ポータル用 WS-Federation プロバイダー設定を構成します

単一の Active Directory フェデレーション サービスのサーバー (または別の WS-Federation–に準拠した Security Token Service) を ID プロバイダーとして追加できます。 さらに、単一の Azure ACS 名前空間を個別の ID プロバイダーのセットとして構成できます。 AD FS と ACS の両方の設定は、WsFederationAuthenticationOptions クラスのプロパティに基づいています。

AD FS 証明書利用者信頼を作成

AD FS 管理ツールを使用して、[信頼関係] > [証明書利用者信頼] へ移動します。

  1. [Relying Party Trust を追加] を選択します。
  2. ようこそ: スタート画面の選択。
  3. データ ソースの選択: [依拠当事者に関するデータを手動で入力] を選び、[] を選択します。
  4. ディスプレイ名を指定: 名前 を入力し、[] を選択します。 例: https://portal.contoso.com/
  5. プロファイルの選択: [AD FS 2.0 プロファイル] を選択し、[次へ] を選択します。
  6. 証明書の構成: [次へ] を選択します。
  7. URL の構成: [WS-Federation パッシブ プロトコルのサポートを有効にする] チェックボックスを選択します。

証明書利用者 WS-Federation パッシブ プロトコル URL: https://portal.contoso.com/signin-federation と入力します。

  • メモ: AD FS はポータルが HTTPS で実行される必要があります。

    注意

    結果のエンドポイントには、次の設定があります。
    エンドポイントの種類: [WS-Federation]

  1. ID 設定: https://portal.contoso.com/ を指定し、[追加] を指定し、[] を選択します。 必要であれば、各証明書利用者ポータルに複数の ID を追加できます。 ユーザーは、使用できるいずれかまたはすべての ID で認証できます。
  2. 発行権限ルールの選択: [全てのユーザーが依存当事者にアクセスできるよう許可] を選び、[] を選択します。
  3. 信頼を追加する準備: [次へ] を選択します。
  4. クローズを選択します。

証明書利用者信頼に [名前 ID] 要求を追加します。

Windows アカウント名を [名前 ID] 要求へ変換 (入力方向の要求を変換):

AD FS サイト設定の作成

上述のAD FS 証明書利用者信頼を参照するポータル サイト設定を適用します。

注意

標準の AD FS (STS) 構成は、次の設定のみを使用します (値の例を含む)。

WS-Federation メタデータ は AD FS サーバーで次のスクリプトを実行することで PowerShell で取得できます: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

サイト設定の名前 内容
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/WsFederation/ADFS/MetadataAddress 必須。 AD FS (STS) サーバーの WS-Federation メタデータ URLです。 通常は次のパスで終わります:/FederationMetadata/2007-06/FederationMetadata.xml。 例:https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. 詳細は、WsFederationAuthenticationOptions.MetadataAddress
Authentication/WsFederation/ADFS/AuthenticationType 必須。 OWIN 認証のミドルウェアの種類を指定します。 フェデレーション メタデータ XML のルートで entityID 属性の値を指定します。 例: http://adfs.contoso.com/adfs/services/trust. 詳細は、AuthenticationOptions.AuthenticationType を参照してください。
Authentication/WsFederation/ADFS/Wtrealm 必須。 AD FS 証明書利用者 ID です。 例: https://portal.contoso.com/。 詳細は、WsFederationAuthenticationOptions.Wtrealm
Authentication/WsFederation/ADFS/Wreply 必須。 AD FS WS-Federation のパッシブ エンドポイントです。 例: https://portal.contoso.com/signin-federation. 詳細は、WsFederationAuthenticationOptions.Wreply
Authentication/WsFederation/ADFS/Caption 推奨要件。 ユーザーがサインインのユーザー インターフェイスに表示できるテキストです。 既定: ADFS。 詳細は、WsFederationAuthenticationOptions.Caption
Authentication/WsFederation/ADFS/CallbackPath 認証コールバックを処理する任意の制約されたパスです。 詳細は、WsFederationAuthenticationOptions.CallbackPath
Authentication/WsFederation/ADFS/SignOutWreply サインアウトに使用される "wreply" 値です。詳細情報: WsFederationAuthenticationOptions.SignOutWreply
Authentication/WsFederation/ADFS/BackchannelTimeout バック チャネル コミュニケーション用のタイムアウト値。 例: 00:05:00 (5 分)。 詳細は、WsFederationAuthenticationOptions.BackchannelTimeout
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound メタデータの更新を SecurityTokenSignatureKeyNotFoundException の後に実行するかどうかを指定します。 詳細情報: WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound
Authentication/WsFederation/ADFS/UseTokenLifetime 認証セッションの有効期限 (例: クッキー) は認証トークンと一致する必要があることを示します。 WsFederationAuthenticationOptions.UseTokenLifetime
Authentication/WsFederation/ADFS/AuthenticationMode OWIN 認証のミドルウェアのモードを指定します。 詳細は、AuthenticationOptions.AuthenticationMode を参照してください。
Authentication/WsFederation/ADFS/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity の作成時に使用される AuthenticationType です。 詳細は、WsFederationAuthenticationOptions.SignInAsAuthenticationType
Authentication/WsFederation/ADFS/ValidAudiences 対象者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.AllowedAudiences を参照してください。
Authentication/WsFederation/ADFS/ValidIssuers 発行者 URL のコンマ区切り一覧です。 詳細は、TokenValidationParameters.ValidIssuers を参照してください。
Authentication/WsFederation/ADFS/ClockSkew 時間を有効にする際に適用するクロック スキューです。
Authentication/WsFederation/ADFS/NameClaimType 名前の要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/WsFederation/ADFS/RoleClaimType ロールの要求を格納する ClaimsIdentity に使用される要求の種類です。
Authentication/WsFederation/ADFS/RequireExpirationTime トークンに "期限切れ" の値が必要かどうかを示す値です。
Authentication/WsFederation/ADFS/RequireSignedTokens System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" が該当するかを示す値は、署名しない場合でも有効になります。
Authentication/WsFederation/ADFS/SaveSigninToken セッションの作成時に元のトークンが保存されるかを制御するブール値です。
Authentication/WsFederation/ADFS/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor を有効にする必要があるかどうかを示す値です。
Authentication/WsFederation/ADFS/ValidateAudience 対象者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/WsFederation/ADFS/ValidateIssuer 発行者がトークンの検証時に検証されるかを制御するブール値です。
Authentication/WsFederation/ADFS/ValidateLifetime 有効期限がトークンの検証時に検証されるかを制御するブール値です。
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" に署名した System.IdentityModel.Tokens.SecurityKey の有効性を制御するブール値が呼び出されます。
Authentication/WsFederation/ADFS/Whr ID プロバイダー リダイレクト URL に "whr" パラメーターを指定します。 詳細情報: wsFederation

Azure Active Directory の WS-Federation 設定

Azure AD は標準の WS-Federation に準拠した Security Token Service として動作するため、AD FS を説明した前のセクションは Azure Active Directory (Azure AD) にも適用できます。 開始するには、Azure 管理ポータル にサインインして、既存ディレクトリを作成または選択します。 ディレクトリが使用可能な場合、ディレクトリに アプリケーションを追加 するための説明に従います。

  1. ディレクトリの アプリケーション メニューの下で、[追加] を選択します。
  2. 自分の組織が作成するアプリケーションを追加 を選択します。
  3. カスタマイズされた [名前] をアプリケーションに指定して、[Web アプリケーションまたは Web API] の種類を選択します。
  4. サインオン URL および アプリ ID URIには、両方のフィールドにポータルの URL https://portal.contoso.com/ を指定します。 これは、[Wtrealm] サイトの設定値に相当します。
  5. この時点で、新しいアプリケーションが作成されます。 メニューの 構成 セクションに移動します。 シングル サインオンセクションで、最初の返信 URL エントリを更新し URL http://portal.contoso.com/signin-azure-ad にパスを含めます:
    • これは、[Wreply] サイト設定値に相当します。
  6. フッターで [保存] を選択します。
  7. フッター メニュー で、[エンドポイントの表示] を選び、[フェデレーション メタデータ ドキュメント] フィールドを留意します。

これは、MetadataAddress サイト設定値に相当します。

  • フェデレーション メタデータ XML を表示するには、この URL をブラウザ ウィンドウに貼り付け、ルート要素の エンティティ ID 属性を注記します。

  • これは、[AuthenticationType] サイト設定値に相当します。

注意

標準の Azure AD 構成は、次の設定のみを使用します (値の例を含む):

Facebook アプリ認証を構成

トピック Facebook アプリ (ページ タブ) のポータル認証 で説明されている構成を適用します。

関連項目

Dynamics 365 ポータル認証の構成
ポータル用の認証 ID の設定
ポータル用 OAuth2 プロバイダーの設定
ポータルの Open ID 接続プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証