワード] フィールドに .pfx ファイルのパスワードを入力します。証明書がない場合は、画面上の指示に従って証明書を生成するか、「証明書とキー」のヘルプを表示して証明書の取得に関する追加のガイドラインを確認します。

  11. [保存] をクリックします。

手順 3 - ACS 名前空間を証明書利用者として AD FS 2.0 に追加する

この手順は、AD FS 2.0 で ACS を証明書利用者として構成するのに役立ちます。

AD FS 2.0 で ACS 名前空間を証明書利用者として追加するには

  1. AD FS 2.0 管理コンソールで、[AD FS 2.0] をクリックし、[操作] ペインで [証明書利用者の信頼を追加] をクリックして、証明書利用者の信頼の追加ウィザードを開始します。

  2. [ようこそ] ページで、[開始] をクリックします。

  3. [データ ソースの選択] ページで、[オンラインで公開されている証明書利用者またはローカル ネットワークの証明書利用者に関するデータをインポートする] をクリックし、ACS 名前空間の名前を入力して、[次へ] をクリックします。

  4. [表示名を指定してください] ページで、表示名を入力し、[次へ] をクリックします。

  5. [発行承認規則の選択] ページで、[すべてのユーザーがこの証明書利用者にアクセスできるように許可] をクリックし、[次へ] をクリックします。

  6. [信頼を追加する準備完了] ページで、証明書利用者の信頼設定を確認し、[次へ] をクリックして構成を保存します。

  7. [完了] ページで、[閉じる] をクリックしてウィザードを終了します。これにより、[WIF サンプル アプリケーションの要求規則を編集] プロパティ ページが開きます。このダイアログ ボックスを開いたままにして、次の手順に進みます。

手順 4 - ACS 名前空間の要求規則を AD FS 2.0 に追加する

この手順では、AD FS 2.0 で要求規則を構成します。これにより、目的の要求が AD FS 2.0 から ACS に確実に渡されるようになります。

AD FS 2.0 で ACS 名前空間の要求規則を追加するには

  1. [要求規則の編集] プロパティ ページの [発行変換規則] タブで、[規則の追加] をクリックして変換要求規則の追加ウィザードを開始します。

  2. [規則テンプレートの選択] ページの [要求規則テンプレート] で、メニューの [着信要求をパススルーまたはフィルター] をクリックし、[次へ] をクリックします。

  3. [規則の構成] ページで、[要求規則名] に規則の表示名を入力します。

  4. [着信要求の種類] ボックスの一覧で、アプリケーションにパススルーする ID 要求の種類を選択し、[完了] をクリックします。

  5. [OK] をクリックしてプロパティ ページを閉じ、証明書利用者の信頼への変更を保存します。

  6. AD FS 2.0 から ACS 名前空間に発行する要求ごとに、手順 1 ~ 5 を繰り返します。

  7. [OK] をクリックします。

表示:
© 2014 Microsoft