このドキュメントはアーカイブされており、メンテナンスされていません。

ログイン ページとホーム領域検出

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS) には、Web サイトまたはアプリケーション用にフェデレーション ログイン ページを生成するための 2 つの簡単な方法が用意されています。

ACS は、証明書利用者アプリケーションで使用できる基本的なフェデレーション ログイン ページをホストします。このログイン ページは名前空間の WS-Federation プロトコル エンドポイントでホストされ、次の形式で URL によってアクセスできます。

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

この URL で、<YourNamespace> はご使用の アクセス制御名前空間 の名前に置き換えてください。さらに、この URL では次のパラメーターが必要です。

  • wa - wsignin1.0 に設定します。

  • wtrealm - 証明書利用者アプリケーションの領域の値に設定します。領域の値を見つけるには、ACS 管理ポータルで、[証明書利用者アプリケーション] をクリックし、アプリケーションを選択して、[領域] フィールドを確認します。

証明書利用者アプリケーションのログイン ページのリンクを見つけるには:

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [アプリケーションの統合] をクリックし、[ログイン ページ] をクリックしてから証明書利用者アプリケーションを選択します。

    [ログイン ページの統合] ページに、アプリケーションのログイン ページ オプションが表示されます。

次の画像は、Windows Live ID (Microsoft アカウント)、Google、Yahoo!、Facebook、および架空の WS-Federation ID プロバイダーである "Contoso Corp" をサポートするアプリケーションの既定のログイン ページを示しています。

ACS 2.0 ログイン ページ

WS-Federation ID プロバイダーのボタンを電子メール アドレスのテキスト ボックスで置き換えるには、WS-Federation ID プロバイダーのログイン ページのリンクに電子メール アドレスのサフィックスを追加します。この手法は、証明書利用者アプリケーションに対して多くの WS-Federation ID プロバイダーが構成されている場合に有効です。次の画像は、サンプル ページを示しています。

ACS 2.0 ログイン ページ

ACS と証明書利用者アプリケーションとの統合を迅速化するため、ACS でホストされた既定のログイン ページを使用します。このページのレイアウトと外観をカスタマイズするには、既定のログイン ページを HTML ファイルとして保存し、HTML および JavaScript をアプリケーションにコピーしてカスタマイズします。

フェデレーション ログイン ページの外観、動作、および場所の完全な制御を有効にするため、ACS には、ID プロバイダーの名前、ログイン URL、画像、および電子メール ドメイン名 ( のみ) と共に JSON でエンコードされたメタデータ フィードを提供します。このフィードは、ホーム領域検出メタデータ フィードと呼ばれます。

各証明書利用者アプリケーションのサンプルの HTML ログイン ページをダウンロードするには:

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [アプリケーションの統合] をクリックし、[ログイン ページ] をクリックして証明書利用者アプリケーションを選択します。

  4. [ログイン ページの統合] ページで、[ログイン ページの例のダウンロード] をクリックします。

サンプルの HTML コードは、ACS でホストされたログイン ページの HTML コードに似ています。

このサンプルには、ページを表示するための JavaScript 関数が含まれています。ページの下部にあるスクリプト タグは、メタデータ フィードを呼び出します。カスタム ログイン ページは、この例で示すように純粋なクライアント側 HTML および JavaScript を使用してメタデータを消費できます。このフィードは、JSON エンコードをサポートする任意の言語でカスタム ログイン コントロールを表示するために消費および使用することもできます。

証明書利用者アプリケーションのホーム領域検出メタデータ フィード URL を見つけるには:

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. [アプリケーションの統合] をクリックし、[ログイン ページ] をクリックしてから証明書利用者アプリケーションを選択します。

URL はアプリケーションの [ログイン ページ統合] ページの [オプション 2: ログイン ページをアプリケーションの一部としてホストする] に表示されます。

ホーム領域検出フィード URL のサンプルを次に示します。

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

この URL では、次のパラメーターを使用します。

  • YourNamespace - 必須です。Azure 名前空間の名前に設定します。

  • protocol - 必須です。これは、証明書利用者アプリケーションが ACS と通信するために使用するプロトコルです。ACS では、この値は wsfederation に設定する必要があります。

  • realm - 必須です。これは、ACS 管理ポータルで証明書利用者アプリケーションに指定した領域です。

  • version - 必須です。ACS では、この値は 1.0 に設定する必要があります。

  • reply_to - 省略可能です。これは、ACS 管理ポータルで証明書利用者アプリケーションに指定した戻り先 URL です。省略した場合、戻り先 URL の値は、ACS 管理ポータルで証明書利用者アプリケーション用に構成された既定値に設定されます。

  • context - 省略可能です。これは、トークンで証明書利用者アプリケーションに戻すことができる追加のコンテキストです。ACS はこれらのコンテンツを認識しません。

  • callback - 省略可能です。このパラメーターは、JSON フィードが読み込まれたときに実行する JavaScript 関数の名前に設定します。JSON フィード文字列は、この関数に渡される引数です。

noteメモ
JSON エンコード メタデータ フィードは変更される可能性があるため、これをキャッシュしないことをお勧めします。

前に説明したように、メタデータ フィードが有効なパラメーターで要求された場合、応答は配列の JSON エンコード配列を含むドキュメントとなり、各内部配列が、次のフィールドで ID プロバイダーを表します。

  • Name - ID プロバイダーの、人が判読できる表示名です。

  • LoginUrl - 作成されたログイン要求の URL です。

  • LogoutUrl - この URL により、エンド ユーザーはサインインしている ID プロバイダーからサインアウトできます。これは現在、 および Windows Live ID (Microsoft アカウント) に対してのみサポートされていて、他の ID プロバイダーに対しては空になっています。

  • ImageUrl - ACS 管理ポータルで構成されている、表示する画像。画像がない場合は空になります。

  • EmailAddressSuffixes - ID プロバイダーに関連付けられた電子メール アドレスのサフィックスの配列です。ACS では、電子メール アドレスのサフィックスは、ACS 管理ポータルを介して ID プロバイダーに対してのみ構成できます。サフィックスが構成されていない場合は、空の配列を返します。

次の例は、Windows Live ID および AD FS 2.0 が証明書利用者アプリケーションに対して構成されている場合の JSON フィードを示しています。ユーザーは ACS 管理ポータルで Windows Live ID の画像の URL を設定し、 ID プロバイダーの電子メール ドメインのサフィックスを追加しました。

noteメモ
読みやすくするため、改行が追加され、URL は簡潔化されています。

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

関連項目

表示: