方法:規則を使用してトークン変換ロジックを実装する
TOC
目次を折りたたむ
目次を展開する
ドキュメントはアーカイブされており、ここに掲載されている情報は古くなっている可能性があります

方法:規則を使用してトークン変換ロジックを実装する

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

このトピックでは、ACS 管理ポータルを使用して、入力要求を出力要求に変換する規則を作成する方法を説明します。

  • 目標

  • 概要

  • 手順の概要

  • 手順 1 – 管理ポータルの [規則グループ] ページに移動する

  • 手順 2 - 新しい規則を自動生成する

  • 手順 3 - パススルー規則を作成する

  • 手順 4 – 高度な変換規則を作成する

  • 手順 5 - 使用可能な規則グループを確認する

  • 手順 6 - 特定の規則グループで使用する証明書利用者を構成する

  • アクセス制御管理ポータルの要求変換規則に関するセクションについて理解します。

  • 基本的な規則を作成します。

  • 高度な規則を作成します。

  • ID プロバイダーの要求に基づいて規則を作成します。

  • ACS の要求に基づいて規則を作成します。

要求規則には、ACS の入力要求を出力要求に変換するためのロジックを記述します。規則は、証明書利用者アプリケーションに関連付けられている規則グループに格納されています。証明書利用者アプリケーションの ACS に対してトークンが発行されるたびに、これらの規則が実行されます。規則グループに規則が含まれていない場合、ACS は証明書利用者アプリケーションに対してトークンを発行しません。

トークン要求変換の規則を作成するには、次の手順に従います。シナリオによっては、一部の手順を省略することができます。

  • 手順 1 – 管理ポータルの [規則グループ] ページに移動する

  • 手順 2 - 新しい規則を自動生成する

  • 手順 3 - パススルー規則を作成する

  • 手順 4 – 高度な変換規則を作成する

  • 手順 5 - 使用可能な規則グループを確認する

  • 手順 6 - 特定の規則グループで使用する証明書利用者を構成する

この手順では、管理ポータルの [規則グループ] ページに移動する方法を示します。このページで規則を作成し、規則グループに追加することができます。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を作成するには、[新規] をクリックして [App サービス] をクリックし、[アクセス制御] をクリックしてから [簡易作成] をクリックします。または、[アクセス制御名前空間][新規] を順にクリックします。

  3. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  4. [アクセス制御サービス] ページで、[規則グループ] をクリックします。

この手順では、基本的な既定の規則を生成する方法を示します。

  1. [ルール グループ] をクリックします。

  2. 新しい規則グループを作成するには、[規則グループ] ページで、[追加] をクリックします。

  3. 新しい規則グループの名前を入力し、[保存] をクリックします。

  4. 基本的な規則を自動生成するには、[規則の生成] をクリックします。

  5. [規則の生成] ページで、生成する規則の隣にあるチェック ボックスで ID プロバイダーを指定し、[生成] をクリックします。

  6. 自動生成された規則を確認します。たとえば、Google および Windows Live ID (Microsoft アカウント) に対して自動生成される規則は、次の表に示すような結果になります。ID プロバイダーが表示されたら、[保存] をクリックします。

     

    出力要求 要求発行者 規則の説明

    emailaddress

    Google

    Google からの "emailaddress" 要求を "emailaddress" としてパススルー

    name

    Google

    Google からの "name" 要求を "name" としてパススルー

    nameidentifier

    Google

    Google からの "nameidentifier" 要求を "nameidentifier" としてパススルー

    nameidentifier

    Windows Live ID

    Windows Live ID からの "nameidentifier" 要求を "nameidentifier" としてパススルー

  7. 必要な ID プロバイダーが表示されない場合は、管理ポータルの [ID プロバイダー] ページに戻って指定する必要があります。

  8. ID プロバイダーを追加するには、次の操作方法に関するトピックで説明する手順に従います。

この手順では、パススルー規則を作成する方法を示します。パススルー規則とは、出力要求と入力要求がまったく同じになる規則です。

  1. [ルール グループ] をクリックします。

  2. [規則グループ] ページで、必要な規則グループをクリックし、[追加] をクリックします。

  3. [要求規則の追加] ページで、次の属性を指定します。

    • [要求発行者] - ドロップダウン リストから必要な ID プロバイダーを選択するか (たとえば、Google や Windows Live ID)、または [アクセス制御サービス] ラジオ ボタンをクリックします。

    • [(および) 入力要求の種類] - [任意] を選択してすべての入力要求を指定するか、またはドロップダウン リストから特定の要求タイプを選択します。

    • [(および) 入力要求の値] - [任意] を選択してすべての要求値をパススルーするよう指定するか、または [値の入力] ボックスに特定の要求値を入力し、指定された要求値のみをパススルーするよう指定します。

    • [出力要求の種類] - [入力要求の種類のパススルー] ラジオ ボタンを選択し、特定の要求の種類を指定します。

    • [出力要求の値] - [入力要求の値のパススルー] ラジオ ボタンを選択し、特定の要求の値を指定します。

    • 必要に応じて (推奨されます)、規則の説明を追加し、[保存] をクリックします。

この手順では、自動生成された規則やパススルー規則ではなく、高度な変換規則を作成する方法を示します。

  1. [ルール グループ] をクリックします。

  2. [規則グループ] ページで、必要な規則グループをクリックし、[追加] をクリックします。

  3. [要求規則の追加] ページで、次の属性を指定します。

    • [要求発行者] - Windows Live ID、Google、Facebook、および Yahoo! のような ID プロバイダーからの要求を変換する場合は、特定の [ID プロバイダー] ラジオ ボタンを選択します。サービス ID の要求 (Web サービスの場合) または他の規則から出力された要求を変換する場合は、[アクセス制御サービス] を選択します。

    • [(および) 入力要求の種類] - 変換する要求の種類をドロップダウン ボックスから選択します。必要な要求の種類が一覧にない場合は、[種類の入力] テキスト ボックスに要求の種類を入力します。

    • [(および) 入力要求の値] - 入力した値に一致する要求のみを変換する場合は、[値の入力] テキスト ボックスに特定の値を指定します。

    • [出力要求の種類] - 入力要求にマップする出力要求の種類を選択します。必要な要求の種類が一覧にない場合は、[種類の入力] テキスト ボックスに要求の種類を入力します。

    • [出力要求の値] - 出力要求に定数値を生成する場合は、[値の入力] テキスト ボックスに特定の値を指定します。

この手順では、要求変換規則が含まれている規則グループを確認する方法を示します。規則グループは、証明書利用者アプリケーションに直接関連付けられています。1 つの規則グループは、1 つ以上の証明書利用者アプリケーションで使用することができ、1 つの証明書利用者アプリケーションは 1 つ以上の規則グループを参照できます。使用可能な規則グループを確認するには、上記の「手順 1 – 管理ポータルの [規則グループ] ページに移動する」で説明した手順に従います。

この手順では、証明書利用者 (Web アプリケーションまたは RESTful Web サービス) に特定の規則グループを設定する方法を示します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [証明書利用者アプリケーション] をクリックします。

  4. [証明書利用者アプリケーション] ページで、必要な証明書利用者をクリックします。

  5. [規則グループ] セクションまでスクロールし、この証明書利用者に適用する規則グループをすべて選択します。

  6. [保存] をクリックします。

表示:
© 2016 Microsoft