方法: Id プロバイダーとして Google を構成する

  • [アーティクル]

更新日: 2015 年 6 月 19 日

適用先:Azure

重要

2014 年 5 月 19 日現在、新しい ACS 名前空間では ID プロバイダーとして Google を使用することはできません。 この日付の前に Google を使用していた登録済みの ACS 名前空間には影響はありません。 詳細については、 リリース ノートを参照してください。

適用対象

  • Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)

まとめ

この方法では、GOOGLE を ID プロバイダー ACS として構成する方法について説明します。 ASP.NET Web アプリケーションの ID プロバイダーとして Google を構成すると、ユーザーは自分の Google アカウントにログオンすることで、ASP.NET Web アプリケーションに対して認証できるようになります。

内容

  • 目標

  • 概要

  • 手順の概要

  • 手順 1 – 名前空間を作成する

  • 手順 2 – ID プロバイダーとして Google を構成する

  • 手順 3 – 証明書利用者との信頼を構成する

  • 手順 4 – トークン変換ルールを構成する

  • 手順 5 – 名前空間で公開されるエンドポイントを確認する

目標

  • Microsoft Azure プロジェクトと名前空間を作成します。

  • ID プロバイダーとして Google で使用する名前空間を構成する。

  • 信頼およびトークンの変換ルールを構成する。

  • エンドポイント参照、サービスの一覧、およびメタデータ エンドポイントに精通する。

概要

Google を ID プロバイダーとして構成すると、認証および ID 管理メカニズムを作成および管理する必要がなくなります。 使い慣れた認証手順があると、エンド ユーザー エクスペリエンスが向上します。 ACS を使用すると、アプリケーションで簡単に使用できる構成を簡単に設定でき、そのような機能をエンド ユーザーに提供できます。 ここでは、このタスクを完了する方法について説明します。 次の図は、ACS の証明書利用者を使用するために構成する全体的なフローを示しています。

ACS v2 Workflow

手順の要約

Google をアプリケーションの ID プロバイダーとして構成するには、次の手順を完了します。

  • 手順 1 – 名前空間を作成する

  • 手順 2 – ID プロバイダーとして Google を構成する

  • 手順 3 – 証明書利用者との信頼を構成する

  • 手順 4 – トークン変換ルールを構成する

  • 手順 5 – 名前空間で公開されるエンドポイントを確認する

手順 1 – 名前空間を作成する

この手順では、Azure プロジェクトにAccess Control名前空間を作成します。 Google を既存の名前空間の ID プロバイダーとして構成する場合は、この手順を省略できます。

Azure プロジェクトでAccess Control名前空間を作成するには

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を作成するには、[新規] をクリックして [App サービス] をクリックし、[アクセス制御] をクリックしてから [簡易作成] をクリックします。 または、[アクセス制御名前空間][新規] を順にクリックします。

手順 2 – ID プロバイダーとして Google を構成する

この手順では、既存の名前空間に対して Google を ID プロバイダーとして構成する方法を示します。

既存の名前空間に対して Google を ID プロバイダーとして構成するには

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[ ID プロバイダー] をクリックします。

  4. [ID プロバイダーの追加] ページで、[追加] をクリックし、[Google] をクリックします。

  5. [Google ID プロバイダーの追加] ページで、[保存] をクリックします。

手順 3 - 証明書利用者との信頼の構成

この手順では、 証明書利用者と呼ばれるアプリケーションと ACS の間で信頼を構成する方法を示します。

信頼を構成するには

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[ 証明書利用者アプリケーション ] をクリックし、[ 追加] をクリックします。

  4. [証明書利用者アプリケーションの追加] ページで、次のフィールドに以下の値を指定します。

    • [名前] - ユーザーが選択する任意の名前。

    • 領域:領域は、ACS によって発行されたトークンが有効な URI です。

    • [戻り値の URL]: 返される URL は、ACS が特定の証明書利用者アプリケーションの発行済みトークンをポストする URL を定義します。

    • トークン形式: トークン形式は、証明書利用者アプリケーションに対して ACS が発行するトークンの種類を定義します。

    • トークン暗号化ポリシー- 必要に応じて、ACS は証明書利用者アプリケーションに発行された任意の SAML 1.1 または SAML 2.0 トークンを暗号化できます。

    • トークンの有効期間: トークンの有効期間は、ACS によって証明書利用者アプリケーションに発行されたトークンの Time to Live (TTL) を指定します。

    • [ID プロバイダー] - [ID プロバイダー] フィールドでは、証明書利用者アプリケーションで使用する ID プロバイダーを指定できます。 必ず Google を選択してください。

    • [ルール グループ] - ルール グループには、ID プロバイダーから証明書利用者アプリケーションに渡されるユーザー ID 要求を定義するルールが含まれます。

    • トークン署名:ACS は、X.509 証明書 (秘密キー付き) または 256 ビット対称キーを使用して発行するすべてのセキュリティ トークンに署名します。

    各フィールドの詳細については、「 証明書利用者アプリケーション」を参照してください。

  5. [保存] をクリックします。

手順 4 – トークン変換ルールを構成する

この手順では、ACS によって証明書利用者アプリケーションに送信される要求を構成する方法を示します。 たとえば、Google は既定ではユーザーの電子メールを送信しません。 アプリケーションに目的の要求を提供する ID プロバイダーと、その変換方法を定義する必要があります。 次の手順では、トークンで電子メール アドレスを通過させるルールを追加し、アプリケーションがそのルールを使用できるようにする方法の概要を示します。

トークン要求の変換ルールを構成するには

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[ ルール グループ ] をクリックし、[ 追加] をクリックします。 または、既存のルール グループを編集できます。

  4. 新しいグループの名前を指定し、[保存] をクリックします。

  5. [ルール グループの編集][追加] をクリックします。

  6. [要求規則の追加] ページで、次の値を指定します。

    • 要求発行者: ID プロバイダー と Google を選択 します

    • 入力要求の種類: 選択の種類https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • 入力要求の値: [任意] を選択します

    • 出力要求の種類: [入力要求の種類をパススルーする] を選択します

    • 出力要求の値: [ 入力要求値をパススルーする] を選択します

    • オプションで、[説明] に、ルールの説明を追加します。

  7. [ルール グループの編集] および [ルール グループ] ページで、[保存] をクリックします。

  8. 目的の [証明書利用者アプリケーション] をクリックします。

  9. [ルール グループ] セクションまで下へスクロールし、新しい [ルール グループ] を選択し、[保存] をクリックします。

手順 5 – 名前空間で公開されるエンドポイントを確認する

この手順では、ACS が公開するエンドポイントについて理解します。 たとえば、ACS は、フェデレーション認証用に ASP.NET Web アプリケーションを構成するときに FedUtil によって使用されるWS-Federationメタデータ エンドポイントを公開します。

ACS によって公開されるエンドポイントを確認するには

  1. Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)

  2. アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。

  3. ACS ポータルで、[アプリケーション統合] をクリックします。

  4. [エンドポイント参照] テーブルを確認します。 たとえば、URL によって公開される WS-Federation メタデータは、次に類似したものになります (名前空間は異なります)。

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml

参照

概念

ACS の利用方法