Windows Azure Active Directory Access ControlでSAML-P使える?

Windows Azure Active Directory Access Control service (ACS) のサポートプロトコルは以下に記載があります。

ん?よく見るとSAML-PがPreview Featureとしてあるぞ…

一応制限としては以下の通りのようです。

  • プロファイル … SAMLプロトコルのWebブラウザSSOサブセットがサポート
  • バインディング … 認可要求のためのHTTPリダイレクトと応答発行のために使用するHTTP POSTがサポート
  • メタデータ … フェデレーションメタデータでIdPSSODescriptorと使用するエンドポイントを公開、とありますがエンドポイントの記述はないです(今のところ)
  • パラメータ … 一般的なSAMLパラメータをサポート。ただし今のところ以下のパラメータはサポートされません。
      • IsPassive
      • ForceAuthn
      • RequestedAuthnContext
      • Signature

単純にドキュメントの不備のようですが、、、ちなみにエンドポイントは以下のようです。

https://<名前空間>.accesscontrol.windows.net/v2/saml2

正式リリースいつとかさっぱりわかりませんがとりあえず使えるかも?ということで。まぁ先に管理ポータルの統合とかですかね。。。

Azure AppFabric ACS v1+ADFS+WCF Data Services (2)

前回の続きです。前回はこちら → Azure AppFabric ACS v1+ADFS+WCF Data Services

今回は実際にフェデレーション認証を利用するサービスとクライアントを作成します。
サービス側はWCF Data Servicesを利用して、トークンが有効な場合のみデータ(Entity)を返すようにします。
クライアントはActive Federation認証を行いますので、ADFS2.0とACSv1を使用し得られたトークンと利用してWCF Data Servicesにアクセスしデータを取得します。

ではまずサービス側から。

続きを読む

Azure AppFabric ACS v1+ADFS+WCF Data Services

今日はWindows Azure AppFabric Access Controle Service v1 (現行)(以下ACSv1)とActive Directory Federation Services 2.0 (以下ADFS)を組み合わせてWCF Data ServicesをActive Federation認証してみようと思います。

WCF Data Servicesを利用するクライアントは今回はブラウザではなく、Windowsアプリとします。なのでブラウザが自動リダイレクトして認証画面に飛ぶようなPassive Federation認証ではなくActive Federation認証です。(自前でトークンのやり取りします)

そもそも、現行のACSv1はPassive Federationに対応していませんし、マルチテナントを考えるとちょっとWindows Identity Foundation(以下WIF)についてるFederation Utilityは使えないのでほぼコードでいろいろ制御することにします。

はっきりいって、ACSv2が出るまでのつなぎですね。ちなみに今回のネタはWIF トレーニングキットに付属するハンズオンラボ(IntroAppFabricAccessControl)を見ながらやればある程度できると思います。

今回想定している環境はこんな感じです。

※見ての通り(?)、WCF Data ServicesとSQL ServerはWindows Azure+SQL Azureでもまったく問題ありません。

では準備から。

続きを読む

Microsoft Federation Gateway で利用できる証明書

前回のPOSTをしてからいろいろ教えていただきました。

まずMicrosoft Federation Gatewayが信頼してくれるルート証明機関(CA)ですが、以下のTechNetに記載がある通りとなるようです。

トラブルなしでMicrosoft Federation Gatewayとフェデレーションしたかったら記載のルートCAが発行するX.509証明書のほうがいいでしょうね。

さて結構なお値段がする証明書ですが、価格がお安めの証明書をいくつか教えていただきましたのでこちらも記載しておきます。

この中でMicrosoft Federation Gatewayに対応できそうなのはGoDaddyとCOMDOですかね。GeoTrustは親会社がベリサインですが、CA的にどうなのかは見たことないので不明です。

COMDOは90日間フリーなので使い方次第では凄い助かるかもですねー。

ちなみに先日のニュースリリースでGeoTrustがワンコインSSLなるサービスを発表しています。
※Amazon EC2のユーザーのみ対象ですけどね…

ADFS 2.0 with a WIF Application Step-by-Step してみたよ

Active Directory Federation Services 2.0 (AD FS 2.0) が2010年5月5日にRTWになってたので、クラウド/オンプレミスの境界を越えた認証と認可を見てみようと思います。

と、いってもフェデレーションで利用するトークンを作成したりするインフラ側の話と、トークンやクレームの方式の通信的な部分と、実際に認証・認可するアプリ側の部分と多岐に渡るためなかなか整理しづらいです。

今回はその中でもインフラより?だと思われる Active Directory Federation Services 2.0 を実際にインストールしてみたり使ってみた内容をメモ書きしておこうと思います。

続きを読む