方法: ルールを使用してトークン変換ロジックを実装する
更新日: 2015 年 6 月 19 日
適用先:Azure
適用対象
- Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS)
まとめ
このトピックでは、ACS 管理ポータルを使用して、入力要求を出力要求に変換するルールを作成する方法について説明します。
内容
目標
概要
手順の要約
手順 1 – 管理ポータルの [規則グループ] ページに移動する
手順 2 - 新しい規則を自動生成する
手順 3 - パススルー規則を作成する
手順 4 – 高度な変換規則を作成する
手順 5 - 使用可能な規則グループを確認する
手順 6 - 特定の規則グループで使用する証明書利用者を構成する
目標
アクセス制御管理ポータルの要求変換規則に関するセクションについて理解します。
基本的な規則を作成します。
高度な規則を作成します。
ID プロバイダーの要求に基づいて規則を作成します。
ACS 要求に基づいてルールを作成します。
概要
要求規則は、ACS 入力要求を出力要求に変換するためのロジックを記述します。 規則は、証明書利用者アプリケーションに関連付けられている規則グループに格納されています。 規則は、証明書利用者アプリケーションに対して ACS にトークンが発行されるたびに実行されます。 規則グループに規則が含まれていない場合、ACS は証明書利用者アプリケーションにトークンを発行しません。
手順の要約
トークン要求変換の規則を作成するには、次の手順に従います。 シナリオによっては、一部の手順を省略することができます。
手順 1 – 管理ポータルの [規則グループ] ページに移動する
手順 2 - 新しい規則を自動生成する
手順 3 - パススルー規則を作成する
手順 4 – 高度な変換規則を作成する
手順 5 - 使用可能な規則グループを確認する
手順 6 - 特定の規則グループで使用する証明書利用者を構成する
手順 1 – 管理ポータルの [規則グループ] ページに移動する
この手順では、管理ポータルの [規則グループ] ページに移動する方法を示します。このページで規則を作成し、規則グループに追加することができます。
管理ポータルの [規則グループ] ページに移動するには
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を作成するには、[新規] をクリックして [App サービス] をクリックし、[アクセス制御] をクリックしてから [簡易作成] をクリックします。 または、[アクセス制御名前空間]、[新規] を順にクリックします。
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[アクセス制御サービス] ページで、[規則グループ] をクリックします。
手順 2 - 新しい規則を自動生成する
この手順では、基本的な既定の規則を生成する方法を示します。
基本的な規則を自動生成するには
[ルール グループ] をクリックします。
新しい規則グループを作成するには、[規則グループ] ページで、[追加] をクリックします。
新しい規則グループの名前を入力し、[保存] をクリックします。
基本的な規則を自動生成するには、[規則の生成] をクリックします。
[規則の生成] ページで、生成する規則の隣にあるチェック ボックスで ID プロバイダーを指定し、[生成] をクリックします。
自動生成された規則を確認します。 たとえば、Google と Windows Live ID (Microsoft アカウント) に対して自動的に生成されるルールは、次の表の結果のようになります)。 ID プロバイダーが表示されたら、[保存] をクリックします。
出力要求 要求発行者 規則の説明 emailaddress
Google
Google からの "emailaddress" 要求を "emailaddress" としてパススルー
name
Google
Google からの "name" 要求を "name" としてパススルー
nameidentifier
Google
Google からの "nameidentifier" 要求を "nameidentifier" としてパススルー
nameidentifier
Windows Live ID
Windows Live ID からの "nameidentifier" 要求を "nameidentifier" としてパススルー
必要な ID プロバイダーが表示されない場合は、管理ポータルの [ID プロバイダー] ページに戻って指定する必要があります。
ID プロバイダーを追加するには、次の操作方法に関するトピックで説明する手順に従います。
手順 3 - パススルー規則を作成する
この手順では、パススルー規則を作成する方法を示します。 パススルー規則とは、出力要求と入力要求がまったく同じになる規則です。
パススルー規則を作成するには
[ルール グループ] をクリックします。
[規則グループ] ページで、必要な規則グループをクリックし、[追加] をクリックします。
[要求規則の追加] ページで、次の属性を指定します。
[要求発行者] - ドロップダウン リストから必要な ID プロバイダーを選択するか (たとえば、Google や Windows Live ID)、または [アクセス制御サービス] ラジオ ボタンをクリックします。
[(および) 入力要求の種類] - [任意] を選択してすべての入力要求を指定するか、またはドロップダウン リストから特定の要求タイプを選択します。
[(および) 入力要求の値] - [任意] を選択してすべての要求値をパススルーするよう指定するか、または [値の入力] ボックスに特定の要求値を入力し、指定された要求値のみをパススルーするよう指定します。
[出力要求の種類] - [入力要求の種類のパススルー] ラジオ ボタンを選択し、特定の要求の種類を指定します。
[出力要求の値] - [入力要求の値のパススルー] ラジオ ボタンを選択し、特定の要求の値を指定します。
必要に応じて (推奨されます)、規則の説明を追加し、[保存] をクリックします。
手順 4 – 高度な変換規則を作成する
この手順では、自動生成された規則やパススルー規則ではなく、高度な変換規則を作成する方法を示します。
高度な変換規則を作成するには
[ルール グループ] をクリックします。
[規則グループ] ページで、必要な規則グループをクリックし、[追加] をクリックします。
[要求規則の追加] ページで、次の属性を指定します。
[要求発行者] - Windows Live ID、Google、Facebook、および Yahoo! のような ID プロバイダーからの要求を変換する場合は、特定の [ID プロバイダー] ラジオ ボタンを選択します。 サービス ID の要求 (Web サービスの場合) または他の規則から出力された要求を変換する場合は、[アクセス制御サービス] を選択します。
[(および) 入力要求の種類] - 変換する要求の種類をドロップダウン ボックスから選択します。必要な要求の種類が一覧にない場合は、[種類の入力] テキスト ボックスに要求の種類を入力します。
[(および) 入力要求の値] - 入力した値に一致する要求のみを変換する場合は、[値の入力] テキスト ボックスに特定の値を指定します。
[出力要求の種類] - 入力要求にマップする出力要求の種類を選択します。必要な要求の種類が一覧にない場合は、[種類の入力] テキスト ボックスに要求の種類を入力します。
[出力要求の値] - 出力要求に定数値を生成する場合は、[値の入力] テキスト ボックスに特定の値を指定します。
手順 5 - 使用可能な規則グループを確認する
この手順では、要求変換規則が含まれている規則グループを確認する方法を示します。 規則グループは、証明書利用者アプリケーションに直接関連付けられています。 1 つの規則グループは、1 つ以上の証明書利用者アプリケーションで使用することができ、1 つの証明書利用者アプリケーションは 1 つ以上の規則グループを参照できます。 使用可能なルール グループを確認するには、「手順 1 – 管理ポータルの [ルール グループ] ページに移動する」で説明した手順に従います。
手順 6 - 特定の規則グループで使用する証明書利用者を構成する
この手順では、証明書利用者 (Web アプリケーションまたは RESTful Web サービス) に特定の規則グループを設定する方法を示します。
特定の規則グループで使用する証明書利用者を構成するには
Microsoft Azure管理ポータル (https://manage.WindowsAzure.com) に移動し、サインインし、[Active Directory] をクリックします。 (トラブルシューティングのヒント: "Active Directory" 項目が見つからないか、使用できません)
アクセス制御名前空間を管理するには、名前空間をクリックしてしてから [管理] をクリックします。 または、[アクセス制御名前空間] をクリックして名前空間を選択し、[管理] をクリックします。
[証明書利用者アプリケーション] をクリックします。
[証明書利用者アプリケーション] ページで、必要な証明書利用者をクリックします。
[規則グループ] セクションまでスクロールし、この証明書利用者に適用する規則グループをすべて選択します。
[保存] をクリックします。