本記事に記載の内容は、
「Azure AD Application Proxyで統合Windows認証でのSSOを実装する方法」に関する内容となっています。
目次
Azure AD Application Proxy - 統合Windows認証とは
Windowsのユーザーアカウント情報を元にWebアプリケーションへのログインを行う認証方法です。
この認証方法はWindows 2000から利用することが可能になっています。
統合Windows認証は総称となり、実際にはKerberos/NTLM/SPNEGOといった認証方式となります。
Windowsにログインした時に利用しているユーザーアカウント情報を元にして
自動的にWebアプリケーションへログインしてくれるため、ユーザーがログイン処理を行う必要が無く
シングルサインオンを実装することが出来ます。
Azure AD Application Proxy 統合Windows認証- 前提条件
前提条件は以下のようになります。
- HTTP プロキシ接続では動作しないため、HTTPS接続が必要になります。
続きを見る
構成するための前提条件は別記事で記載しているので、以下URLを参照ください。
AADAPC - Azure AD Application Proxy Connector 実装方法
URL内からの抜粋
- 対象のWebアプリケーションが、統合 Windows 認証を使用していること
- 対象となるWebアプリケーションが、サービス プリンシパル名 を持っていること
- アプリケーション プロキシ コネクタを実行するサーバーがドメインに参加していること
- Webアプリケーションが、ドメインに参加していること
- コネクタ サーバーとWebアプリケーションが[同一のドメインに参加 or 信頼関係が結ばれており信頼する側のドメインに所属]していること
- アプリケーション プロキシ コネクタに [TokenGroupsGlobalAndUniversal 属性]を読み取る権限を持っていること
- オンプレミスADとAzureADでユーザーをマッピングできる状態になっているこ
Azure AD Application Proxy 統合Windows認証 - 構成
統合 Windows 認証でのAzure AD Application Proxyによるエンタープライズアプリケーションの設定方法を記載しています。
Azure AD Application Proxy - 統合Windows認証の構成手順
- Azure Active Directory admin center に接続し、
左側のメニューより[エンタープライズアプリケーション]をクリックします。 - 開かれた画面の上部にある[+新しいアプリケーション]をクリックします。
![画面の上部にある[+新しいアプリケーション]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAABAAAAAImAQAAAADlQ8U/AAAAAnRSTlMAAHaTzTgAAABaSURBVBgZ7cEBAQAAAIKg/q92SMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAOBeFTUAAb0mtbgAAAAASUVORK5CYII=)
- 開かれた画面の左上にある[+独自のアプリケーションの作成]をクリックします。
![画面の左上にある[+独自のアプリケーションの作成]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAABAAAAALLAQAAAABPmc1jAAAAAnRSTlMAAHaTzTgAAABwSURBVHja7cExAQAAAMKg9U9tDB+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4G2haAAG4aOMrAAAAAElFTkSuQmCC)
- [独自のオンプレミスのアプリケーションの追加]画面にて
以下設定を行います。 なお、追加設定欄については必要があれば変更してください。- 名前:任意 利用者様が分かりやすいWebアプリケーション名にすることをお勧めします。
- 内部URL:Webアプリケーションへ接続するためのURLを入力します。
- 外部URL:基本的に自動作成されるので、気になる方は変更してください。
- 事前認証:用途に合わせて変更します。
- コネクタグループ:可用性を持たせる場合は、選択します。
※事前に作成しておく必要があります - バックエンド アプリケーションのタイムアウト:任意
- HTTP専用Cookieを使用する:任意
- セキュリティで保護されたCookieを使用します:任意
- 永続 Cookieを使用:任意
- 変換するURLの場所:任意
![[独自のオンプレミスのアプリケーションの追加]画面にて 以下設定を行います。 なお、追加設定欄については必要があれば変更してください。](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA8wAAAPEAQAAAABTAI+uAAAAAnRSTlMAAHaTzTgAAACKSURBVHja7cExAQAAAMKg9U9tDQ+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAgEcDzzsAAR5EKHsAAAAASUVORK5CYII=)
- 作成されると、[エンタープライズ アプリケーション]画面に追加されたことを確認することが可能です。
追加された[独自のオンプレミスのアプリケーション]をクリックします。![[エンタープライズ アプリケーション]画面に追加されたことを確認することが可能です。 追加された[独自のオンプレミスのアプリケーション]をクリックします。](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAABAAAAAJWAQAAAADuYcj+AAAAAnRSTlMAAHaTzTgAAABgSURBVBgZ7cEBAQAAAIKg/q92SMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAOBeLWUAAUyMP6cAAAAASUVORK5CYII=)
- 左メニューの[シングルサインオン]にて、[統合 Windows 認証]をクリックします。
![左メニューの[シングルサインオン]にて、[統合 Windows 認証]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAABAAAAAIqAQAAAACSgQVEAAAAAnRSTlMAAHaTzTgAAABbSURBVHja7cEBAQAAAIIg/69uSEABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAC8Gxc5AAG/c5/jAAAAAElFTkSuQmCC)
- 統合 Windows 認証の設定画面になりますので、以下項目に任意の設定を入れて[保存]をクリックします。
- 内部アプリケーション SPN
- 委任されたログインID
![画面の上部にある[+新しいアプリケーション]をクリック](https://kurataku.com/wp-content/uploads/2021/12/3e8d39925df06e5654389a7286800cb2-1024x550.png)
![画面の左上にある[+独自のアプリケーションの作成]をクリック](https://kurataku.com/wp-content/uploads/2021/12/e77e8ba92a114b0a1321e232d42153d1-1024x715.png)
![[独自のオンプレミスのアプリケーションの追加]画面にて 以下設定を行います。 なお、追加設定欄については必要があれば変更してください。](https://kurataku.com/wp-content/uploads/2021/12/9ccf6f7de583ee547904539c11c29178.png)
![[エンタープライズ アプリケーション]画面に追加されたことを確認することが可能です。 追加された[独自のオンプレミスのアプリケーション]をクリックします。](https://kurataku.com/wp-content/uploads/2021/12/c754db6afbedf0b92a1c5621b912a79c-1024x598.png)
![左メニューの[シングルサインオン]にて、[統合 Windows 認証]をクリック](https://kurataku.com/wp-content/uploads/2021/12/def36d0bd0601f969158395682082928-1024x554.png)
おまけ - SPNの設定
SPNの設定がされているかの確認は、対象のWebサーバーとなるコンピューターアカウントのプロパティにて
属性エディタを開き以下属性に[http:/xxxxxx]が入っているか確認します。
- servicePrincipalName
さいごに・・・
統合 Windows 認証を構成するためには、各設定を行う必要があり容易ではありませんが
構成をすることで、ユーザビリティが上がりセキュリティの向上にもつながります。
Webアプリケーションの改修が必要となる場合もあるため、開発環境/検証環境が用意できる状況であれば
まずは、検証を行ったうえで実装されることをお勧めします。
Azure AD Application Proxy 統合 Windows 認証 に関する記事一覧
-
-
IIS - Webアプリケーションでの 統合Windows認証を構成する方法
続きを見る
-
-
IIS - WebサイトをSSL対応 (URLをhttpsに)する方法
続きを見る
-
-
AADAPC - Azure AD Application Proxy Connector 実装方法
続きを見る
-
-
AADAPC - Azure AD Application Proxy Connector 委任設定
続きを見る