WS-Federation ID プロバイダー
更新日: 2015 年 6 月 19 日
適用先:Azure
WS-Federation ID プロバイダーは、WS-Federation プロトコルをサポートするカスタム ID プロバイダーであり、WS-Federation メタデータを使用してMicrosoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) で構成されます。 WS-Federation ID プロバイダーは、WS-Trust などの他のフェデレーション プロトコルもサポートする場合があります。 WS-Federation ID プロバイダーは、Web サイトと Web アプリケーションのシナリオで最もよく使用されます。このシナリオでは、WS-Federationパッシブ リクエスター プロファイルを使用して、Web ブラウザーを使用して ACS との間で必要なトークン リダイレクトを容易にします。
Microsoft Active Directory フェデレーション サービス 2.0
WS-Federation ID プロバイダーの一般的な例は です。 これを使用して、エンタープライズ Active Directory アカウントを ACS と統合できます。 ACS で ID プロバイダーを追加して構成するには、少なくとも 1 つのクレーム プロバイダー信頼 (たとえば、Active Directory Domain Services (AD DS) をインストールして操作する必要があります。 詳細については、「 方法: AD FS 2.0 を ID プロバイダーとして構成する」を参照してください。
ACS 管理ポータルでの構成
ACS 管理ポータルを使用してWS-Federation ID プロバイダーを構成する場合は、次のデータを入力する必要があります。
表示名 - ID プロバイダーの表示名を指定します。 この名前は ACS 管理ポータルでのみ使用されます。
WS-Federation メタデータ — 設定されたフェデレーション サービス (トークンや承認など) の構成情報 (つまり、フェデレーション メタデータ) およびそれらのサービスにアクセスするためのポリシーを含みます。 ACS に WS-Federation ID プロバイダーを追加する場合は、フェデレーション メタデータ ドキュメントの URL を入力するか、WS-Federation ID プロバイダーのメタデータ ドキュメントのローカル コピーをアップロードする必要があります。
警告
WS-Federation メタデータは、信頼できる WS-Federation ID プロバイダーからのみインポートしてください。
セキュリティ上の理由により、WS-Federation ID プロバイダーが HTTPS URL でフェデレーション メタデータ ドキュメントを公開することを強くお勧めします。 WS-Federation ID プロバイダーが HTTPS トークン発行エンドポイントのみを使用することもお勧めします。
ログイン リンク テキスト — Web アプリケーションのログイン ページ上でこの ID プロバイダー用に表示するテキストを指定します。 詳細については、「 ログイン ページ」と「ホーム領域検出」を参照してください。
イメージ URL (省略可能) - この ID プロバイダーのログイン リンクとして表示できる URL をイメージ ファイル (任意のロゴなど) に関連付けます。 このロゴは、ACS 対応 Web アプリケーションの既定のログイン ページと、カスタム ログイン ページのレンダリングに使用できる Web アプリケーションの JSON フィードに自動的に表示されます。 イメージ URL を指定しない場合、この ID プロバイダーのテキスト ログイン リンクが Web アプリケーションのログイン ページに表示されます。 イメージ URL を指定する場合は、ブラウザーにセキュリティ警告が表示されないように HTTP を使用して、信頼されているリソース (独自の Web サイトまたはアプリケーションなど) を指すようにすることを強くお勧めします。 また、幅が 240 ピクセルを超え、高さが 40 ピクセルを超えるイメージは、既定の ACS ホーム領域検出ページで自動的にサイズ変更されます。 このイメージを表示するには、パートナーからアクセス許可を取得することをお勧めします。
電子メール ドメイン名 (省略可能) — 電子メール アドレスを使用してログインするようにユーザーに求めるために、この ID プロバイダーでホストされる電子メール ドメイン サフィックスを指定できます。 指定しない場合は、このフィールドは空白のままにして、ダイレクト ログイン リンクを表示します。 一連のサフィックスを区切るにはセミコロンを使用します。 詳細については、「 ログイン ページ」と「ホーム領域検出」を参照してください。
証明書利用者アプリケーション — ID プロバイダーに関連付ける既存のすべての証明書利用者アプリケーションを指定します。 詳細については、「 証明書利用者アプリケーション」を参照してください。
ID プロバイダーが証明書利用者アプリケーションに関連付けられたら、その ID プロバイダーのルールを証明書利用者アプリケーションのルール グループに手動で生成するか追加して、構成を完了する必要があります。 ルールの作成の詳細については、「 ルール グループとルール」を参照してください。
サポートされている要求の種類
ユーザーは ID プロバイダーで認証されると、ID 要求を含むトークンを受け取ります。 要求は、電子メール アドレスや一意の ID など、ユーザーに関する情報の一部です。 ACS は、これらの要求を証明書利用者アプリケーションに直接渡すか、または証明書利用者が含む値に基づいて承認の決定を行うことができます。
既定では、ACS のクレームの種類は、SAML トークン仕様に準拠するための URI を使用して一意に識別されます。 これらの URI は他のトークン形式の ID 要求にも使用されます。
WS-Federation ID プロバイダーの場合、使用可能な要求の種類は、ACS にインポートされる ID プロバイダーのWS-Federation メタデータによって決まります。 インポートが完了すると、ID プロバイダーで使用できる要求の種類が ACS 管理ポータルの [ 要求規則の編集 ] ページに表示されます。 これらの要求の種類は、ACS 管理サービスの ClaimType エンティティからも表示されます。
ACS は、WS-Federationメタデータで使用できる要求の種類に加えて、WS-Federation ID プロバイダーごとに常に次の要求を発行します。
| 要求の種類 | URI | 説明 |
|---|---|---|
名前識別子 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
ID プロバイダーによって提供される、ユーザー アカウントの一意識別子です。 |
ID プロバイダー |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
選択した ID プロバイダーを使用してユーザーが認証されたことを証明書利用者アプリケーションに通知する ACS によって提供される要求。 この要求の値は、[ID プロバイダーの編集] ページの [領域] フィールドを使用して ACS 管理ポータルに表示されます。 |
注意
WS-Federation ID プロバイダーは、ID プロバイダーの WS-Federation メタデータ ドキュメントに明示的に記載されていない要求の種類を ACS に発行することもできます。 この場合、期待される要求の種類の URI を、選択するのではなく、規則に手動で入力できます。 ルールの詳細については、「 ルール グループとルール」を参照してください。
証明書の管理
WS-Federation ID プロバイダーの X.509 トークン署名証明書は、ACS 管理ポータルの ID プロバイダーのページに一覧表示されます。 証明書を監視し、証明書が有効であることを確認し、有効期限が切れる前に交換することが重要です。
WS-Federation ID プロバイダーの証明書を表示するには:
ACS 管理ポータルで、[ ID プロバイダー] をクリックします。
WS-Federation ID プロバイダーをクリックします。
ページの一番下にある [トークン署名証明書] セクションまでスクロールします。
WS-Federation ID プロバイダーの証明書の管理の詳細については、「 WS-Federation ID プロバイダー証明書」を参照してください。