方法: ID プロバイダーとして Azure AD テナントを追加する
更新日: 2015 年 6 月 19 日
適用先:Azure
適用対象
- Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)
概要
このトピックでは、Azure Active Directory (AD) テナントを Access Control 名前空間の ID プロバイダーの一覧に追加する方法について説明します。 この機能によって、名前空間に関連付けられているアプリケーションの ID プロバイダーとしてテナントを使用できるようになります。
処理は次の 2 つの主要要素で構成されています。
Access Control名前空間を Azure AD テナントに Web アプリとして追加します。 これで、名前空間 (Web アプリケーション) が Azure AD からトークンを受け取れるようになります。
AZURE AD テナントを ID プロバイダーとしてAccess Control名前空間に追加します。
残りの手順は ACS のすべての ID プロバイダーに共通です。 証明書利用者アプリケーションと、ID プロバイダーから証明書利用者アプリケーションに渡される ID 要求を決定するルールを追加することができます。
要件
このトピックの手順では以下のものが必要です。
Azure サブスクリプション。 詳細については、「Azure のはじめに」を参照してください。
Azure アクセス制御名前空間。 ヘルプについては、「方法: Access Control名前空間を作成する」を参照してください。
Visual Studio 2012
手順の要約
Azure AD テナントを ID プロバイダーとして追加するには、以下の手順を実行します。
手順 1: Access Control名前空間の名前を見つける
手順 2: Access Control名前空間を Web アプリケーションとして追加する
手順 3: Azure AD テナント ID プロバイダーを Access Control 名前空間に追加する
手順 4: アプリで Azure AD テナント ID プロバイダーを使用する
手順 1: Access Control名前空間の名前を見つける
この手順では、次の手順で使用するために名前空間の名前をコピーします。 WS-Federation サインイン応答を受け取るエンドポイントにトークンを送信することを示す名前空間の名前が必要になります。
名前空間 URL は [管理ポータル] というラベルのフィールドにありますが、トークンはポータルではなく、指定されたエンドポイントに送信されます。
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[アプリケーションの統合] をクリックします。
[管理ポータル] フィールドの値をコピーします。
[管理ポータル] フィールドの URL の形式は以下のとおりです。
< https:// Namespace.accesscontrol.windows.net/>
値を保存します。 これは次の手順で必要になります。
[管理ポータル] フィールドの値は名前空間の名前と、WS-Federation サインイン応答を受け取るエンドポイントの URL です。
手順 2: Access Control名前空間を Web アプリケーションとして追加する
この手順では、Azure 管理ポータルの機能を使用して、Access Control名前空間を Azure AD テナントの Web アプリケーションとして追加します。 これで、テナントは Azure AD で生成されるトークンの受信者になります。
Azure 管理ポータルに移動し、サインインします。 [Active Directory] をクリックし、ディレクトリをクリックし、[アプリケーション] をクリックして、[追加] をクリックします。
アプリの名前を入力します。 [種類] フィールドで、[Web アプリケーションおよび/または Web API] (既定値) を選択します。 次の画面に進むには、矢印をクリックします。
[アプリの URL] と [アプリ ID URI] ボックスに、[アプリケーションの統合] ページの [管理ポータル] フィールドに表示されていた URL を貼り付けます。 続行するには、矢印をクリックします。
アプリの URL は、ユーザーが正常に認証されたときにトークンが送信されるアドレスです。 アプリ ID URI はトークンの対象となるユーザーの URI です。 Access Control名前空間の entityID 以外の値を使用した場合、ACS はその値を中間者攻撃から再利用されるトークンとして解釈されます。
貼り付けるときは、最後のスラッシュ (/) の後に末尾スペースや余分な文字を含めないように注意してください。 そうしないと、Azure AD は URL を無効とマークします。
[ディレクトリ アクセス] ページで、既定の設定である [シングル サインオン] を選択します。 ACS は Graph API を呼び出さないため、設定は使用されません。 処理を終了するには、チェック マークをクリックします。
この時点で、Azure AD テナントはAccess Control名前空間について認識し、それに対してトークンを発行できます。
最後のページで、フェデレーション メタデータ URL をコピーします。 これには数分かかります。
このページに戻るには:
Azure 管理ポータルに移動し、サインインします。
Azure ディレクトリをクリックします。
[アプリケーション] をクリックします。
アプリケーションをクリックします。
アプリケーションの [アプリのエンドポイント] ページにフェデレーション メタデータ URL も一覧表示されます。 このページを表示するには、アプリケーション ページで [エンドポイントの表示] をクリックします。
手順 3: Azure AD テナント ID プロバイダーを Access Control 名前空間に追加する
この手順では、Azure AD テナントのセキュリティ トークン サービス (STS) をAccess Control名前空間に追加します。
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
このアクションにより、Access Control名前空間の ACS 管理ポータルが開きます。
[ID プロバイダー] をクリックしてから [追加] をクリックします。
WS-Federation ID プロバイダーを選択してから [次へ] をクリックします。
表示名とログイン リンク テキストを入力します。 これらの値に特別な要件はありません。
WS-Federation メタデータ セクションで、[URL] をクリックし、アプリケーション ページからコピーしたフェデレーション メタデータ URL を貼り付けます。 その後、 [保存] をクリックします。
このページには [ログイン リンク テキスト] という役立つフィールドがもう 1 つあります。 このフィールドの値は、ユーザーがアプリケーションへのサインイン時に提供される ID プロバイダーの一覧に表示されます。
手順 4: アプリで Azure AD テナント ID プロバイダーを使用する
Azure AD テナントが、Access Control名前空間の ID プロバイダーとして登録されるようになりました。 ある程度まで、タスクは完了しています。 ただし、この手順では、新しい ID プロバイダーを Web アプリケーションの ID プロバイダーのオファリングに追加して使用する方法を示します。
アプリケーションの新しい ID プロバイダーを選択するには、次の標準手順を使用します。
Visual Studio 2012 を起動して、Web アプリケーションを開きます。
ソリューション エクスプローラーで、アプリケーション名を右クリックしてから [ID およびアクセス] をクリックします。
[プロバイダー] タブで、[Azure Access Control サービスの使用] をクリックします。
アプリケーションをアクセス制御名前空間に関連付けるには、名前空間の管理キーが必要です。 これを見つける方法は次のとおりです。
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[管理サービス] をクリックし、[管理クライアント] をクリックしてから [対称キー] をクリックします。
[キーの表示] をクリックし、キーの値をコピーしてから [キーを表示しない] をクリックします。
ここで、Visual Studio の [ACS 名前空間の構成] ダイアログ ボックスに戻り、アクセス制御名前空間の名前を入力して、管理キーの値を貼り付けます。
次に、名前空間の ID プロバイダーの一覧から Azure AD テナント ID プロバイダーを選択します。
アプリケーションの実行時に、ログイン ダイアログ ボックスの ID プロバイダー選択肢の中に Azure AD テナント ID プロバイダーが含まれています。 (このページに表示される名前は、ID プロバイダー設定ページの [ログイン リンク テキスト] フィールドで定義されます)。
Azure AD テナントを選択してから、組織アカウントでサインインします。
これで、アプリケーションにアクセスできます。 認証トークンは ID プロバイダーである Azure AD テナントに転送されます。