方法: AD FS 2.0 を ID プロバイダーとして構成する

  • [アーティクル]

更新日: 2015 年 6 月 19 日

適用先:Azure

適用対象

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

  • Active Directory® Federation Services 2.0

まとめ

この方法では、ID プロバイダーとして構成する方法について説明します。 ASP.NET Web アプリケーションの ID プロバイダーとして構成すると、ユーザーは Active Directory によって管理される企業アカウントにログオンして、ASP.NET Web アプリケーションに対する認証を行えます。

内容

  • 目標

  • 概要

  • 手順の要約

  • 手順 1 - ACS 管理ポータルで ID プロバイダーとして AD FS 2.0 を追加する

  • 手順 2 - ACS 管理ポータルで AD FS 2.0 から受信したトークンの暗号化を解除するために証明書を ACS に追加する (省略可能)

  • 手順 3 - AD FS 2.0 で Access Control 名前空間を証明書利用者として追加する

  • 手順 4 - AD FS 2.0 でAccess Control名前空間の要求規則を追加する

目標

  • ACS と .

  • トークンとメタデータの交換のセキュリティを強化します。

概要

ID プロバイダーとして構成すると、企業 Active Directory によって管理されている既存のアカウントを認証のために再利用できます。 これにより、複雑なアカウントの同期機構の構築、またはエンド ユーザー資格情報の承認、資格情報ストアに対する検証と ID 管理のタスクを実行するカスタム コードの開発の必要がなくなります。 ACS を統合し、構成によってのみ実現されます。カスタム コードは必要ありません。

手順の要約

  • 手順 1 - ACS 管理ポータルで ID プロバイダーとして AD FS 2.0 を追加する

  • 手順 2 - ACS 管理ポータルで AD FS 2.0 から受信したトークンの暗号化を解除するために証明書を ACS に追加する (省略可能)

  • 手順 3 - AD FS 2.0 で Access Control 名前空間を証明書利用者として追加する

  • 手順 4 - AD FS 2.0 でAccess Control名前空間の要求規則を追加する

手順 1 - ACS 管理ポータルで ID プロバイダーとして AD FS 2.0 を追加する

この手順では、ACS 管理ポータルで ID プロバイダーとして追加します。

ACCESS CONTROL名前空間に ID プロバイダーとして AD FS 2.0 を追加するには

  1. ACS 管理ポータルのメイン ページで、[ID プロバイダー] をクリックします。

  2. [ID プロバイダーの追加] をクリックします。

  3. [Microsoft Active Directory Federation Services 2.0] の横にある [追加] をクリックします。

  4. [表示名] フィールドに、この ID プロバイダーの表示名を入力します。 この名前は、ACS 管理ポータルと、アプリケーションのログイン ページに既定で表示されることに注意してください。

  5. WS-Federation メタデータ フィールドに、インスタンスのメタデータ ドキュメントの URL を入力するか、[ファイル] オプションを使用してメタデータ ドキュメントのローカル コピーをアップロードします。 URL を使用する場合、メタデータ ドキュメントへの URL パスは、管理コンソールの Service\Endpoints セクションにあります。 次の 2 つの手順では、証明書利用者アプリケーションのログイン ページ オプションを使用します。これらは省略可能でスキップできます。

  6. アプリケーションのログイン ページでこの ID プロバイダーについて表示されるテキストを編集する場合は、[ログイン リンク テキスト] フィールドに必要なテキストを入力します。

  7. アプリケーションのログイン ページでこの ID プロバイダーのイメージを表示する場合は、[イメージの URL] フィールドにイメージ ファイルへの URL を入力します。 理想的には、このイメージ ファイルは信頼されたサイトでホストする必要があり (可能な場合は HTTPS を使用して、ブラウザーのセキュリティ警告を防ぐために)、パートナーからこのイメージを表示するためのアクセス許可が必要です。 ログイン ページの設定に関するその他のガイダンスについては、 ログイン ページとホーム領域検出 に関するヘルプを参照してください。

  8. ユーザーに対して、リンクをクリックするのではなく、電子メール アドレスを使用してログオンするよう求める場合は、[電子メール ドメイン名] フィールドにこの ID プロバイダーに関連付ける電子メールのドメイン サフィックスを入力します。 たとえば、ID プロバイダーが、電子メール アドレスの末尾 @contoso.comのユーザー アカウントをホストする場合は、「contoso.com」と入力します。 サフィックスの一覧 (たとえば、contoso.com; fabrikam.com) を区切るには、セミコロンを使用します。 ログイン ページの設定に関するその他のガイダンスについては、 ログイン ページとホーム領域検出 に関するヘルプを参照してください。

  9. [証明書利用者アプリケーション] フィールドでは、この ID プロバイダーに関連付ける既存の証明書利用者アプリケーションを選択します。 これにより、そのアプリケーションのログイン ページに ID プロバイダーが表示され、要求を ID プロバイダーからアプリケーションに配信できるようになります。 配信する要求を定義する規則は引き続きアプリケーションの規則グループに追加する必要があることに注意してください。

  10. [保存] をクリックします。

手順 2 - ACS 管理ポータルで AD FS 2.0 から受信したトークンの暗号化を解除するために証明書を ACS に追加する (省略可能)

この手順では、 から受信したトークンの暗号化を解除するために証明書を追加して構成します。 これは、セキュリティの強化に役立つ省略可能な手順です。 具体的には、トークンの内容が表示され、改ざんされないように保護するうえで役立ちます。

AD FS 2.0 から受信したトークンを復号化するための証明書をAccess Control名前空間に追加するには (省略可能)

  2. Windows Live ID (Microsoft アカウント) を使用して認証されなかった場合は、認証を行う必要があります。

  3. Windows Live ID (Microsoft アカウント) で認証されると、Microsoft Azure ポータルの [マイ プロジェクト] ページにリダイレクトされます。

  4. [マイ プロジェクト] ページで必要なプロジェクト名をクリックします。

  5. [Project:<<プロジェクト名>>] ページで、目的の名前空間の横にある Access Control リンクをクリックします。

  6. [Access Control 設定: 名前空間>>] << ページで、[Access Controlの管理] リンクをクリックします。

  7. ACS 管理ポータルのメイン ページで、[証明書とキー] をクリックします。

  8. [トークン暗号化解除証明書の追加] をクリックします。

  9. [名前] フィールドに、証明書の表示名を入力します。

  10. [証明書] フィールドで、このAccess Control名前空間の秘密キー (.pfx ファイル) を含む X.509 証明書を参照し、[パスワード] フィールドに .pfx ファイルのパスワードを入力します。 証明書がない場合は、画面の指示に従って証明書を生成するか、証明書の取得に関する追加のガイダンスについては 、証明書とキー に関するヘルプを参照してください。

  11. [保存] をクリックします。

手順 3 - AD FS 2.0 で Access Control 名前空間を証明書利用者として追加する

この手順は、ACS を証明書利用者として構成するのに役立ちます。

AD FS 2.0 で証明書利用者としてAccess Control名前空間を追加するには

  1. 管理コンソールで、[ AD FS 2.0] をクリックし、[ 操作] ウィンドウで [ 証明書利用者信頼の追加 ] をクリックして証明書利用者信頼の追加ウィザードを開始します。

  2. [ようこそ] ページで、[開始] をクリックします。

  3. [データ ソースの選択] ページで、[オンラインまたはローカル ネットワークで発行された証明書利用者に関するデータのインポート] をクリックし、Access Control名前空間の名前を入力して、[次へ] をクリックします。

  4. [表示名の指定] ページで、表示名を入力してから [次へ] をクリックします。

  5. [発行承認規則の選択] ページで、[この証明書利用者へのアクセスをすべてのユーザーに許可] をクリックしてから [次へ] をクリックします。

  6. [信頼の追加の準備完了] ページで、証明書利用者の信頼の設定を確認してから [次へ] をクリックして構成を保存します。

  7. [完了] ページで、[閉じる] をクリックしてウィザードを終了します。 これにより、[WIF サンプル アプリケーションの要求規則の編集] プロパティ ページも開きます。 このダイアログ ボックスを開いたままにして、次の手順に進みます。

手順 4 - AD FS 2.0 でAccess Control名前空間の要求規則を追加する

この手順では、 で要求規則を構成します。 これにより、目的の要求が ACS に確実に渡されます。

AD FS 2.0 でAccess Control名前空間の要求規則を追加するには

  1. [要求規則の編集] プロパティ ページで、[発行変換規則] タブの [ルールの追加] をクリックして変換要求規則の追加ウィザードを開始します。

  2. [ルール テンプレートを選択します] ページで、[要求規則テンプレート] にあるメニューの [入力方向の要求をパススルーまたはフィルター] をクリックしてから、[次へ] をクリックします。

  3. [規則の構成] ページの [要求規則名] に、規則の表示名を入力します。

  4. [入力方向の要求の種類] ドロップダウン リストで、アプリケーションにパススルーされる ID 要求の種類を選択してから、[完了] をクリックします。

  5. [OK] をクリックしてプロパティ ページを閉じ、証明書利用者の信頼に対する変更を保存します。

  6. Access Control名前空間に発行する要求ごとに、手順 1 から 5 を繰り返します。

  7. [OK] をクリックします。