このドキュメントはアーカイブされており、メンテナンスされていません。

方法:Google を ID プロバイダーとして構成する

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

Important重要
2014 年 5 月 19 日現在、新しい ACS 名前空間では ID プロバイダーとして Google を使用することはできません。この日付の前に Google を使用していた登録済みの ACS 名前空間には影響はありません。詳細については、「リリース ノート」を参照してください。

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

ここでは、ACS を使用して Google を ID プロバイダーとして構成する方法について説明します。ASP.NET Web アプリケーションの ID プロバイダーとして Google を構成すると、ユーザーは自分の Google アカウントにログオンすることで、ASP.NET Web アプリケーションに対して認証できるようになります。

  • 目標

  • 概要

  • 手順の概要

  • 手順 1 – 名前空間を作成する

  • 手順 2 – ID プロバイダーとして Google を構成する

  • 手順 3 – 証明書利用者との信頼を構成する

  • 手順 4 – トークン変換ルールを構成する

  • 手順 5 – 名前空間で公開されるエンドポイントを確認する

  • Microsoft Azure プロジェクトおよび名前空間を作成する。

  • ID プロバイダーとして Google で使用する名前空間を構成する。

  • 信頼およびトークンの変換ルールを構成する。

  • エンドポイント参照、サービスの一覧、およびメタデータ エンドポイントに精通する。

Google を ID プロバイダーとして構成すると、認証および ID 管理メカニズムを作成および管理する必要がなくなります。使い慣れた認証手順があると、エンド ユーザー エクスペリエンスが向上します。ACS を使用すると、アプリケーションが容易に使用し、このような機能をエンド ユーザーに提供できる構成を簡単に設定できます。ここでは、このタスクを完了する方法について説明します。次の図は、使用する ACS の証明書利用者の全体的な構成の流れを示しています。

ACS v2 のワークフロー

Google をアプリケーションの ID プロバイダーとして構成するには、次の手順を完了します。

  • 手順 1 – 名前空間を作成する

  • 手順 2 – ID プロバイダーとして Google を構成する

  • 手順 3 – 証明書利用者との信頼を構成する

  • 手順 4 – トークン変換ルールを構成する

  • 手順 5 – 名前空間で公開されるエンドポイントを確認する

この手順では、Azure プロジェクトで アクセス制御名前空間を作成します。Google を既存の名前空間の ID プロバイダーとして構成する場合は、この手順を省略できます。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を作成するには、[新規] をクリックして [App サービス] をクリックし、[アクセス制御] をクリックしてから [簡易作成] をクリックします。または、[アクセス制御名前空間][新規] を順にクリックします。

この手順では、既存の名前空間に対して Google を ID プロバイダーとして構成する方法を示します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[ID プロバイダー] をクリックします。

  4. [ID プロバイダーの追加] ページで、[追加] をクリックし、[Google] をクリックします。

  5. [Google ID プロバイダーの追加] ページで、[保存] をクリックします。

この手順では、証明書利用者と呼ばれるアプリケーションと、ACS の間の信頼を構成する方法を示します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[証明書利用者アプリケーション] をクリックし、[追加] をクリックします。

  4. [証明書利用者アプリケーションの追加] ページで、次のフィールドに以下の値を指定します。

    • [名前] - ユーザーが選択する任意の名前。

    • [領域] - 領域は、ACS によって発行されたトークンが有効な URI です。

    • [戻り先 URL] - 戻り先 URL は、指定された証明書利用者アプリケーションに対して発行されたトークンを ACS が投稿する URL を定義します。

    • [トークン形式] - トークン形式は、ACS が証明書利用者アプリケーションに対して発行するトークンの種類を定義します。

    • [トークン暗号化ポリシー] - オプションで、ACS は証明書利用者アプリケーションに対して発行された SAML 1.1 または SAML 2.0 トークンを暗号化できます。

    • [トークンの有効期間] - トークンの有効期間は、証明書利用者アプリケーションに対して ACS によって発行されたトークンの Time to Live (TTL) を指定します。

    • [ID プロバイダー] - [ID プロバイダー] フィールドでは、証明書利用者アプリケーションで使用する ID プロバイダーを指定できます。必ず Google を選択してください。

    • [ルール グループ] - ルール グループには、ID プロバイダーから証明書利用者アプリケーションに渡されるユーザー ID 要求を定義するルールが含まれます。

    • [トークン署名] - ACS は、X.509 証明書 (プライベート キー付き) または 256 ビット対称キーのいずれかを使用してすべてのセキュリティ トークンに署名します。

    各フィールドの詳細については、「証明書利用者アプリケーション」を参照してください。

  5. [保存] をクリックします。

この手順では、ACS から証明書利用者アプリケーションに送信される要求を構成する方法を示します。たとえば、Google は既定ではユーザーの電子メールを送信しません。アプリケーションに目的の要求を提供する ID プロバイダーと、その変換方法を定義する必要があります。次の手順では、トークンで電子メール アドレスを通過させるルールを追加し、アプリケーションがそのルールを使用できるようにする方法の概要を示します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[ルール グループ] をクリックしてから、[追加] をクリックします。または、既存のルール グループを編集できます。

  4. 新しいグループの名前を指定し、[保存] をクリックします。

  5. [ルール グループの編集][追加] をクリックします。

  6. [要求規則の追加] ページで、次の値を指定します。

    • [要求の発行者]:[ID プロバイダー] および [Google] を選択します。

    • [入力方向の要求タイプ]:[型の選択][http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress] を選択します。

    • [入力方向の要求の値]:[任意] をクリックします。

    • [出力方向の要求タイプ]:[入力方向の要求タイプをパススルー] を選択します。

    • [出力方向の要求の値]:[入力方向の要求値をパススルー] を選択します。

    • オプションで、[説明] に、ルールの説明を追加します。

  7. [ルール グループの編集] および [ルール グループ] ページで、[保存] をクリックします。

  8. 目的の [証明書利用者アプリケーション] をクリックします。

  9. [ルール グループ] セクションまで下へスクロールし、新しい [ルール グループ] を選択し、[保存] をクリックします。

この手順では、ACS が公開するエンドポイントについて説明します。たとえば、ACS は、フェデレーション認証に対して ASP.NET Web アプリケーションを構成するときに、FedUtil によって使用される WS-Federation メタデータ エンドポイントを公開します。

  1. Microsoft Azure 管理ポータル (https://manage.WindowsAzure.com) に移動してサインインし、[Active Directory] をクリックします。(トラブルシューティングのヒント:"Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[アプリケーションの統合] をクリックします。

  4. [エンドポイント参照] テーブルを確認します。たとえば、URL によって公開される WS-Federation メタデータは、次に類似したものになります (名前空間は異なります)。

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

関連項目

表示: