エクスポート (0) 印刷
すべて展開

方法: Google を ID プロバイダーとして構成する

発行: 2011年4月

更新日: 2011年5月

適用対象: Windows Azure

適用の対象

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

要約

この手順では、ACS を使用して Google を ID プロバイダー として構成する方法を示します。Google を ASP.NET Web アプリケーションの ID プロバイダーとして構成すると、ユーザーは Google アカウントにログオンすることにより、ASP.NET Web アプリケーションに対して認証されるようになります。

内容

  • 目的

  • 概要

  • 手順の概要

  • 手順 1 - 名前空間を作成する

  • 手順 2 - Google を ID プロバイダーとして構成する

  • 手順 3 - 証明書利用者との信頼を構成する

  • 手順 4 - トークン変換規則を構成する

  • 手順 5 - 名前空間によって公開されているエンドポイントを確認する

目的

  • Windows Azure AppFabric プロジェクトおよび名前空間を作成する。

  • Google を ID プロバイダーとして使用するように名前空間を構成する。

  • 信頼およびトークン変換規則を構成します。

  • エンドポイント参照、サービス リスト、およびメタデータ エンドポイントについて把握します。

概要

Google を ID プロバイダーとして構成すると、認証および ID 管理メカニズムを作成および管理する必要がなくなります。使い慣れた認証手続きを用意することはエンド ユーザー エクスペリエンスの向上に役立ちます。ACS を使用すると、アプリケーションがこの認証手順を容易に使用でき、また、こうした機能をエンド ユーザーに提供できるような構成を簡単に設定することができます。この手順では、このタスクを実行する方法を示します。次の図では、使用する ACS の証明書利用者を構成する手順の全体的なフローを示します。

ACS v2 のワークフロー

手順の概要

Google をアプリケーションの ID プロバイダーとして構成するには、次の手順を実行します。

  • 手順 1 - 名前空間を作成する

  • 手順 2 - Google を ID プロバイダーとして構成する

  • 手順 3 - 証明書利用者との信頼を構成する

  • 手順 4 - トークン変換規則を構成する

  • 手順 5 - 名前空間によって公開されているエンドポイントを確認する

手順 1 - 名前空間を作成する

このステップでは、Windows Azure AppFabric プロジェクト内に名前空間を作成します。Google を既存の名前空間の ID プロバイダーとして構成する場合、この手順は省略できます。

Windows Azure AppFabric プロジェクト内に名前空間を作成するには

  1. サービス名前空間を作成する方法の詳細については、「[HOWTO] Windows Azure AppFabric サービス名前空間を作成する方法」を参照してください。

手順 2 - Google を ID プロバイダーとして構成する

この手順では、Google を既存の名前空間の ID プロバイダーとして構成する方法を示します。

Google を既存の名前空間の ID プロバイダーとして構成するには

  1. http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) に移動します。

  2. Windows Live ID を使用した認証が済んでいない場合は、認証を要求されます。

  3. Windows Live ID による認証の後、Windows Azure AppFabric ポータルの [プロジェクト] ページにリダイレクトされます。

  4. [プロジェクト] ページで目的のプロジェクト名をクリックします。

  5. プロジェクトの詳細ページで目的の名前空間を見つけ、[管理] 列の [アクセス制御] リンクをクリックします。

  6. [Access Control Service] ページで、[アクセス制御の管理] リンクをクリックします。

  7. [Access Control Service] ページで、[ID プロバイダー] リンクをクリックします。

  8. [ID プロバイダーの追加] ページで、[Google] の隣の [追加] をクリックします。

  9. [Google ID プロバイダーの追加] ページで、[保存] をクリックします。

手順 3 – 証明書利用者との信頼を構成する

この手順では、証明書利用者と呼ばれるアプリケーションと ACS との間で信頼を構成する方法を示します。

信頼を構成するには

  1. http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) に移動します。

  2. Windows Live ID を使用した認証が済んでいない場合は、認証を要求されます。

  3. Windows Live ID による認証の後、Windows Azure AppFabric ポータルの [プロジェクト] ページにリダイレクトされます。

  4. [プロジェクト] ページで目的のプロジェクト名をクリックします。

  5. プロジェクトの詳細ページで目的の名前空間を見つけ、[管理] 列で [アクセス制御リンク] をクリックします。

  6. [Access Control Service] ページで、[アクセス制御の管理] リンクをクリックします。

  7. [Access Control Service] ページで、[証明書利用者アプリケーション] リンクをクリックします。

  8. [証明書利用者アプリケーション] ページで、[証明書利用者アプリケーションの追加] リンクをクリックします。

  9. [証明書利用者アプリケーションの追加] ページで、次のフィールドの値を指定します。

    • [名前]—任意の名前です。

    • [領域] — 領域とは、ACS によって発行されるトークンが有効な URI のことです。

    • [戻り先 URL] — 戻り先 URL は、特定の証明書利用者アプリケーションに対して、発行済みのトークンを ACS が投稿する際の宛先 URL を定義します。

    • [トークンの形式] — トークンの形式は、ACS が証明書利用者アプリケーションに発行するトークンの種類を定義します。

    • [トークン暗号化ポリシー] — 任意で ACS は、証明書利用者アプリケーションに発行される任意の SAML 1.1 トークンまたは SAML 2.0 トークンを暗号化できます。

    • [トークンの有効期間] — トークンの有効期間は、ACS によって証明書利用者アプリケーションに発行されるトークンの Time to Live (TTL) を指定します。

    • [ID プロバイダー] — ID プロバイダー フィールドでは、証明書利用者アプリケーションで使用する ID プロバイダーを指定できます。Google が選択されていることを確認してください。

    • [規則グループ] — 規則グループには、ID プロバイダーから証明書利用者アプリケーションに渡されるユーザー ID 要求を定義する規則が含まれています。

    • [トークン署名] — ACS は、X.509 証明書 (秘密キーによる) または 256 ビットの対称キーを使用して発行するすべてのセキュリティ トークンに署名します。

    各フィールドの詳細については、「証明書利用者アプリケーション」を参照してください。

  10. [保存] をクリックします。

手順 4 - トークン変換規則を構成する

この手順では、ACS によって証明書利用者アプリケーションに送信される要求を構成する方法を示します。たとえば、既定では Google はユーザーの電子メールを送信しません。目的の要求をアプリケーションに提供するように ID プロバイダーを構成すると共に、要求の変換方法を構成する必要があります。次の手順では、アプリケーションで電子メール アドレスを使用できるように、電子メール アドレスをパススルーする規則をトークンに追加する方法を示します。

トークン要求変換規則を構成するには

  1. http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) に移動します。

  2. Windows Live ID を使用した認証が済んでいない場合は、認証を要求されます。

  3. Windows Live ID による認証の後、Windows Azure AppFabric ポータルの [プロジェクト] ページにリダイレクトされます。

  4. [プロジェクト] ページで目的のプロジェクト名をクリックします。

  5. プロジェクトの詳細ページで目的の名前空間を見つけ、[管理] 列の [アクセス制御] リンクをクリックします。

  6. [Access Control Service] ページで、[アクセス制御の管理] リンクをクリックします。

  7. [Access Control Service] ページで、[規則グループ] リンクをクリックします。

  8. [規則グループ] ページで、[規則グループの追加] リンクをクリックします。任意で、既存の [規則グループ] を編集できます。

  9. [規則グループの追加] ページで、新規グループの名前を指定し、[保存] をクリックします。

  10. [規則グループの編集] ページで、[規則の追加] リンクをクリックします。

  11. [要求規則の追加] ページで、次の値を指定します。

    • [要求の発行元] — ID プロバイダー — [Google]。

    • [(および) 入力要求の種類] — 要求の種類 — [http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress] を選択します。

    • [(および) 入力要求の値] — [すべて] を選択します。

    • [出力要求の種類] — 入力要求の種類をパススルーします。

    • [出力要求の値] — 入力要求の値をパススルーします。

    • 任意で、[説明] セクションに規則の説明を追加します。

  12. [保存] をクリックします。

  13. [Access Control Service] リンクをクリックし、[証明書利用者] アプリケーション リンクをクリックします。

  14. 目的の [証明書利用者] アプリケーションをクリックします。

  15. [規則グループ] セクションまで下にスクロールし、新規の [規則グループ] が選択されていることを確認して、[保存] をクリックします。

手順 5 - 名前空間によって公開されているエンドポイントを確認する

この手順により、ACS で公開されるエンドポイントを確認できます。たとえば、ACS では、フェデレーション認証のために ASP.NET Web アプリケーションを構成する際に FedUtil によって使用される WS-Federation メタデータ エンドポイントが公開されます。

ACS によって公開されるエンドポイントを確認するには

  1. http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) に移動します。

  2. Windows Live ID を使用した認証が済んでいない場合は、認証を要求されます。

  3. Windows Live ID による認証の後、Windows Azure AppFabric ポータルの [プロジェクト] ページにリダイレクトされます。

  4. [プロジェクト] ページで目的のプロジェクト名をクリックします。

  5. プロジェクトの詳細ページで目的の名前空間を見つけ、[管理] 列の [アクセス制御] リンクをクリックします。

  6. [Access Control Service] ページで、[アクセス制御の管理] リンクをクリックします。

  7. [Access Control Service] ページで、[アプリケーション統合] リンクをクリックします。

  8. [エンドポイント参照] テーブルを確認します。たとえば、URL を介して公開される [WS-Federation] メタデータは次のようになります (名前空間は異なります)。

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    
    

表示:
© 2014 Microsoft