[ID プロバイダー]

更新日: 2015 年 6 月 19 日

適用先:Azure

重要

ACS 名前空間では Google ID プロバイダー構成を OpenID 2.0 から OpenID Connect に移行できます。 移行は 2015 年 6 月 1 日までに完了する必要があります。 詳細なガイダンスについては、「ACS 名前空間を Google OpenID Connectに移行する」を参照してください。

Microsoft Azure Active Directory Access Control (Access Control サービスまたは ACS とも呼ばれます) では、ID プロバイダーはユーザーまたはクライアント ID を認証し、ACS が使用するセキュリティ トークンを発行するサービスです。 ID プロバイダーが構成されている場合、ACS はその ID プロバイダーによって発行されたトークンを信頼し、それらのトークンのクレームを ACS ルール エンジンへの入力として使用します。 ACS ルール エンジンは、これらの要求を変換またはパススルーし、証明書利用者アプリケーションに発行するトークンに含めます。 Access Control名前空間の所有者は、名前空間に 1 つ以上の ID プロバイダーを構成できます。

ACS では、ID プロバイダーを複数の証明書利用者アプリケーションに関連付けることができます。 同様に、ACS 証明書利用者アプリケーションを複数の ID プロバイダーに関連付けることができます。 証明書利用者アプリケーションの詳細については、「証明書利用者アプリケーション」 参照してください。

ACS 管理ポータルには、次の ID プロバイダーを構成するための組み込みのサポートが用意されています。

ACS では、これらの ID プロバイダーに加えて、ACS 管理サービスを使用して次の ID プロバイダーの種類の構成をプログラムでサポートしています。

  • WS-Trust ID プロバイダー

  • OpenID ベースの ID プロバイダー

WS-Trust ID プロバイダー

WS-Trust ID プロバイダーは、WS-Trust プロトコルを使用して ACS に ID 要求を渡し、Web サービス シナリオで最もよく使用されます。 多くのWS-Trust ID プロバイダーもWS-Federationをサポートしており、必要な信頼関係を作成するための ID プロバイダーWS-Federationとして ACS で構成できます。 WS-Trust ID プロバイダーの例として、エンタープライズ Active Directory サービス アカウントを ACS と統合できる (WS-Federation ID プロバイダーもあります)。 詳細については、「 方法: AD FS 2.0 を ID プロバイダーとして構成する」を参照してください

OpenID ベースの ID プロバイダー

ACS は、OpenID 2.0 認証プロトコルを使用して、Web サイトおよび Web アプリケーション用の OpenID ベースの ID プロバイダーとのフェデレーションをサポートします。 ACS OpenID 実装を使用すると、OPENID 認証エンドポイントを ACS の ID プロバイダー エンティティの一部として構成できます。 証明書利用者アプリケーションに対して ACS ログイン ページがレンダリングされると、ACS は ID プロバイダーのログイン URL の一部として OpenID 認証要求を作成します。 ユーザーが ID プロバイダーを選択し、要求された URL でログインすると、OpenID 応答が ACS に返され、そこで ACS ルール エンジンによって処理されます。 ACS は、OpenID 属性Exchange拡張機能を使用して OpenID ユーザー属性を取得し、これらの属性を要求にマップし、証明書利用者アプリケーションに発行されたトークン応答で出力します。

ACS がサポートする OpenID ベースの ID プロバイダーの 2 つの例は、ACS 管理ポータルで構成できる Google と Yahoo!です。 詳細については、Google と Yahoo!を参照してください。

OpenID 2.0 認証エンドポイントをサポートする他の ID プロバイダーは、ACS 管理サービスを使用してプログラムで構成できます。 詳細については、「 方法: ACS 管理サービスを使用して OpenID ID プロバイダーを構成する」を参照してください

サポートされている要求の種類

次の表は、OpenID ID プロバイダーから ACS で使用できる要求の種類を示しています。 既定では、ACS のクレームの種類は、SAML トークン仕様に準拠するための URI を使用して一意に識別されます。 これらの URI は他のトークン形式の要求の識別にも使用されます。

要求の種類 URI 説明

名前識別子

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

ID プロバイダーによって返される openid.claimed_id の値。

名前

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

OpenID 属性http://axschema.org/namePersonExchange拡張機能を介して ID プロバイダーによって返される属性。 この属性が存在しない場合、要求値は次の http://axschema.org/namePerson/first 連結になります。 http://axschema.org/namePerson/last.

電子メール アドレス

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

OpenID 属性http://axschema.org/contact/emailExchange拡張機能を介して ID プロバイダーによって返される属性。

ID プロバイダー

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ユーザーの認証に使用される OpenID ID プロバイダーを証明書利用者アプリケーションに通知する ACS によって提供される要求。

参照

概念

ACS 2.0 コンポーネント