方法: ID プロバイダーとして Azure AD テナントを追加する

  • [アーティクル]

更新日: 2015 年 6 月 19 日

適用先:Azure

適用対象

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

概要

このトピックでは、Azure Active Directory (AD) テナントを Access Control 名前空間の ID プロバイダーの一覧に追加する方法について説明します。 この機能によって、名前空間に関連付けられているアプリケーションの ID プロバイダーとしてテナントを使用できるようになります。

処理は次の 2 つの主要要素で構成されています。

  1. Access Control名前空間を Azure AD テナントに Web アプリとして追加します。 これで、名前空間 (Web アプリケーション) が Azure AD からトークンを受け取れるようになります。

  2. AZURE AD テナントを ID プロバイダーとしてAccess Control名前空間に追加します。

残りの手順は ACS のすべての ID プロバイダーに共通です。 証明書利用者アプリケーションと、ID プロバイダーから証明書利用者アプリケーションに渡される ID 要求を決定するルールを追加することができます。

要件

このトピックの手順では以下のものが必要です。

  1. Azure サブスクリプション。 詳細については、「Azure のはじめに」を参照してください。

  2. Azure アクセス制御名前空間。 ヘルプについては、「方法: Access Control名前空間を作成する」を参照してください。

  3. Visual Studio 2012

手順の要約

Azure AD テナントを ID プロバイダーとして追加するには、以下の手順を実行します。

  • 手順 1: Access Control名前空間の名前を見つける

  • 手順 2: Access Control名前空間を Web アプリケーションとして追加する

  • 手順 3: Azure AD テナント ID プロバイダーを Access Control 名前空間に追加する

  • 手順 4: アプリで Azure AD テナント ID プロバイダーを使用する

手順 1: Access Control名前空間の名前を見つける

この手順では、次の手順で使用するために名前空間の名前をコピーします。 WS-Federation サインイン応答を受け取るエンドポイントにトークンを送信することを示す名前空間の名前が必要になります。

名前空間 URL は [管理ポータル] というラベルのフィールドにありますが、トークンはポータルではなく、指定されたエンドポイントに送信されます。

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [アプリケーションの統合] をクリックします。

  4. [管理ポータル] フィールドの値をコピーします。

    [管理ポータル] フィールドの URL の形式は以下のとおりです。

    < https:// Namespace.accesscontrol.windows.net/>

    値を保存します。 これは次の手順で必要になります。

[管理ポータル] フィールドの値は名前空間の名前と、WS-Federation サインイン応答を受け取るエンドポイントの URL です。

手順 2: Access Control名前空間を Web アプリケーションとして追加する

この手順では、Azure 管理ポータルの機能を使用して、Access Control名前空間を Azure AD テナントの Web アプリケーションとして追加します。 これで、テナントは Azure AD で生成されるトークンの受信者になります。

  1. Azure 管理ポータルに移動し、サインインします。 [Active Directory] をクリックし、ディレクトリをクリックし、[アプリケーション] をクリックして、[追加] をクリックします。

    Add an application to an Active Directory tenant

  2. アプリの名前を入力します。 [種類] フィールドで、[Web アプリケーションおよび/または Web API] (既定値) を選択します。 次の画面に進むには、矢印をクリックします。

    Add a name and type for the app

  3. [アプリの URL] と [アプリ ID URI] ボックスに、[アプリケーションの統合] ページの [管理ポータル] フィールドに表示されていた URL を貼り付けます。 続行するには、矢印をクリックします。

    アプリの URL は、ユーザーが正常に認証されたときにトークンが送信されるアドレスです。 アプリ ID URI はトークンの対象となるユーザーの URI です。 Access Control名前空間の entityID 以外の値を使用した場合、ACS はその値を中間者攻撃から再利用されるトークンとして解釈されます。

    貼り付けるときは、最後のスラッシュ (/) の後に末尾スペースや余分な文字を含めないように注意してください。 そうしないと、Azure AD は URL を無効とマークします。

    Add the URL and App ID Uri for the app

  4. [ディレクトリ アクセス] ページで、既定の設定である [シングル サインオン] を選択します。 ACS は Graph API を呼び出さないため、設定は使用されません。 処理を終了するには、チェック マークをクリックします。

    この時点で、Azure AD テナントはAccess Control名前空間について認識し、それに対してトークンを発行できます。

    Specify the access requirements of the app

  5. 最後のページで、フェデレーション メタデータ URL をコピーします。 これには数分かかります。

    このページに戻るには:

    • Azure 管理ポータルに移動し、サインインします。

    • Azure ディレクトリをクリックします。

    • [アプリケーション] をクリックします。

    • アプリケーションをクリックします。

    アプリケーションの [アプリのエンドポイント] ページにフェデレーション メタデータ URL も一覧表示されます。 このページを表示するには、アプリケーション ページで [エンドポイントの表示] をクリックします。

    Page announces that app is added

手順 3: Azure AD テナント ID プロバイダーを Access Control 名前空間に追加する

この手順では、Azure AD テナントのセキュリティ トークン サービス (STS) をAccess Control名前空間に追加します。

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

    このアクションにより、Access Control名前空間の ACS 管理ポータルが開きます。

    ACS Management Portal

  3. [ID プロバイダー] をクリックしてから [追加] をクリックします。

  4. WS-Federation ID プロバイダーを選択してから [次へ] をクリックします。

    Add an identity provider

  5. 表示名とログイン リンク テキストを入力します。 これらの値に特別な要件はありません。

  6. WS-Federation メタデータ セクションで、[URL] をクリックし、アプリケーション ページからコピーしたフェデレーション メタデータ URL を貼り付けます。 その後、 [保存] をクリックします。

    このページには [ログイン リンク テキスト] という役立つフィールドがもう 1 つあります。 このフィールドの値は、ユーザーがアプリケーションへのサインイン時に提供される ID プロバイダーの一覧に表示されます。

    Enter the Federation Metadata URL

手順 4: アプリで Azure AD テナント ID プロバイダーを使用する

Azure AD テナントが、Access Control名前空間の ID プロバイダーとして登録されるようになりました。 ある程度まで、タスクは完了しています。 ただし、この手順では、新しい ID プロバイダーを Web アプリケーションの ID プロバイダーのオファリングに追加して使用する方法を示します。

アプリケーションの新しい ID プロバイダーを選択するには、次の標準手順を使用します。

  1. Visual Studio 2012 を起動して、Web アプリケーションを開きます。

  2. ソリューション エクスプローラーで、アプリケーション名を右クリックしてから [ID およびアクセス] をクリックします。

  3. [プロバイダー] タブで、[Azure Access Control サービスの使用] をクリックします。

  4. アプリケーションをアクセス制御名前空間に関連付けるには、名前空間の管理キーが必要です。 これを見つける方法は次のとおりです。

    1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

    2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

    3. [管理サービス] をクリックし、[管理クライアント] をクリックしてから [対称キー] をクリックします。

    4. [キーの表示] をクリックし、キーの値をコピーしてから [キーを表示しない] をクリックします。

  5. ここで、Visual Studio の [ACS 名前空間の構成] ダイアログ ボックスに戻り、アクセス制御名前空間の名前を入力して、管理キーの値を貼り付けます。

    Enter the namespace name and key in Visual Studio

  6. 次に、名前空間の ID プロバイダーの一覧から Azure AD テナント ID プロバイダーを選択します。

    Select the AD Tenant identity provider

  7. アプリケーションの実行時に、ログイン ダイアログ ボックスの ID プロバイダー選択肢の中に Azure AD テナント ID プロバイダーが含まれています。 (このページに表示される名前は、ID プロバイダー設定ページの [ログイン リンク テキスト] フィールドで定義されます)。

    Select an identity provider

  8. Azure AD テナントを選択してから、組織アカウントでサインインします。

    Application sign-in page

これで、アプリケーションにアクセスできます。 認証トークンは ID プロバイダーである Azure AD テナントに転送されます。

参照

概念

ACS の利用方法