「統合Windows認証」とは、Windowsのユーザーアカウント情報を利用した認証方式です。統合Windows認証を利用するには、ご利用の端末(WindowのPCのみ)でActive Directoryのドメインに参加している必要があります。
統合Windows認証の設定は、「認証」>「統合Windows認証」から行えます。
※この設定を行う前に、「Keytabファイルの作成」と「統合Windows認証の有効化」が必要です。まだこちらの作業を行っていない場合は、こちらの作業から行ってください。
ここで設定できる項目は以下の通りです。
設定項目
項目名 | 説明 |
Keytabファイル | Active Directoryサーバーにて発⾏されたKeytabファイルをアップロードします。 既にアップロードされている場合は、アップロード済みのファイル名が表示されます。 当項目の表示条件は以下の通りです。 ●何もアップロードしていない場合は、ファイル選択用のボタンと「未設定」というテキストのみが表示されます。 ●「Active Direcotry ドメイン名」に設定したドメイン名と一致するKeytabファイルが管理サーバー内に保存されている場合、「アップロード済み:”ドメイン名”.keytab」というメッセージが追加で表示されます。 ●管理サーバー内にファイルがあるが、項目「Active Direcotry ドメイン名」に設定したドメイン名と一致しない場合は、ファイル選択用のボタンとテキストのみが表示されます。 また、画面右側の「削除」ボタンより、設定したKeytabファイルの削除が可能です。 |
※2022年11月14日実施のリリースによって、「Active Directoryドメイン名」の入力が不要となりました。
※SeciossLinkの「マルチフォレスト認証」機能が有効な場合、複数のドメインを登録することができます。
※統合Windows 認証の設定が反映されるまでに、5分程度かかりますのでご注意ください。
【事前準備①】Keytabファイルの作成
Active DirectoryでKeytabファイルを作成する手順は、以下の通りです。
- 管理者権限でActive Directory サーバーにログインします。
- コマンドプロンプトから、以下のコマンドを実⾏します。
C:>ktpass -princ HTTP/slink-kerb.secioss.com@< Active Directoryドメイン名(⼤文字) > -crypto aes256-sha1 -ptype KRB5_NT_PRINCIPAL mapuser < 管理者のユーザープリンシパル名 > -pass < 管理者のパスワード > -out < 出⼒先のkeytabファイル名 >
例えば下記のような設定だった場合の実行例を紹介します。
- Active Directoryドメイン名:SECIOSS.AD
- 管理者のユーザープリンシパル名:Kerbadmin@SECIOSS.AD
- 管理者のパスワード:12345678
- 出⼒先のkeytabファイル名:c:windowstempsecioss.ad.keytab
実行例
Keytabファイル作成・利用の際の注意点
Keytabファイルを作成・利用する際は、以下の点に注意してください。
- Keytabファイル作成時の引数「mapuser」に指定する管理者は、「Domain Admins」グループに所属している必要があります。
- Keytabファイルを作成するユーザーについては、プロパティの「アカウント」-「アカウントオプション」にて「このアカウントで Kerberos AES 256 ビット暗号化をサポートする」を有効にする必要があります。
- Keytabファイル作成時に指定した管理者を削除すると、利用中のKeytabが無効となり、「統合windows認証」が利用できなくなります。
- 有効なKeytabファイルを複数作成することはできません。
- 「統合Windows認証」、「Keytabファイル」関連は、マイクロソフト社が提供する機能です。詳細な技術仕様については、提供メーカーへお問い合わせください。
【事前準備②】統合Windows認証の有効化
統合Windows認証を行うには、利用端末・SeciossLinkの双方で統合Windows認証を有効にする必要があります。
利用端末側の設定
- Windowsのアプリ一覧・もしくは検索画面から「コントロールパネル」を選択します。アプリ一覧から開く場合は、「すべてのアプリ」>「Windowsツール」>「コントロールパネル」の順で開くことが可能です。
例:Windowsデスクトップの検索画面
- 「ネットワークとインターネット」を選択します。
- 「インターネットオプション」を選択します。
- 「セキュリティ」タブから「信頼済みサイト」を選択し、「サイト」を選択します。
- 表示されたポップアップ画面から、URL:[https://*.secioss.com]を追加してください。
- 続けて「レベルのカスタマイズ」より、[ユーザー認証]>[ログオン]にある「現在のユーザー名とパスワードで自動的にログオンする」を選択してください。
※この設定を行うことにより、「Microsoft Edge」、「Google Chrome」など、ご利用端末のブラウザ全てで統合Windows認証が利用可能になります。
SeciossLink側の設定
SeciossLink管理コンソールのデフォルト設定では、統合Windows認証が有効になっていない場合があります。
左メニューの「認証」内に「統合Windows認証」の項目が表示されない場合は、下記の手順で統合Windows認証を有効にする必要があります。
- 左メニューの「システム」内から、「テナント情報」を選択します。
- 「機能」の中から、「統合Windows認証」にチェックを入れて「保存」を選択してください。
※「テナント情報」の「機能」欄にも「統合Windows認証」が表示されない場合は、サポート窓口までお問い合わせください。