このドキュメントはアーカイブされており、メンテナンスされていません。

WS-Federation ID プロバイダー

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

WS-Federation ID プロバイダーは、WS-Federation プロトコルをサポートし、WS-Federation メタデータを使用して Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS) で構成されるカスタム ID プロバイダーです。WS-Federation ID プロバイダーは、WS-Trust などの他のフェデレーション プロトコルもサポートする場合があります。WS-Federation ID プロバイダーは Web サイトおよび Web アプリケーションのシナリオで最も頻繁に使用されます。この場合、WS-Federation のパッシブな要求者プロファイルを使用して、Web ブラウザーでの ACS に対する必要なトークンのリダイレクトを容易にします。

WS-Federation ID プロバイダーの一般的な例は です。これを使用して、エンタープライズの Active Directory アカウントを ACS に統合できます。ACS で を ID プロバイダーとして追加および構成する前に、 をインストールして、少なくとも 1 つの Claims Provider Trust (たとえば、Active Directory ドメイン サービス (AD DS)) と連携するようにしておく必要があります。詳細については、「方法:AD FS 2.0 を ID プロバイダーとして構成する」を参照してください。

ACS 管理ポータルを使用して WS-Federation ID プロバイダーを構成する場合は、次のものを指定する必要があります。

  • 表示名 - ID プロバイダーの表示名を指定します。この名前は、ACS 管理ポータルのみで使用されます。

  • WS-Federation メタデータ — 設定されたフェデレーション サービス (トークンや承認など) の構成情報 (つまり、フェデレーション メタデータ) およびそれらのサービスにアクセスするためのポリシーを含みます。ACS で WS-Federation ID プロバイダーを追加する場合は、WS-Federation ID プロバイダーのメタデータ ドキュメントへの URL を入力するか、このメタデータ ドキュメントのローカル コピーをアップロードする必要があります。

    Caution注意
    WS-Federation メタデータは、信頼できる WS-Federation ID プロバイダーからのみインポートしてください。

    セキュリティ上の理由により、WS-Federation ID プロバイダーが HTTPS URL でフェデレーション メタデータ ドキュメントを公開することを強くお勧めします。WS-Federation ID プロバイダーが HTTPS トークン発行エンドポイントのみを使用することもお勧めします。

  • ログイン リンク テキスト — Web アプリケーションのログイン ページ上でこの ID プロバイダー用に表示するテキストを指定します。詳細については、「ログイン ページとホーム領域検出」を参照してください。

  • イメージ URL (省略可能) - この ID プロバイダーのログイン リンクとして表示できる URL をイメージ ファイル (任意のロゴなど) に関連付けます。このロゴは、ACS 対応 Web アプリケーションの既定のログイン ページと、カスタム ログイン ページの表示に使用できる Web アプリケーションの JSON フィードに自動的に表示されます。イメージ URL を指定しない場合、この ID プロバイダーのテキスト ログイン リンクが Web アプリケーションのログイン ページに表示されます。イメージ URL を指定する場合は、ブラウザーにセキュリティ警告が表示されないように HTTP を使用して、信頼されているリソース (独自の Web サイトまたはアプリケーションなど) を指すようにすることを強くお勧めします。また、幅が 240 ピクセルを超え、高さが 40 ピクセルを超えるイメージは、既定の ACS ホーム領域検出ページで自動的にサイズ変更されます。この画像を表示するために パートナーから許可を得ることをお勧めします。

  • 電子メール ドメイン名 (省略可能) — 電子メール アドレスを使用してログインするようにユーザーに求めるために、この ID プロバイダーでホストされる電子メール ドメイン サフィックスを指定できます。指定しない場合は、このフィールドは空白のままにして、ダイレクト ログイン リンクを表示します。一連のサフィックスを区切るにはセミコロンを使用します。詳細については、「ログイン ページとホーム領域検出」を参照してください。

  • 証明書利用者アプリケーション — ID プロバイダーに関連付ける既存のすべての証明書利用者アプリケーションを指定します。詳細については、「証明書利用者アプリケーション」を参照してください。

ID プロバイダーが証明書利用者アプリケーションに関連付けられたら、その ID プロバイダーのルールを証明書利用者アプリケーションのルール グループに手動で生成するか追加して、構成を完了する必要があります。ルール作成の詳細については、「規則グループと規則」を参照してください。

ユーザーは ID プロバイダーで認証されると、ID 要求を含むトークンを受け取ります。要求は、電子メール アドレスや一意の ID などの、ユーザーに関するいくつかの情報です。ACS はこれらの要求を直接証明書利用者アプリケーションにパススルーしたり、中に含まれる値に基づいて承認決定を行うことができます。

既定では、ACS における要求の種類は、SAML トークン仕様に準拠するために URI を使用して一意に識別されます。これらの URI は他のトークン形式の ID 要求にも使用されます。

WS-Federation ID プロバイダーの場合、使用可能な要求の種類は、ACS にインポートされる ID プロバイダーの WS-Federation メタデータによって決まります。インポートが完了すると、ID プロバイダーで使用可能な要求の種類が ACS 管理ポータルの [要求規則の編集] ページに表示されます。これらの要求の種類は、ACS 管理サービスの ClaimType エンティティでも表示されます。

WS-Federation メタデータを通じて使用可能な要求の種類に加えて、ACS は常に、WS-Federation ID プロバイダーごとに次の要求を発行します。

 

要求の種類 URI 説明

名前識別子

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

ID プロバイダーによって提供される、ユーザー アカウントの一意識別子です。

ID プロバイダー

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS によって提供される要求であり、選択した ID プロバイダーを使用してユーザーが認証したことを利用者アプリケーションに伝えます。この要求の値は、ACS 管理ポータルの [ID プロバイダーの編集] ページにある [領域] フィールドで表示できます。

noteメモ
WS-Federation ID プロバイダーは、ID プロバイダーの WS-Federation メタデータ ドキュメントに明示的に示されていない要求の種類を ACS に発行することもできます。この場合、期待される要求の種類の URI を、選択するのではなく、規則に手動で入力できます。規則の詳細については、「規則グループと規則」を参照してください。

Ws-federation ID プロバイダーの X.509 トークンの署名証明書は ACS 管理ポータルの ID プロバイダーのページに一覧表示されます。証明書を監視し、証明書が有効であることを確認し、有効期限が切れる前に交換することが重要です。

WS-Federation ID プロバイダーの証明書を表示するには:

  1. ACS 管理ポータルで、[ID プロバイダー] をクリックします。

  2. WS-Federation ID プロバイダーをクリックします。

  3. ページの一番下にある [トークン署名証明書] セクションまでスクロールします。

WS-Federation ID プロバイダーの証明書の管理についての詳細は、「WS-Federation identity provider certificate」を参照してください。

関連項目

表示: