統合Windows認証
概 要
統合Windows認証はActive Directoryドメイン環境で使用できるシングルサインオン機能です。
FileBlogに接続するとフォーム認証(ID/パスワードの入力)なしに自動的にFileBlogにログインします。
ユーザー認証に用いられるのはWindows PCにサインインしているドメインユーザーアカウントです。
Windowsドメインに参加していない端末とWindows以外のOSの端末では本機能を利用できません。たとえばiOSなどのモバイル端末からFileBlogに接続するとフォーム認証になります。
統合Windows認証に使用要件
Active DirectoryがKerberos認証をサポートしていること。
ファイルサーバーがKerberos認証および委任をサポートしていること。
対象のファイルサーバーとFileBlogサーバー、およびクライアントがActive Directoryドメインに参加していること。
ログインするユーザーがActive Directoryユーザーアカウントであること。
サーバーとクライアントの時刻が同期されていること。
認証Ticketには使用期限がありクライアント時刻とサーバー時刻のずれが大きいと認証失敗の要因になります。
Windows Server(2016以降)を使用していること。
Microsoft Edge(Chromium版)、Windows版 Google Chromeを使用すること。
FileBlogへの接続にHTTPプロキシサーバーを経由しないこと。
長時間のバックグランド処理(コピー、移動、削除、圧縮、解凍、プロパティ更新)を行う場合には本機能の使用は避けてください。
バックグラウンド処理中に統合認証チケットが無効になり処理が中断されることがあります。
この場合、一旦ログアウトしてフォーム認証(ID/パスワードを入力)で再ログインを行ってから操作を実行してください。
システム構成例
次のようなシステム構成を例に設定手順を説明します。
サーバー |
マシン名 |
説明 |
|---|---|---|
FileBlogサーバー |
spt_fb01 |
FileBlogをインストールしたマシン |
Active Directoryサーバー |
spt_dc01 |
Active Directoryサービスが稼働しているマシン |
ファイルサーバー |
spt_fs01 |
ドキュメントルートフォルダのあるサーバー |
名前空間サーバー |
spt_dfs01 |
DFS名前空間をホストするサーバー 共有フォルダのパスが |
上記4つの全てが同一ドメインに所属しています。
DFS名前空間の環境ではない場合は名前空間サーバーについては無視してください。
サーバー設定
FileBlogサーバーの設定
FileBlogをインストールしたマシン(spt_fb01)の設定です。
Fb5Webサービス(Webサーバー)の実行アカウントは、標準既定の ローカルシステムアカウント(SYSTEM)にします。
ドメイン設定をしていない場合は設定します。
ドメイン名はNetBios形式で指定します。(アクセスログなどでFQDN形式と混在します)
[管理ツール > 設定全般]を選択します。
[すべての設定 > WEBサーバー > 認証 > 統合Windows認証]を選択します。
[Enabled]にチェックを入れると統合Windows認証モードが有効になります。
[Scope > 変更]を選択して統合Windwos認証モードの動作を許可する範囲を定義します。
許可するIPアドレスとユーザーエージェントを指定します。 | 項目 | 説明 | | --- | --- | | IPアドレス | 指定したIPアドレス範囲で統合Windows認証が有効になります。 | | ユーザーエージェント | 通常は変更しません。
対象となるWEBブラウザ種別(ユーザーエージェント)を
限定・拡張するときに変更します。 | | ホスト | 統合Windows認証できるサーバーのホスト名を制限します。 |
[保存する]を選択してサービスを再起動します。
Active Directoryサーバーの設定
ドキュメントルートフォルダのファイルサーバーが(spt_fs01)がFileBlogサーバーのローカルドライブでない場合(ネットワークドライブの場合)、ログインユーザーの代理でCIFSサービスを利用するための委任設定が必要です。
ドキュメントルートフォルダがFileBlogサーバー(spt_fb01)のローカルドライブにある場合は委任設定が不要です。(この章はスキップしてください)
Active Directoryサーバー(spt_dc01)にて、[サーバーマネージャー > ツール > Active Directoryユーザーとコンピューター > ドメイン > Computers > spt_fb01 プロパティ > 委任タブ]を開きます。
[指定されたサービスへの委任でのみこのコンピューターを信頼する]と[任意の認証プロトコルを使う]にチェックを入れます。
[追加]を選択して[ユーザーまたはコンピューター > cifs SPT-FS01]を選択します。
[cifs spt_fs01]を選択して[OK]でプロパティを閉じます。
ドキュメントルートフォルダにDFS名前空間のフォルダを指定している場合、同様に名前空間サーバー「spt_dfs01」も任意の認証プロトコルで委任を設定します。
DFS名前空間を複数台の名前空間サーバーで構成している場合、その全てに対して任意の認証プロトコルで委任を設定します。
FileBlogサーバー(spt_fb01)のOSを再起動します。
注 意
ドキュメントルートが複数あって接続先ホスト(ファイルサーバー)がそれぞれ異なる場合は各ホストに設定が必要です。
ドキュメントルートの設定では、FQDN形式(
\\ホスト名\共有名)で指定します。任意の認証プロトコルの委任設定で使用するコンピューター名とホスト名を一致させてください。
ホスト名はIPアドレスやFQDNではなくコンピューター名(NetBIOS名)で指定してください。
ドキュメントルートフォルダのパスの入力形式
有 効
パ ス
×
\\192.168.0.100\share
○
\\spt_fs01\share
任意の認証プロトコルの委任設定で入力するFileBlogサーバーを信頼するコンピューター名の入力形式
有 効
パ ス
×
192.168.0.100
×
spt_fs01.local.net
○
spt_fs01
クライアントの設定
インターネットオプションの設定
[WIndowsコントロールパネル > ネットワークとインターネット > インターネットオプション > 詳細設定タブ]を開きます。
[統合Windows認証を使用する]にチェックを入れます。
[セキュリティ > ローカルイントラネット > サイト > 詳細設定]を選択します。
FileBlogサーバーのURLを登録します。
NetBIOS名でコンピューター名を指定すると標準でローカルイントラネットに含まれるため設定は不要です。([イントラネットのネットワークを自動で検出する]がONの場合)
ドメイン含む形式(FQDN名)でコンピューター名を指定すると標準ではローカルイントラネットには含まれていないため設定が必要です。
[セキュリティ > ローカルイントラネット > レベルのカスタマイズ > 詳細設定]を選択します。
[イントラネットゾーンでのみ自動的にログオンする](イントラネットで利用している場合)、または[現在のユーザー名とパスワードで自動的にログオンする]にチェックを入れます。
注 意
FileBlogサーバーへ接続するときにHTTPプロキシサーバーを経由させないようにしてください。
ショートカットやブックマークに登録するURLは
http://fpt_fs01/{{product-s}}/にします。http://fpt_fs01/{{product-s}}/#/loginで登録すると必ずログイン画面に遷移してしまいます。
クライアント側の設定を正しく行っても統合Windows認証(シングルサインオン)できない場合
サーバー設定に不備がないか確認してください。
クライアントOSの再起動を行ってください。
トラブルシューティング
統合Windows認証できない、ログイン画面が表示されてしまう
「FileBlogサーバーの設定」において[Enabled](統合Windows認証を有効にする)にチェックが入っていますか。
FileBlogサーバーのWindows OSを再起動しましたか。
WEBブラウザはEdgeまたはChromeですか。
FileBlogサーバーに接続するのにHTTPプロキシサーバーを経由していませんか。
ドキュメントルートフォルダが表示されない
「Active Directoryサーバーの設定」において委任設定は正しく設定されていますか。
ドキュメントルートのホスト名と委任設定のコンピューター名がそろっていますか。
委任設定後にFileBlogサーバーのWindows OSを再起動しましたか。