エクスポート (0) 印刷
すべて展開

証明書利用者アプリケーション

発行: 2011年4月

更新日: 2015年3月

適用対象: Azure

証明書利用者アプリケーション (要求対応アプリケーションまたは要求ベース アプリケーションとも呼ばれる) とは、認証要求に依存するアプリケーションまたはサービスのことです。Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS) では、証明書利用者アプリケーションは、ACS を使用してフェデレーション認証を実装する Web サイト、アプリケーションまたはサービスです。

証明書利用者アプリケーションの作成と構成は、手動、ACS 管理ポータルを使用、プログラムを使用、ACS 管理サービスを使用のいずれかの方法で行うことができます。

ACS 管理ポータルでは、追加および構成する証明書利用者アプリケーションは、特定の アクセス制御名前空間 を信頼する Web サイト、アプリケーションまたはサービスを論理的に表現したものです。各 アクセス制御名前空間 に多くの証明書利用者アプリケーションを追加および構成することができます。

ACS 管理ポータルを使用して、証明書利用者アプリケーションの次のプロパティを構成することができます。

Mode プロパティでは、証明書利用者アプリケーションの設定を手動で構成するかどうか、あるいはアプリケーションの設定を定義する WS-Federation メタデータ ドキュメントを指定するかどうかを決定します。

WS-Federation メタデータ ドキュメントには、通常、アプリケーションの領域およびリターン URL が含まれます。ACS によってアプリケーションに対して発行されるトークンを暗号化するために使用される省略可能な暗号化証明書を含めることもできます。WS-Federation ドキュメントが指定されており、メタデータに暗号化証明書が含まれている場合、トークンの暗号化ポリシー は既定で「暗号化を必要とする」に設定されます。「トークンの暗号化ポリシー」設定の値は「暗号化を必要とする」であるが、WS-Federation メタデータ ドキュメントに暗号化証明書が含まれていない場合は、暗号化証明書を手動でアップロードする必要があります。

証明書利用者アプリケーションが Windows Identity Foundation (WIF) と統合されている場合、アプリケーションの WS-Federation メタデータ ドキュメントは WIF によって自動的に作成されます。

領域プロパティでは、ACS によって発行されるトークンが有効である URI を定義します。リターン URL (ReplyTo アドレスとも呼ばれる) は、ACS 発行のトークンが送信される URL を定義します。トークンが証明書利用者アプリケーションへのアクセスのために要求されると、ACS は、トークン要求の領域が証明書利用者アプリケーションの領域と一致する場合にのみ、トークンを発行します。

Important重要
ACS では、領域値は大文字と小文字が区別されます。

ACS 管理ポータルで、各 アクセス制御名前空間 に領域およびリターン URL をそれぞれ 1 つのみ構成できます。最も単純なケースでは、領域およびリターン URL は同じです。たとえば、アプリケーションのルート URI が https://contoso.com である場合、証明書利用者アプリケーションの領域およびリターン URL は https://contoso.com になります。

証明書利用者アプリケーションに対して複数のリターン URL (ReplyTo アドレス) を構成するには、ACS 管理サービスで RelyingPartyAddress エンティティを使用します。

トークンが ACS から要求されたか、トークンが ID プロバイダーから ACS にポストされた場合、ACS はトークン要求の領域値と証明書利用者アプリケーションの領域値を比較します。トークン要求で WS-Federation プロトコルを使用する場合、ACS は wtrealm パラメーターの領域値を使用します。トークンで OAuth WRAP プロトコルを使用する場合、ACS は applies_to パラメーターの領域値を使用します。ACS は、証明書利用者アプリケーションの構成設定で一致する領域を検出した場合、証明書利用者アプリケーションに対してユーザーを認証するトークンを作成し、そのトークンをリターン URL に送信します。

プロセスは、証明書利用者に複数のリターン URL が構成されている場合と似ています。ACS は wreply パラメーターからリダイレクト URL を取得します。リダイレクト URL が証明書利用者アプリケーションのリターン URL の 1 つである場合、ACS はその URL に応答を送信します。

領域値では大文字と小文字が区別されます。トークンが発行されるのは、領域値が同一であるか、証明書利用者アプリケーションの領域値がトークン要求における領域のプレフィックスである場合のみです。たとえば、http://www.fabrikam.com の証明書利用者アプリケーション領域値は http://www.fabrikam.com/billing のトークン要求領域値と一致しますが、http://fabrikam.com のトークン要求領域値とは一致しません。

エラー URL は、ログイン プロセス中にエラーが発生した場合に、ACS がユーザーをリダイレクトする URL を指定します。これは、証明書利用者アプリケーションの省略可能なプロパティです。

エラー URL の値には、http://www.fabrikam.com/billing/error.aspx など、証明書利用者アプリケーションによってホストされるカスタム ページを指定することができます。リダイレクト時に、ACS は JSON でエンコードされた HTTP URL パラメーターとして、証明書利用者アプリケーションにエラーに関する詳細を提供します。カスタム エラー ページを作成して、JSON でエンコードされたエラー情報を解釈し、実際のエラー メッセージや静的なヘルプ テキストを表示することができます。

エラー URL の使用方法の詳細については、「コード サンプル:単純な ASP.NET MVC 2」を参照してください。

トークン形式プロパティは、証明書利用者アプリケーションに対して ACS が発行するトークンの形式を決定します。ACS は SAML 2.0、SAML 1.1、SWT または JWT トークンを発行できます。トークン形式の詳細については、「ACS でサポートされるトークン形式」を参照してください。

ACS は標準プロトコルを使用して、トークンを Web アプリケーションまたはサービスに返します。トークン形式で複数のプロトコルがサポートされている場合、ACS はトークン要求で使用されたものと同じプロトコルを使用します。ACS は次のトークン形式/プロトコルの組み合わせをサポートします。

  • ACS は WS-Trust および WS-Federation プロトコルを使用して、SAML 2.0 トークンを返すことができます。

  • ACS は WS-Federation および関連する WS-Trust プロトコルを使用して、SAML 1.1 トークンを返すことができます。

  • ACS は WS-Federation、WS-Trust、OAuth-WRAP および OAuth 2.0 プロトコルを使用して、SWT トークンを返すことができます。

  • ACS は WS-Federation、WS-Trust および OAuth 2.0 プロトコルを使用し、JWT トークンを発行して返すことができます。

ACS が使用する標準プロトコルの詳細については、「ACS でサポートされているプロトコル」を参照してください。

トークン形式を選択する際には、アクセス制御名前空間 が発行したトークンにどのように署名するかを考慮してください。ACS で発行されるすべてのトークンに署名する必要があります。詳細については、「トークンの署名」を参照してください。

また、トークンを暗号化するかどうかも考慮してください。詳細については、「トークンの暗号化ポリシー」を参照してください。

トークンの暗号化ポリシーは、証明書利用者アプリケーションに対して ACS が発行するトークンを暗号化するかどうかを決定します。暗号化が必要になるようにするには、「暗号化を必要とする」の値を選択します。

ACS で暗号化ポリシーを構成できるのは、SAML 2.0 または SAML 1.1 トークンに対してのみです。ACS では、SWT や JWT トークンの暗号化はサポートされていません。

ACS は公開キーを含む X.509 証明書 (.cer ファイル) を使用して、SAML 2.0 および SAML 1.1 トークンを暗号化します。その後、これらの暗号化されたトークンは、証明書利用者アプリケーションが所有する秘密キーを使用して復号化されます。暗号化証明書の取得および使用の詳細については、「証明書とキー」を参照してください。

ACS 発行のトークンに対する暗号化ポリシーの構成は省略できます。ただし、証明書利用者アプリケーションが、WS-Trust プロトコルで所有の証明トークンを使用している Web サービスの場合、暗号化ポリシーを構成する必要があります。この特定のシナリオは暗号化されたトークンを使用しないと正しく機能しません。

トークンの有効期間プロパティは、証明書利用者アプリケーションに対して ACS が発行するセキュリティ トークンが有効な期間 (秒単位) を指定します。既定値は 600 (10 分) です。ACS では、トークンの有効期間値をゼロ (0) から 86400 (24 時間) の範囲で指定する必要があります。

ID プロバイダー プロパティは、要求を証明書利用者アプリケーションに送信できる ID プロバイダーを指定します。これらの ID プロバイダーは、Web アプリケーションまたはサービスの ACS ログイン ページに表示されます。ACS ポータルの「ID プロバイダー」セクションで構成されたすべての ID プロバイダーは、ID プロバイダー一覧に表示されます。一覧に ID プロバイダーを追加するには、「ID プロバイダー」をクリックします。

各証明書利用者アプリケーションを 0 個以上の ID プロバイダーに関連付けることができます。アクセス制御名前空間 の証明書利用者アプリケーションは、同じ ID プロバイダーまたは別の ID プロバイダーに関連付けることができます。証明書利用者アプリケーションの ID プロバイダーを選択しない場合は、証明書利用者アプリケーションに対して ACS での直接認証を構成する必要があります。たとえば、サービス ID を使用して直接認証を構成することができます。詳細については、「サービス ID」を参照してください。

ルール グループ プロパティは、要求の処理時に証明書利用者アプリケーションが使用するルールを決定します。

各 ACS 証明書利用者アプリケーションを 1 つ以上のルール グループに関連付ける必要があります。トークン要求が、ルール グループのない証明書利用者アプリケーションと一致する場合、ACS は Web アプリケーションやサービスにトークンを発行しません。

ACS ポータルの「ルール グループ」セクションで構成されたすべてのルール グループは、ルール グループ一覧に表示されます。一覧にルール グループを追加するには、「ルール グループ」をクリックします。

ACS 管理ポータルで新しい証明書利用者アプリケーションを追加すると、既定で「新しいルール グループの作成」オプションが選択されます。新しい証明書利用者アプリケーションには新しいルール グループを作成することを強くお勧めします。ただし、証明書利用者アプリケーションを既存のルール グループに関連付けることはできます。これを行うには、「新しいルール グループの作成」オプションをオフにして、必要なルール グループを選択します。

証明書利用者アプリケーションは複数のルール グループに関連付けることができます (さらに、ルール グループを複数の証明書利用者アプリケーションに関連付けることができます)。証明書利用者アプリケーションが複数のルール グループに関連付けられている場合、ACS は、すべてのルール グループのルールを、それらが単一のルール グループのルールである場合と同じように、再帰的に評価します。

ルールとルール グループの詳細については、「規則グループと規則」を参照してください。

トークンの署名プロパティは、ACS が発行するセキュリティ トークンの署名方法を指定します。ACS で発行されるすべてのトークンに署名する必要があります。

使用できるトークンの署名オプションは、証明書利用者アプリケーションのトークン形式によって異なります。(トークン形式の詳細については、「トークン形式」を参照してください。)

  • SAML トークン:X.509 証明書を使用してトークンに署名します。

  • SWT トークン:対称キーを使用してトークンに署名します。

  • JWT トークン:X.509 証明書または対称キーを使用してトークンに署名します。

X.509 証明書のオプション。次のオプションは X.509 証明書で署名されたトークンで使用できます。

  • サービスの名前空間証明書を使用 (標準)—このオプションを選択すると、ACS は アクセス制御名前空間 の証明書を使用して、証明書利用者アプリケーションの SAML 1.1 および SAML 2.0 トークンに署名します。名前空間公開キーが アクセス制御名前空間 の WS-Federation メタデータで公開されるため、WS-Federation メタデータを使用して Web アプリケーションまたはサービスの構成を自動化する予定の場合は、このオプションを使用します。WS-Federation メタデータ ドキュメントの URL は、ACS 管理ポータルの「アプリケーションの統合」ページに表示されます。

  • 専用の証明書を使用—このオプションを選択すると、ACS はアプリケーション固有の証明書を使用して、証明書利用者アプリケーションの SAML 1.1 および SAML 2.0 トークンに署名します。この証明書は他の証明書利用者アプリケーションには使用されません。このオプションを選択したら、秘密キーを含む X.509 証明書 (.pfx ファイル) を参照してから、.pfx ファイルのパスワードを入力します。

noteメモ
JWT トークン。証明書利用者アプリケーションの JWT トークンに署名するために Access Control 名前空間の X.509 証明書を使用するように証明書利用者アプリケーションを構成すると、Access Control 名前空間証明書と Access Control 名前空間キーへのリンクが、ACS 管理ポータルの証明書利用者アプリケーションのページに表示されます。ただし、ACS は名前空間証明書のみを使用して、証明書利用者アプリケーションのトークンに署名します。

管理対象名前空間。証明書利用者アプリケーションを管理対象の名前空間 (Service Bus 名前空間など) に追加する際に、アプリケーション固有の (専用の) 証明書やキーは入力しないでください。代わりに、管理対象名前空間内のすべてのアプリケーション用に構成されている証明書とキーを使用するように ACS に指示するオプションを選択します。詳細については、「管理対象名前空間」を参照してください。

共有および専用の証明書とキーの詳細については、「証明書とキー」を参照してください。

対称キーのオプション

セキュリティのベスト プラクティスとして、対称キーを使用する場合は、アクセス制御名前空間 の共有対称キーを使用するのではなく、各証明書利用者アプリケーションの専用キーを作成します。専用キーを入力または生成すると、ACS は、専用キーが有効である限り、その専用キーを使用して証明書利用者アプリケーションのトークンに署名します。ただし、専用キーが期限切れになり、置き換えられないと、ACS は共有名前空間キーを使用して、証明書利用者アプリケーションのトークンに署名します。

共有対称キーを使用することにした場合は、「証明書とキー」ページからサービス名前空間キーの値をコピーして、「証明書利用者アプリケーション」ページの「トークンの署名」セクションにあるフィールドに貼り付けます。

次のオプションは対称キーで署名されたトークンに使用できます。

  • トークン署名キー—256 ビットの対称キーを入力するか、「生成」をクリックして 256 ビットの対称キーを生成します。

  • 有効日—対称キーが有効である日付範囲の開始日を指定します。この日以降、ACS は対称キーを使用して、証明書利用者アプリケーションのトークンに署名します。ACS の既定値は現在の日付です。

  • 有効期限—対称キーが有効である日付範囲の終了日を指定します。この日以降、ACS は対称キーを使用して、証明書利用者アプリケーションのトークンに署名しません。既定値はありません。セキュリティのベスト プラクティスとして、アプリケーションの要件に応じて、対称キーを毎年または 2 年ごとに置き換える必要があります。

トークンの暗号化証明書オプションは、証明書利用者アプリケーションのトークンを暗号化するために使用される X.509 証明書 (.cer ファイル) を指定します。ACS で暗号化できるのは、SAML 2.0 または SAML 1.1 トークンのみです。ACS は SWT や JWT トークンの暗号化をサポートしません。

ACS ポータルの「証明書とキー」セクションで、トークン暗号化のための証明書を指定します。「証明書利用者アプリケーション」ページの「トークンの暗号化ポリシー」セクションにある「ここをクリックしてください」リンクをクリックすると、証明書とキーの「トークン暗号化証明書の追加」ページが開きます。このページを使用して、証明書ファイルを指定します。

詳細については、「トークンの暗号化ポリシー」を参照してください。暗号化証明書の取得および追加の詳細については、「証明書とキー」を参照してください。

関連項目

コミュニティの追加

追加
表示:
© 2015 Microsoft