このドキュメントはアーカイブされており、メンテナンスされていません。

Web サービスと ACS

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

Web サービスを Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS) と統合するための基本的なシナリオに関与するものを以下に示します。

  • 証明書利用者アプリケーション - Web サービス。

  • クライアント - Web サービスへのアクセスを試行する Web サービス クライアント。

  • ID プロバイダー - クライアントを認証できるサイトまたはサービス。

  • ACS - 証明書利用者アプリケーション専用の ACS のパーティション。

ただし、Web サービスのシナリオでは、クライアントはブラウザーにアクセスできず、自律的に機能します (このシナリオではユーザーは直接参加しません)。

クライアントは、サービスにログオンするために ACS によって発行されるセキュリティ トークンを取得する必要があります。このトークンは、クライアントの ID に関する一連の要求を含む、ACS からアプリケーションに対する署名済みメッセージです。ACS は、クライアントがまず自身の ID を証明しない限り、トークンを発行しません。

Web サービスと ACS のシナリオでは、クライアントは以下の方法で自身の ID を証明できます。

  • ACS で ACS のサービス ID 資格情報の種類を使用して直接認証する

    noteメモ
    サービス ID の詳細については、「サービス ID」を参照してください。

    以下の図は、クライアントが ACS のサービス ID 資格情報の種類を使用して自身の ID を証明する Web サービス シナリオを示しています。

    Windows Azure Active Directory のアクセス制御
    1. クライアントは、ACS で ACS のサービス ID 資格情報の種類のいずれかを使用して認証します。ACS では、これは対称キーで署名された Simple Web Token (SWT)、X.509 証明書、またはパスワードになります。詳細については、「サービス ID」を参照してください。

    2. ACS は受け取った資格情報を検証し、受け取った ID 要求を ACS ルール エンジンに入力し、出力方向の要求を計算してから、それらの要求を含むトークンを作成します。

    3. ACS は ACS が発行したトークンをクライアントに返します。

    4. クライアントは ACS が発行したトークンを証明書利用者アプリケーションに送信します。

    5. 証明書利用者アプリケーションは ACS が発行したトークンを検証してから、要求されたリソース表記を返します。

  • クライアントを認証した別の信頼されている発行者 (ID プロバイダー) からのセキュリティ トークンを提示する

    以下の図は、クライアントが ID プロバイダーからのセキュリティ トークンを使用して自身の ID を証明する Web サービス シナリオを示しています。

    ACS 2.0 の Web サービス シナリオ
    1. クライアントは (たとえば、資格情報を送信して) ID プロバイダーにログインします。

    2. クライアントが認証されたら、ID プロバイダーはトークンを発行します。

    3. ID プロバイダーはトークンをクライアントに返します。

    4. クライアントは ID プロバイダーが発行したトークンを ACS に送信します。

    5. ACS は ID プロバイダーが発行したトークンを検証し、ID プロバイダーが発行したトークン内のデータを ACS ルール エンジンに入力し、出力方向の要求を計算してから、それらの要求を含むトークンを作成します。

    6. ACS はクライアントに対してトークンを発行します。

    7. クライアントは ACS が発行したトークンを証明書利用者アプリケーションに送信します。

    8. 証明書利用者アプリケーションは ACS が発行したトークンの署名を検証し、ACS が発行したトークンの要求を検証します。

    9. 証明書利用者アプリケーションは要求されたリソース表記を返します。

関連項目

表示: