このドキュメントはアーカイブされており、メンテナンスされていません。

方法:X.509 証明書を使用して ACS と ASP.NET Web アプリケーションの間の信頼を構成する

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

  • ASP.NET

このトピックでは、アプリケーションと ACS の間の信頼を構成する方法について説明します。信頼を確立するには、ASP.NET Web アプリケーションと ACS の間で交換されるトークンに署名します。

  • 目標

  • 概要

  • 手順の概要

  • 手順 1 - [トークン署名証明書] セクションに移動する

  • 手順 2 - X.509 証明書を使用して信頼を構成する

  • 手順 3 - web.config および ACS 管理ポータルの信頼に関連する属性を確認する

  • ACS 管理ポータルの信頼管理セクションについて理解します。

  • X.509 証明書を使用して信頼を管理します。

  • web.config および管理ポータルで必要な構成を確認します。

信頼の確立は、アプリケーションと ACS の間でトークンを正しく交換するために必要です。信頼により、トークンが転送中に改ざんされていないこと、さらに信頼できる相手から発行されたことが保証されます。ASP.NET Web アプリケーションでは、信頼は X.509 証明書を使用して管理され、ACS 管理ポータルおよび web.config の構成に基づきます。

ASP.NET Web アプリケーションと ACS の間に信頼を確立して管理するには、次の手順に従います。

  • 手順 1 - [トークン署名証明書] セクションに移動する

  • 手順 2 - X.509 証明書を使用して信頼を構成する

  • 手順 3 - web.config および ACS 管理ポータルの信頼に関連する属性を確認する

この手順では、ACS 管理ポータルの信頼管理セクションに移動する方法を示します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[証明書利用者アプリケーション] をクリックします。

  4. 証明書利用者アプリケーションをクリックします。

  5. [証明書利用者アプリケーションの編集] ページで、[トークン署名証明書] セクションまでスクロールします。

  6. 証明書を選択します。

この手順では、X.509 証明書を使用して ACS と ASP.NET Web アプリケーションの間の信頼を構成および管理する方法を示します。証明書利用者アプリケーションで Windows® Identity Foundation (WIF) を使用している場合は、X.509 証明書署名の資格情報を使用します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [証明書とキー] をクリックし、X.509 証明書を選択します。

  4. [トークン署名証明書またはキーの編集] ページで、次の値を指定します。

    • [名前]:ユーザーが選択する任意の名前。

    • [種類]:[X.509 証明書]

    • 証明書:ACS によって既定で作成される証明書を使用する場合、操作は必要ありません。独自の X.509 証明書をアップロードすることもできます。

      証明書はパスワードで保護する必要があります。通常、証明書の拡張子は .pfx です。独自の X.509 証明書をアップロードする場合、[パスワード] ボックスに .pfx ファイルのパスワードを入力します。

    • パスワード:既定の証明書を使用する場合、操作は必要ありません。証明書をアップロードする場合、その証明書をパスワードで保護する必要があります。[パスワード] ボックスに .pfx ファイルのパスワードを入力します。

  5. [保存] をクリックします。

トークンの署名または暗号化を行うために X.509 証明書を取得するには、いくつかの方法があります。使用する方法は、ユーザーの要件と組織で使用可能なツールによって異なります。

ローカル証明機関

組織が Active Directory 証明書サービス (AD CS) などの証明機関 (CA) をデプロイしている場合は、X.509 証明書を要求できます。具体的な手順や使用許可について、証明機関の管理者への問い合わせが必要になる場合があります。Active Directory 証明書サービスの詳細については、「Active Directory 証明書サービス」 (http://go.microsoft.com/fwlink/?linkid=208371) を参照してください。

商用の証明機関

Verisign などの商用の証明機関から X.509 証明書を購入することができます。これはラボ リリースであるため、ローカル証明機関を使用するか (利用可能な場合)、または自己署名証明書を生成する (下記を参照) ことを推奨します。

自己署名証明書の生成

ソフトウェアを利用して、ACS で使用する独自の自己署名証明書を生成できます。この方法は通常、テスト目的でのみ推奨され、ローカル CA へのアクセス権がない人物や商用 CA を利用していない人物によって実行できます。Windows を実行している場合は、Windows SDK (http://go.microsoft.com/fwlink/?linkid=84091) の一部として MakeCert.exe をダウンロードし、証明書の生成に使用できます。

自己署名証明書のエクスポート

自己署名証明書をエクスポートする方法については、「証明書とキー」を参照してください。

この手順では、ASP.NET Web アプリケーションの web.config に含まれる信頼に関連する構成属性を確認する方法を示します。

  1. ASP.NET Web アプリケーションの web.config ファイルを開きます。

  2. [audiencesUris] ノードに移動し、その子である [add] ノードの値が、ACS 管理ポータルの [証明書利用者の編集] ページにある [領域] プロパティ フィールドに入力した値と同一であることを確認します。

    1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

    2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

    3. [証明書利用者アプリケーション] をクリックします。

    4. [証明書利用者アプリケーション] ページで、必要なアプリケーションをクリックします。

    5. [証明書利用者アプリケーションの編集] ページで、[領域] 属性を確認します。

関連項目

表示: