9月も半ばに入りましたが、暑さも過ぎ去り涼しさを感じるようになりました。
災害も立て続けに起こっているので、いざというときに備えておきたいですね。
さて、今回は統合Windows認証についてです。
統合Windows認証とは、Windowsのユーザアカウント情報でWebブラウザ上のサービスへログインができるようになる認証を言います。
以前は「Windows NT チャレンジ/レスポンス認証」などと呼ばれていました。
統合Windows認証について詳しくはこちらをご覧下さい。
Windowsにログインしたときにユーザアカウント情報で自動的にログインしてくれるので、ユーザはわざわざログインIDを入れることなくサービスにログインすることができるようになります。
※サービス側も統合Windows認証に対応している必要があります。
SeciossLinkでも統合Windows認証に対応していますので、SeciossLinkへ統合Windows認証を使ってログインすることで、Windowsへのログインのみで、様々なサービスへシングルサインオン(SSO)を行うことができます。
※例えば、Windowsにログインし、Gmailを開く際に統合Windows認証を行うため、ID/パスワードを入力する手間が省けます。
以下では、実際にSeciossLinkで統合Windows認証を設定してみます。
1.KeyTabファイルを作成
ActiveDirectoryへ管理者でログインし、以下のコマンドでKeyTabファイルを作成します。
|
C:\>ktpass -princ HTTP/slink-kerb.secioss.com@<Active Directoryドメイン名(⼤文字)> -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL mapuser <管理者のユーザプリンシパル名> -pass <管理者のパスワード> -out "<出⼒先のkeytabファイル名>"aa |
1.SeciossLinkでActiveDirectoryのドメイン名とKeyTabを登録します
設定はたったの2つです。
ActiveDirectoryのドメイン名と、ActiveDirectoryで作成したKeyTabを登録するだけです。
・ブラウザ
1.統合Windows認証を有効化
Chrome、IEをお使いの場合、インターネットオプションから設定を行います。
インターネットオプションの「詳細設定」タブ内のセキュリティ項目で、「統合Windows認証を使用する」という項目が有効になっていることを確認します。
次に、セキュリティのレベルのカスタマイズを開きます。
インターネットゾーンのレベルのカスタマイズを開きます。
|
|
を選択します。
以上で設定は終了です。
ブラウザを再度立ち上げなおしてSeciossLinkへログインしてみましょう!
今回は、インターネットゾーンで統合Windows認証を設定しましたが、
信頼済みサイトのゾーンで設定するとより安全に運用できるかと思います。
