統合Windows認証でユーザビリティの向上

schedule 2018/09/13  refresh 2023/11/08

 

9月も半ばに入りましたが、暑さも過ぎ去り涼しさを感じるようになりました。

災害も立て続けに起こっているので、いざというときに備えておきたいですね。

 

さて、今回は統合Windows認証についてです。

統合Windows認証とは、Windowsのユーザアカウント情報でWebブラウザ上のサービスへログインができるようになる認証を言います。

以前は「Windows NT チャレンジ/レスポンス認証」などと呼ばれていました。

統合Windows認証について詳しくはこちらをご覧下さい。

 

Windowsにログインしたときにユーザアカウント情報で自動的にログインしてくれるので、ユーザはわざわざログインIDを入れることなくサービスにログインすることができるようになります。

※サービス側も統合Windows認証に対応している必要があります。

 

SeciossLinkでも統合Windows認証に対応していますので、SeciossLinkへ統合Windows認証を使ってログインすることで、Windowsへのログインのみで、様々なサービスへシングルサインオン(SSO)を行うことができます。

※例えば、Windowsにログインし、Gmailを開く際に統合Windows認証を行うため、ID/パスワードを入力する手間が省けます。

 

以下では、実際にSeciossLinkで統合Windows認証を設定してみます。

 

 

手順

 

・ActiveDirectory

1.KeyTabファイルを作成

ActiveDirectoryへ管理者でログインし、以下のコマンドでKeyTabファイルを作成します。

 

C:\>ktpass -princ HTTP/slink-kerb.secioss.com@<Active Directoryドメイン名(⼤文字)> -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL mapuser <管理者のユーザプリンシパル名> -pass <管理者のパスワード> -out "<出⼒先のkeytabファイル名>"aa

 

 

・SeciossLink

1.SeciossLinkでActiveDirectoryのドメイン名とKeyTabを登録します

設定はたったの2つです。

ActiveDirectoryのドメイン名と、ActiveDirectoryで作成したKeyTabを登録するだけです。

 

 

 

・ブラウザ

 

1.統合Windows認証を有効化

 

Chrome、IEをお使いの場合、インターネットオプションから設定を行います。

 

インターネットオプションの「詳細設定」タブ内のセキュリティ項目で、「統合Windows認証を使用する」という項目が有効になっていることを確認します。

 

 

次に、セキュリティのレベルのカスタマイズを開きます。

インターネットゾーンのレベルのカスタマイズを開きます。

 

ユーザ認証>ログオン>現在のユーザ名とパスワードで自動的にログオンする

 

 

を選択します。

 

 

以上で設定は終了です。

ブラウザを再度立ち上げなおしてSeciossLinkへログインしてみましょう!

 

今回は、インターネットゾーンで統合Windows認証を設定しましたが、

信頼済みサイトのゾーンで設定するとより安全に運用できるかと思います。