利用者がWindowsにログオンする際に指定するユーザID/パスワードを使用して、利用者を認証する方式で、利用者はWindowsログオンすることで、Interstage シングル・サインオンを使用することができます。
Windowsログオンした後、利用者のWebブラウザにて保護リソースにアクセスした場合、以下のような統合Windows認証時のサインオン確認画面が表示されます。
統合Windows認証を行う場合は、“はい”ボタンをクリックすることで、サービスを利用することができます。
また、統合Windows認証しない場合には、以下の画面で“いいえ”をクリックし、パスワード認証、または証明書認証で認証する運用を行うことができます。また、統合Windows認証をキャンセルさせる運用も可能です。
それぞれの認証を行う場合の、利用者の操作手順を以下に示します。
【統合Windows認証をする場合】
証明書選択画面で、“キャンセル”ボタンをクリックします。
統合Windows認証画面で、“はい”ボタンをクリックします。
【証明書認証をする場合】
証明書選択画面で、証明書認証に使用する証明書を選択します。
統合Windows認証画面で、“いいえ”ボタンをクリックします。
【パスワード認証をする場合】
証明書選択画面で、“キャンセル”ボタンをクリックします。
統合Windows認証画面で、“いいえ”ボタンをクリックします。
フォーム認証画面で、ユーザIDとパスワードを入力します。
統合Windows認証を行う場合は、認証サーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックし、[認証方式の設定]の[認証方式]を設定します。
統合Windows認証時のサインオン確認画面はカスタマイズすることが可能です。カスタマイズする方法については、“5.1 Webブラウザに表示するメッセージのカスタマイズ”を参照してください。
統合Windows認証を行う場合、Active Directoryと統合Windows認証アプリケーション間で秘密情報を暗号化してやり取りを行います。秘密情報の暗号方式は、以下の中から選択することができます。
暗号方式 | 説明 |
AES128-CTS-HMAC-SHA1-96 | 最も強度が高い暗号方式です。後述するオペレーティングシステムの制限が問題とならない場合は、この暗号方式を選択してください。 |
RC4-HMAC | AES128-CTS-HMAC-SHA1-96が使用できない場合は、この暗号方式を選択してください。 |
DES-CBC-CRC | V9.x以前で使用していた暗号方式です。他に比べ暗号強度が低いため、V9.x以前と同じ環境を構築したい場合のみ選択してください。 |
ただし、Active Directory、またはクライアントのオペレーティングシステムによっては、特定の暗号方式が使用できない場合があります。
各オペレーティングシステムで使用可能な暗号方式を以下に示します。
Active Directoryが動作するサーバ側のオペレーティングシステム
AES128-CTS-HMAC-SHA1-96 | RC4-HMAC | DES-CBC-CRC | |
Windows Server(R) 2003(注1) | × | × | ○ |
Windows Server(R) 2003 Service Pack1以降(注1) | × | ○(注2) | ○ |
Windows Server(R) 2003 R2 | × | ○ | ○ |
Windows Server(R) 2008(注3) | ○ | ○ | ○ |
Windows Server(R) 2008 R2 | ○ | ○ | × |
注1)Windows Server(R) 2003 R2を除きます。
注2)Microsoft(R) Windows Server(R) 2003 Service Pack 1以降のサポート ツールをインストールする必要があります。
注3)Windows Server(R) 2008 R2を除きます。
統合Windows認証を行うクライアント側のオペレーティングシステム
AES128-CTS-HMAC-SHA1-96 | RC4-HMAC | DES-CBC-CRC | |
Windows(R) XP | × | ○ | ○ |
Windows Vista(R) | ○ | ○ | ○ |
Windows 7 | ○ | ○ | × |
また、暗号方式の設定方法については、“シングル・サインオン運用ガイド”の“付録”-“Active Directoryと連携するための設定”-“ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する”-“統合Windows認証を行うための設定”を参照してください。
Microsoft(R) Windows Server(R) 2008と連携する場合、連携に必要なActive Directoryの更新プログラムを、連携するMicrosoft(R) Windows Server(R) 2008に適用する必要があります。連携に必要なActive Directoryの更新プログラムについては、“システム設計ガイド”の“ソフトウェア条件”-“アプリケーション実行時に必要なソフトウェア”-“その他”を参照してください。
クライアントで使用できるWebブラウザは、Microsoft(R) Internet Explorerのみです。Webブラウザの[ツール]-[インターネットオプション]-[詳細設定]を選択し、“統合Windows認証を使用する(再起動が必要)”をチェックしてください。
Interstage シングル・サインオンの各サーバをActive Directoryにドメイン参加させる必要はありません。
統合Windows認証を行う場合は、ユーザID/パスワードを入力する画面として基本認証ダイアログを使用することはできません。
再認証の間隔の経過など、再認証が必要な場合、統合Windows認証時のサインオン確認画面が表示されます。本画面にて統合Windows認証でサインオンするよう選択すると、再認証を行うことなくサービスを継続して利用することが可能になります。統合Windows認証を行っている場合は、利用者が離席した場合に発生する、第三者による不正利用の脅威を低減するために、スクリーンセーバのパスワードによる保護機能を利用してアイドル監視を行うよう、利用者に指導してください。
統合Windows認証による認証を連続して失敗しても、利用者はロックされませんが、Windowsログオン時に、パスワード誤りによるユーザのロックアウト制御を行うことで、利用者をロックすることが可能です。
また、以下の場合、SSO管理者がユーザプログラムを使用して利用者をロックすることが可能です。利用者をロックする方法については“B.7 利用者をロックする”を参照してください。
ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する場合
ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、シングル・サインオンの拡張スキーマを使用する場合
ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する場合は、SSOリポジトリで管理しているユーザ情報を、Active Directoryと関連付けして管理する必要があります。両者のユーザ情報を関連付ける方法については、“F.2 ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用する”を参照してください。
ユーザ情報の関連付けについては、ID管理ツール等を使用することで確実に保証することを推奨します。
ユーザ情報を登録するディレクトリサービスにActive Directoryを使用し、統合Windows認証でサインオンせず、パスワード認証、または証明書認証で再度認証できる運用を行う場合は、Active Directoryにシングル・サインオンのスキーマを拡張する必要があります。Active Directoryにシングル・サインオンのスキーマを拡張する方法については、“F.1.1 シングル・サインオンの拡張スキーマの設定”を参照してください。
リポジトリサーバによる負荷分散を行う場合は、リポジトリサーバ(更新系)を複数配置するシステム構成にしてください。システム構成の詳細については、“1.6.1 負荷分散”を参照してください。
連携するActive Directoryのドメインに認証サーバが登録されている場合、ネットワークに関する設定が必要です。設定の詳細については、“使用上の注意”の“注意事項”-“Interstage シングル・サインオンの注意事項”-“統合Windows認証に関する注意事項”を参照してください。
