エクスポート (0) 印刷
すべて展開

ログイン ページとホーム領域検出

発行: 2011年4月

更新日: 2011年5月

適用対象: Windows Azure

Windows Azure AppFabric アクセス制御サービス (ACS) は、Web サイトまたはアプリケーションのフェデレーション ログイン ページを生成する簡単な方法を 2 つ提供します。

オプション 1: ACS によってホストされるログイン ページ

ACS は、証明書利用者アプリケーションで使用できる基本的なフェデレーション ログイン ページをホストします。このログイン ページは、名前空間の WS-Federation プロトコル エンドポイントでホストされ、次のような URL を作成することによりアクセスできます。

https://YourNamespace.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=YourAppRealm&redirect=false

この URL で、YourNamespace を実際の ACS サービス空間の名前に置き換える必要があります。また、この URL には次のパラメーターが必要です。

  • wawsignin1.0 に設定します。

  • wtrealm—ACS 管理ポータルで証明書利用者アプリケーションに対して入力した領域に設定します。

すべての証明書利用者アプリケーションの正確なログイン ページ リンクを参照するには、次の手順を実行します。

  1. ACS 管理ポータルを起動します。詳細については、「ACS 管理ポータル」を参照してください。

  2. 左側のツリーで [開発] セクションの [アプリケーション統合] をクリックし、[アプリケーション統合] ページで [ログイン ページ] リンクをクリックします。

  3. 正確なログイン ページ リンクを確認する証明書利用者アプリケーションをクリックします。

    [ログイン ページ統合: <relying_party_application_name>] ページ (<relying_party_application_name> は証明書利用者アプリケーション名) にリダイレクトされます。この証明書利用者アプリケーションの正確なログイン ページ リンクは、[オプション 1:ACS によってホストされるログイン ページへのリンク] の下のテキスト ボックスにあります。

次の図は、Windows Live ID、Google、Yahoo!、Facebook,、および WS-Federation ID プロバイダー ([Contoso Corp.]) が構成された状態の既定のログイン ページの外観を示しています。

ACS 2.0 ログイン ページ

ACS 管理ポータルで WS-Federation ID プロバイダーの電子メール アドレス サフィックスを追加した場合、その ID プロバイダーのボタンではなく、電子メール アドレスの入力が表示されます。次の図は、このケースを示しています。これは、証明書利用者アプリケーションに対して多数の WS-Federation ID プロバイダーが構成されている場合に便利です。

ACS 2.0 ログイン ページ

ACS と証明書利用者アプリケーションの統合を促進するには、ACS によってホストされる既定のログイン ページを使用することをお勧めします。このページのレイアウトと外観をカスタマイズするには、既定のログイン ページを HTMLファイルとして保存し、その HTML と JavaScript をアプリケーションにコピーしてカスタマイズします。

オプション 2: カスタム ログイン ページをアプリケーションの一部としてホストする

フェデレーションされたログイン ページの外観、動作、および場所を完全に制御できるように、ACS は、ID プロバイダーの名前、ログイン URL、画像、および電子メール ドメイン名 (AD FS 2.0 のみ) を含む JSON エンコード形式のメタデータ フィードを提供します。このフィードは、ホーム領域検出メタデータ フィードと呼ばれます。

カスタム ログイン ページ例

それぞれの証明書利用者アプリケーションの HTML ログイン ページ例をダウンロードするには、次の手順を実行します。

  1. ACS 管理ポータルを起動します。詳細については、「ACS 管理ポータル」を参照してください。

  2. 左側のツリーで [開発] セクションの [アプリケーション統合] をクリックし、[アプリケーション統合] ページで [ログイン ページ] リンクをクリックします。

  3. 正確なログイン ページ リンクを確認する証明書利用者アプリケーションをクリックします。

    [ログイン ページ統合: <relying_party_application_name>] ページ (<relying_party_application_name> は証明書利用者アプリケーション名) にリダイレクトされます。

  4. [ログイン ページ例のダウンロード] をクリックします。[オプション 2:ログイン ページをアプリケーションの一部としてホストする]。

HTML コード例は、ACS によってホストされるログイン ページの HTML コードと同じです。

このページは、HTML コードの下部にあるスクリプト タグを使用してメタデータ フィードを呼び出します。ページを表示するための JavaScript 関数がその上に表示されています。カスタム ログイン ページでは、例に示すように、純粋なクライアント側 HTML と JavaScript を使用してメタデータを利用できます。ただし、JSON エンコードをサポートする任意の言語でフィードを利用して、カスタム ログイン コントロールを表示することもできます。

ホーム領域検出メタデータ フィード

すべての証明書利用者アプリケーションの正確なホーム領域検出メタデータ フィード URL を表示するには、次の手順を実行します。

  1. ACS 管理ポータルを起動します。詳細については、「ACS 管理ポータル」を参照してください。

  2. 左側のツリーの [開発] セクションで [アプリケーション統合] をクリックし、[アプリケーション統合] ページで [ログイン ページ] リンクをクリックします。

  3. 正確なログイン ページ リンクを確認する証明書利用者アプリケーションをクリックします。

    [ログイン ページ統合: <relying_party_application_name>] ページ (<relying_party_application_name> は証明書利用者アプリケーション名) にリダイレクトされます。

URL は [オプション 2:ログイン ページをアプリケーションの一部としてホストする]。

次に、HRD フィード URL の例を示します。

https://YourNamespace.accesscontrol.int4.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

この URL では、次のパラメーターを使用します。

  • YourNamespace—必須です。Windows Azure AppFabric サービス名前空間の名前を設定します。

  • protocol—必須です。証明書利用者アプリケーションが ACS との通信に使用するプロトコルです。ACS では、この値を wsfederation に設定する必要があります。

  • realm—必須です。ACS 管理ポータルで証明書利用者アプリケーションに対して指定した領域です。

  • version—必須です。ACS では、この値を 1.0 に設定する必要があります。

  • reply_to—省略可能です。ACS 管理ポータルで証明書利用者アプリケーションに対して指定した戻り先 URL です。省略した場合、戻り先 URL は、ACS 管理ポータルで証明書利用者アプリケーションに対して構成された既定値に設定されます。

  • context—省略可能です。トークンで証明書利用者アプリケーションに戻すことができる任意の追加コンテキストです。ACS は、これらの内容を認識しません。

  • callback—省略可能です。このパラメーターは、JSON フィードを読み込むときに実行する JavaScript 関数の名前に設定できます。JSON フィード文字列は、この関数に渡される引数です。

JSON フィードのデータ形式

メタデータ フィードが、前に説明したような有効なパラメーターを使用して要求された場合、応答は JSON エンコード形式の配列の配列を含むドキュメントです。各内部配列は次のフィールドにより ID プロバイダーを表します。

  • Name—ID プロバイダーの人が認識できる表示名です。

  • LoginUrl—構築されたログイン要求 URL です。

  • LogoutUrl—この URL により、エンド ユーザーはサインインした ID プロバイダーからサインアウトできます。この URL は、現時点では AD FS 2.0 と Windows Live ID でのみサポートされ、他の ID プロバイダーでは空です。

  • ImageUrl—ACS 管理ポータルで構成された表示画像です。画像がない場合は空白です。

  • EmailAddressSuffixes—ID プロバイダーに関連付けられた電子メール アドレス サフィックスの配列です。ACS では、電子メール アドレス サフィックスは、ACS 管理ポータルを使用して AD FS 2.0 ID プロバイダーに対してのみ構成できます。サフィックスが構成されていない場合は、空の配列を返します。

次の例は、Windows Live ID と AD FS 2.0 の 2 つの ID プロバイダーが構成されている場合の JSON フィードを示しています。ユーザーは ACS 管理ポータルで Windows Live ID の画像 URL を設定し、AD FS 2.0 ID プロバイダーの電子メール ドメイン サフィックスを関連付けています。

noteメモ
読みやすくするために改行を追加し、簡潔にするために URL を簡素化してあります。

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

参照

表示:
© 2014 Microsoft