Web サービスと ACS
更新日: 2015 年 6 月 19 日
適用先:Azure
Web サービスを Microsoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) と統合する基本的なシナリオの参加者を次に示します。
証明書利用者アプリケーション - Web サービス。
クライアント - Web サービスへのアクセスを試行する Web サービス クライアント。
ID プロバイダー - クライアントを認証できるサイトまたはサービス。
ACS —証明書利用者アプリケーション専用の ACS のパーティション。
ただし、Web サービスのシナリオでは、クライアントはブラウザーにアクセスできず、自律的に機能します (このシナリオではユーザーは直接参加しません)。
クライアントは、サービスにログオンするために ACS によって発行されたセキュリティ トークンを取得する必要があります。 このトークンは、クライアントの ID に関する一連の要求を含む、ACS からアプリケーションへの署名付きメッセージです。 ACS は、クライアントが最初に自分の ID を証明しない限り、トークンを発行しません。
Web サービスと ACS のシナリオでは、クライアントは次の方法で自分の ID を証明できます。
ACS で直接認証し、ACS サービス ID 資格情報の種類を使用する
注意
サービス ID の詳細については、「 サービス ID」を参照してください。
次の図は、クライアントが ACS サービス ID 資格情報の種類を使用して ID を証明する Web サービス シナリオを示しています。
.gif "Windows Azure Active Direct Access Control")
クライアントは、ACS サービス ID の資格情報の種類のいずれかを使用して ACS で認証します。 ACS では、対称キー、X.509 証明書、またはパスワードで署名された簡易 Web トークン (SWT) トークンを指定できます。 詳細については、「 サービス ID」を参照してください。
ACS は、受信した資格情報を検証し、受信した ID 要求を ACS ルール エンジンに入力し、出力要求を計算して、それらの要求を含むトークンを作成します。
ACS は、ACS によって発行されたトークンをクライアントに返します。
クライアントは ACS によって発行されたトークンを証明書利用者アプリケーションに送信します。
証明書利用者アプリケーションは、ACS によって発行されたトークンを検証し、要求されたリソース表現を返します。
クライアントを認証した別の信頼されている発行者 (ID プロバイダー) からのセキュリティ トークンを提示する
以下の図は、クライアントが ID プロバイダーからのセキュリティ トークンを使用して自身の ID を証明する Web サービス シナリオを示しています。
.gif "ACS 2.0 Web Service Scenario")
クライアントは (たとえば、資格情報を送信して) ID プロバイダーにログインします。
クライアントが認証されたら、ID プロバイダーはトークンを発行します。
ID プロバイダーはトークンをクライアントに返します。
クライアントは、ID プロバイダーによって発行されたトークンを ACS に送信します。
ACS は、ID プロバイダーによって発行されたトークンを検証し、ID プロバイダー発行トークンのデータを ACS ルール エンジンに入力し、出力要求を計算し、それらの要求を含むトークンを作成します。
ACS は、クライアントにトークンを発行します。
クライアントは ACS によって発行されたトークンを証明書利用者アプリケーションに送信します。
証明書利用者アプリケーションは、ACS によって発行されたトークンの署名を検証し、ACS によって発行されたトークン内の要求を検証します。
証明書利用者アプリケーションは要求されたリソース表記を返します。
参照
概念
Access Control Service 2.0
ACS を使用したはじめに
方法: ACS を使用して最初の要求対応 ASP.NET サービスを作成する