ポータル用 WS-Federation プロバイダー設定を構成します

単一の Active Directory フェデレーション サービスのサーバー (または別の WS-Federation–に準拠した Security Token Service) を ID プロバイダーとして追加できます。 さらに、単一の Azure ACS 名前空間を個別の ID プロバイダーのセットとして構成できます。 AD FS と ACS の両方の設定は、WsFederationAuthenticationOptions クラスのプロパティに基づいています。

AD FS 証明書利用者信頼を作成

AD FS 管理ツールを使用して、[信頼関係] > [証明書利用者信頼] を選択します。

  1. [証明書利用者信頼] をクリックします。
  2. ようこそ: [開始] をクリックします。
  3. データ ソースの選択: [証明書利用者のデータを手動入力] を選択し、[次へ] をクリックします。
  4. 表示名の指定: [名前] を入力し、[次へ] をクリックします。 例: https://portal.contoso.com/
  5. プロファイルの選択: [AD FS 2.0 プロファイル] を選択し、[次へ] をクリックします。
  6. 証明書の構成: [次へ] をクリックします。
  7. URL の構成: [WS-Federation パッシブ プロトコルのサポートを有効にする] にチェックを入れます。

証明書利用者 WS-Federation パッシブ プロトコル URL: https://portal.contoso.com/signin-federation と入力します。

  • メモ: AD FS はポータルが HTTPS で実行される必要がある

    注意

    結果のエンドポイントには、次の設定があります。
    エンドポイントの種類: [WS-Federation]

  1. ID の構成: https://portal.contoso.com/ を指定し、[追加] をクリックし、[次へ] をクリックします。必要であれば、各証明書利用者ポータルに複数の ID を追加できます。 ユーザーは、使用できるいずれかまたはすべての ID で認証できます。
  2. 発行認証ルールを選択する: [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する]を選択し、[次へ]をクリックします。
  3. 信頼を追加する準備: [次へ] をクリックします。
  4. [閉じる] をクリックします。

証明書利用者信頼に [名前 ID] 要求を追加します。

Windows アカウント名を [名前 ID] 要求へ変換 (入力方向の要求を変換):

AD FS サイト設定の作成

上述のAD FS 証明書利用者信頼を参照するポータル サイト設定を適用します。

注意

標準の AD FS (STS) 構成は、次の設定のみを使用します (値の例を含む)。

WS-Federation メタデータ は AD FS サーバーで次のスクリプトを実行することで PowerShell で取得できます: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

サイト設定の名前 内容
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/WsFederation/ADFS/MetadataAddress 必須。 AD FS (STS) サーバーの WS-Federation メタデータ URLです。 通常は次のパスで終わります:/FederationMetadata/2007-06/FederationMetadata.xml。 例:https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN
Authentication/WsFederation/ADFS/AuthenticationType 必須。 OWIN 認証のミドルウェアの種類を指定します。 フェデレーション メタデータ XML のルートで entityID 属性の値を指定します。 例: http://adfs.contoso.com/adfs/services/trust. MSDN
Authentication/WsFederation/ADFS/Wtrealm 必須。 AD FS 証明書利用者 ID です。 例: https://portal.contoso.com/. MSDN
Authentication/WsFederation/ADFS/Wreply 必須。 AD FS WS-Federation のパッシブ エンドポイントです。 例: https://portal.contoso.com/signin-federation. MSDN
Authentication/WsFederation/ADFS/Caption 推奨要件。 ユーザーがサインインのユーザー インターフェイスに表示できるテキストです。 既定: ADFS。 MSDN
Authentication/WsFederation/ADFS/CallbackPath 認証コールバックを処理する任意の制約されたパスです。 MSDN
Authentication/WsFederation/ADFS/SignOutWreply サインアウトに使用される "wreply" 値です。 MSDN
Authentication/WsFederation/ADFS/BackchannelTimeout バック チャネル コミュニケーション用のタイムアウト値。 例: 00:05:00 (5 分)。 MSDN
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound メタデータの更新を SecurityTokenSignatureKeyNotFoundException の後に実行するかどうかを指定します。 MSDN
Authentication/WsFederation/ADFS/UseTokenLifetime 認証セッションの有効期限 (例: クッキー) は認証トークンと一致する必要があることを示します。 MSDN
Authentication/WsFederation/ADFS/AuthenticationMode OWIN 認証のミドルウェアのモードを指定します。 MSDN
Authentication/WsFederation/ADFS/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity の作成時に使用される AuthenticationType です。 MSDN
Authentication/WsFederation/ADFS/ValidAudiences 対象者 URL のコンマ区切り一覧です。 MSDN
Authentication/WsFederation/ADFS/ValidIssuers 発行者 URL のコンマ区切り一覧です。 MSDN
Authentication/WsFederation/ADFS/ClockSkew 時間を有効にする際に適用するクロック スキューです。 MSDN。
Authentication/WsFederation/ADFS/NameClaimType 名前の要求を格納する ClaimsIdentity に使用される要求の種類です。 MSDN。
Authentication/WsFederation/ADFS/RoleClaimType ロールの要求を格納する ClaimsIdentity に使用される要求の種類です。 MSDN。
Authentication/WsFederation/ADFS/RequireExpirationTime トークンに "期限切れ" の値が必要かどうかを示す値です。 MSDN。
Authentication/WsFederation/ADFS/RequireSignedTokens System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" が該当するかを示す値は、署名しない場合でも有効になります。 MSDN。
Authentication/WsFederation/ADFS/SaveSigninToken セッションの作成時に元のトークンが保存されるかを制御するブール値です。 MSDN。
Authentication/WsFederation/ADFS/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor を有効にする必要があるかどうかを示す値です。 MSDN。
Authentication/WsFederation/ADFS/ValidateAudience 対象者がトークンの検証時に検証されるかを制御するブール値です。 MSDN。
Authentication/WsFederation/ADFS/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。 MSDN。
Authentication/WsFederation/ADFS/ValidateLifetime 有効期限がトークンの検証時に検証されるかを制御するブール値です。 MSDN。
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" に署名した System.IdentityModel.Tokens.SecurityKey の有効性を制御するブール値が呼び出されます。 MSDN。
Authentication/WsFederation/ADFS/Whr ID プロバイダー リダイレクト URL に "whr" パラメーターを指定します。 MSDN

Azure Active Directory の WS-Federation 設定

Azure AD は標準の WS-Federation に準拠した Security Token Service として動作するため、AD FS を説明した前のセクションは Azure Active Directory (Azure AD) にも適用できます。 開始するには、Azure 管理ポータル にサインインして、既存ディレクトリを作成または選択します。 ディレクトリが使用可能な場合、ディレクトリに アプリケーションを追加 するための説明に従います。

  1. ディレクトリの [アプリケーション] メニューで、[追加] ボタンをクリック
  2. [自分の組織が作成するアプリケーションを追加] を選択
  3. カスタマイズされた [名前] をアプリケーションに指定して、[Web アプリケーションまたは Web API] の種類を選択
  4. [サインオン URL] および [アプリ ID URI] には、両方のフィールドにポータルの URL https://portal.contoso.com/ を指定します。これは [Wtrealm] サービス拠点設定値に相当します。
  5. この時点で、新しいアプリケーションが作成されます。 [シングル サインオン] セクションでメニューの [構成] セクションに移動し、最初の [返信 URL] エントリを更新して URL http://portal.contoso.com/signin-azure-ad にパスを含める
    • これは、[Wreply] サイト設定値に相当
  6. フッターで [保存] をクリック
  7. フッター メニューで [エンドポイントを表示] ボタンをクリックして [フェデレーション メタデータ ドキュメント] フィールドを記録

これは、[MetadataAddress] サイト設定値に相当

  • フェデレーション メタデータ XML を表示してルート要素の [entityID] 属性を記録するためにこの URL をブラウザー ウィンドウに貼り付けます。

  • これは、[AuthenticationType] サイト設定値に相当

注意

標準の Azure AD 構成は、次の設定のみを使用します (値の例を含む):

Facebook アプリ認証を構成

トピック Facebook アプリ (ページ タブ) のポータル認証 で説明されている構成を適用します。

関連項目

Dynamics 365 ポータル認証の構成
ポータル用の認証 ID の設定
ポータル用 OAuth2 プロバイダーの設定
ポータルの Open ID 接続プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証