方法: X.509 証明書を使用して ACS と ASP.NET Web アプリケーション間の信頼を構成する
更新日: 2015 年 6 月 19 日
適用先:Azure
適用対象
Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)
ASP.NET
まとめ
このトピックでは、アプリケーションと ACS の間で信頼を構成する方法について説明します。 信頼は、ASP.NET Web アプリケーションと ACS の間で交換されるトークンに署名することによって確立されます。
内容
目標
概要
手順の概要
手順 1 - [トークン署名証明書] セクションに移動する
手順 2 - X.509 証明書を使用して信頼を構成する
手順 3 - web.config および ACS 管理ポータルの信頼に関連する属性を確認する
目標
ACS 管理ポータルの信頼管理セクションを理解します。
X.509 証明書を使用して信頼を管理します。
web.config および管理ポータルで必要な構成を確認します。
概要
アプリケーションと ACS の間でトークンを適切に交換するには、信頼の確立が必要です。 信頼により、トークンが転送中に改ざんされていないこと、さらに信頼できる相手から発行されたことが保証されます。 ASP.NET Web アプリケーションの場合、信頼は X.509 証明書を使用して管理され、ACS 管理ポータルの構成とweb.config構成に基づいています。
手順の要約
ASP.NET Web アプリケーションと ACS の間の信頼を確立して管理するには、次の手順に従います。
手順 1 - [トークン署名証明書] セクションに移動する
手順 2 - X.509 証明書を使用して信頼を構成する
手順 3 - web.config および ACS 管理ポータルの信頼に関連する属性を確認する
手順 1 - [トークン署名証明書] セクションに移動する
この手順では、ACS 管理ポータルの信頼管理セクションに移動する方法を示します。
管理ポータルの信頼管理に関連するセクションに移動するには
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
ACS ポータルで、[ 証明書利用者アプリケーション] をクリックします。
証明書利用者アプリケーションをクリックします。
[証明書利用者アプリケーションの編集] ページで、[トークン署名証明書] セクションまでスクロールします。
証明書を選択します。
手順 2 - X.509 証明書を使用して信頼を構成する
この手順では、X.509 証明書を使用して ACS と ASP.NET Web アプリケーションの間の信頼を構成および管理する方法を示します。 証明書利用者アプリケーションで Windows® Identity Foundation (WIF) を使用している場合は、X.509 証明書署名の資格情報を使用します。
X.509 証明書を使用して信頼を構成および管理するには
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[証明書とキー] をクリックし、X.509 証明書を選択します。
[トークン署名証明書またはキーの編集] ページで、次の値を指定します。
名前: 任意の名前。
型: X.509 証明書。
証明書: ACS によって既定で作成される証明書を使用するには、アクションは必要ありません。 独自の X.509 証明書をアップロードすることもできます。
証明書はパスワードで保護する必要があります。 通常、拡張子は .pfx です。 独自の X.509 証明書をアップロードするとき。[パスワード] テキスト ボックスに pfx ファイルの パスワード を入力します
パスワード: 既定の証明書を使用する場合、操作は必要ありません。 証明書をアップロードする場合、その証明書をパスワードで保護する必要があります。 [パスワード] ボックスに .pfx ファイルのパスワードを入力します。
[保存] をクリックします。
X.509 証明書の取得
トークンの署名または暗号化を行うために X.509 証明書を取得するには、いくつかの方法があります。 使用する方法は、ユーザーの要件と組織で使用可能なツールによって異なります。
ローカル証明機関
組織が Active Directory 証明書サービス (AD CS) などの証明機関 (CA) をデプロイしている場合は、X.509 証明書を要求できます。 具体的な手順や使用許可について、証明機関の管理者への問い合わせが必要になる場合があります。 Active Directory 証明書サービスの詳細については、「 Active Directory 証明書サービス (https://go.microsoft.com/fwlink/?linkid=208371)」を参照してください。
商用の証明機関
Verisign などの商用の証明機関から X.509 証明書を購入することができます。 これはラボ リリースであるため、ローカル証明機関を使用するか (利用可能な場合)、または自己署名証明書を生成する (下記を参照) ことを推奨します。
Self-Signed証明書を生成する
ソフトウェアを使用して、ACS で使用する独自の自己署名証明書を生成できます。 この方法は通常、テスト目的でのみ推奨され、ローカル CA へのアクセス権がない人物や商用 CA を利用していない人物によって実行できます。 Windowsを実行している場合は、Windows SDK (https://go.microsoft.com/fwlink/?linkid=84091) の一部としてMakeCert.exeをダウンロードし、これを使用して証明書を生成できます。
自己署名証明書のエクスポート
自己署名証明書をエクスポートする方法については、「証明書 とキー」を参照してください。
手順 3 - web.config および ACS 管理ポータルの信頼に関連する属性を確認する
この手順では、ASP.NET Web アプリケーションの web.config に含まれる信頼に関連する構成属性を確認する方法を示します。
ASP.NET Web アプリケーションの web.config に含まれる信頼に関連する構成を確認するには
ASP.NET Web アプリケーションの web.config ファイルを開きます。
audiencesUris ノードに移動し、その子追加ノードの値が ACS 管理ポータルの [証明書利用者の編集] ページの [領域] プロパティ フィールドに入力した値と同じであることを確認します。
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[証明書利用者アプリケーション] をクリックします。
[証明書利用者アプリケーション] ページで、必要なアプリケーションをクリックします。
[証明書利用者アプリケーションの編集] ページで、[領域] 属性を確認します。