Windows 認証方式

sm1252sp1jjp

統合 Windows 認証(IWA)は、純粋な Windows 環境でユーザを検証するための Microsoft 独自開発のメカニズムです。ポリシー サーバで使用可能な Windows 認証方式では、Microsoft 統合 Windows 認証インフラストラクチャが取得するユーザ認証情報を処理することにより、リソースを保護します。
本製品の旧バージョンでは、NTLM 認証方式を使用して Windows 認証をサポートしていました。ただし、このサポートは、NT ドメインを備えた環境や、混合モードのレガシー NT ドメインをサポートするように Active Directory サービスが設定されている環境に制限されていました。
Windows 認証方式では、Active Directory がネイティブ モードで実行されている展開においてアクセス制御を使用できます。この方式では、NTLM 認証をサポートするように設定された Active Directory もサポートされます。Windows 認証方式は、本製品の NTLM 認証方式に取って代わるものです。既存の NTLM 認証方式は引き続きサポートされ、新しい Windows 認証方式を使用して設定することができます。
注:
状況によっては、Windows 認証方式を使用するのではなく、Windows ユーザ セキュリティ コンテキスト機能と他の認証方式を併用する方が適しています。
NTLM 認証方式は、IIS Web サーバ上の Web エージェントで保護されているリソースに使用します。この場合、ユーザは Internet Explorer Web ブラウザを使用してリソースにアクセスします。この方式では、ユーザの認証情報を取得して確認できるように IIS Web サーバを正しく設定する必要があります。ポリシー サーバは、IIS サーバで保証されたユーザの識別情報に基づいて許可を決定します。
Windows 認証の前提条件が満たされていることを確認してください。
Windows 認証方式を設定するには、事前に以下の前提条件を満たしておく必要があります。
  • 混合モードのレガシー WinNT ディレクトリまたは Active Directory:
    • 管理 UI で作成するユーザ ディレクトリ接続で、WinNT ネームスペースが指定されていること。
    • リクエストされたリソースは、任意のタイプの Web サーバに置くことができること。ただし、それらのリソースを保護する認証サーバおよび Web エージェントは、Microsoft IIS Web サーバの上にある必要があります。
  • ネイティブ モードで稼働している Active Directory:
    • ユーザ データが Active Directory にあること。
    • ユーザ ディレクトリ接続で、LDAP または AD のどちらかのネームスペースが指定されていること。
    • リクエストされたリソースは、任意のタイプの Web サーバに置くことができること。ただし、それらのリソースを保護する認証サーバおよび Web エージェントは、Microsoft IIS Web サーバの上にある必要があります。
    • クライアント アカウントとサーバ アカウントが委任に対応していること。
  • ユーザは、Windows 認証情報を送信することをサポートし、認証情報を自動的に送信するように正しく設定されているブラウザを使用する必要があります。
  • Windows で IIS を使用する場合は、[ワイルドカード アプリケーション マップ]の[ファイルの存在を確認する]オプションが設定されていないこと。
  • Windows 認証方式では、creds.ntc ファイルを含む IIS Web サーバ上のすべての仮想ディレクトリが保護されないままであることが必要になります。
  • Internet Explorer ブラウザ オプションで、ユーザの現在のユーザ名とパスワードを使用して自動的にログオンできるように設定されていること。
Windows 認証方式の設定
Windows 認証方式を使用して、Windows 環境にあるユーザを認証します。
注:
ポリシー サーバではなく、IIS Web サーバが、Internet Explorer ブラウザから受け取った認証情報に基づいて認証を実行します。したがって、OnAuthAttempt 認証イベントを使用して、ユーザ ストアに存在しないユーザをリダイレクトすることはできません。
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [インフラストラクチャ]-[認証]をクリックします。
  2. [認証方式]をクリックします。
  3. [認証方式の作成]をクリックします。
    [認証方式タイプの新しいオブジェクトの作成]が選択されていることを確認します。
  4. [OK]をクリックします。 
  5. 名前と保護のレベルを入力します。
  6. [認証方式タイプ]リストから[Windows 認証テンプレート]を選択します。
  7. サーバ名、ターゲットおよびユーザ DN 情報を入力します。NT チャレンジ/レスポンス認証を必要とする環境の場合は、エージェントの所有者から以下の値を取得します。
    • Server Name
      IIS Web サーバの完全修飾ドメイン名。例: server1.myorg.com
    • ターゲット
      /siteminderagent/ntlm/smntlm.ntc
      注:
      このディレクトリは、インストール時にすでに設定された仮想ディレクトリと一致している必要があります。ターゲットである smntlm.ntc は、存在していなくてもかまいません。また、.ntc で終わる名前や、デフォルトの代わりに使用するカスタム MIME タイプでもかまいません。
    • ユーザ DN の検索
      cn=%{UID},cn=users,dc=%{DOMAIN},dc=com
      ライブラリ
    • smauthntlm
  8. [サブミット]をクリックします。
    認証方式が保存され、レルムに割り当て可能になります。