概述
Active Directory 環境では、統合 Windows 認証(Kerberos) を利用することで、ユーザーが Windows にログインしている認証情報をそのまま利用し、C&M に追加ログインすることなく CAMServer へ自動ログイン(SSO) できます。
従来、この仕組みは IIS / ASP.NET を利用して構築する必要がありましたが、本機能では CAMServer が直接 Kerberos 認証を処理します。これにより、IIS などの追加サーバを用意することなく、よりシンプルな構成で統合 Windows 認証による SSO を実現できます。
SSOフロー
SSO処理の流れ
- CAMServerへアクセス
ユーザーがブラウザでCAMServerへアクセス。ユアクセス時に、アプリケーションの一時トークンをPOSTで送信 - 認証要求
CAMServerは一時トークン検証後、ブラウザに対してWindows認証(Negotiate)を要求 - Kerberosチケット取得
ブラウザはWindowsログオン情報を利用して、
Active DirectoryのKDCからKerberosサービスチケットを取得 - Kerberosチケット送信
ブラウザは取得したKerberosチケットを
HTTPヘッダーに付与してCAMServerへ再送 - チケット検証
CAMServerはkeytabを利用してKerberosチケットを検証。検証が成功すると、チケットに含まれるKerberos principal を取得 - LDAP検索とCAMユーザー照合
取得した Kerberos principal からLADP検索を行いADのユーザ情報を取得し、CAMServerに登録されているユーザーと照合。一致した場合ログインを許可する - ログイン完了
CAMServerはログインセッションを発行し、
ユーザーはログイン画面を表示せずにCAMServerを利用できます。
Windows認証を行うFQDN以外でアクセスした場合や、ドメインに参加していないPCからのアクセスの場合は、C&M上のログイン認証が行われます。
動作要件
本機能を利用するためには、以下の環境が必要です。
Active Directory 環境
- Active Directory ドメインが構築されていること
CAMServer サーバ
- CAMServer に FQDN でアクセスできること
- CAMServer を動作させる Windows Server が、Active Directory ドメインに参加していること
既存のWindows Server が参加しているドメインを確認するには、「サーバーマネージャー」→ 左メニュー「ローカルサーバー」クリック→「コンピューター名」をクリックしドメイン欄を参照
利用ユーザー
- 利用者PCがドメイン参加し、Windowsへドメインログオンしていること
- SSO対象ユーザーは、ユーザーIDが 使用者主體名稱 (UPN 形式)で CAMServer に事前登録されていること (例 user@camtest.com)
対応ブラウザ
以下のブラウザでWindows認証SSOが利用可能です。
- Microsoft Edge
- Google Chrome
- camapp
ロードバランサー構成について
Windows認証(Kerberos)は、HTTP認証ヘッダによるネゴシエーションを行う認証方式のため、CAMServer を443ポートで起動したまま、ロードバランサーはL4(TLSパススルー)が必要です。
推奨構成
ユーザ ──HTTPS──▶ L4ロードバランサー(TLSパススルー) ──HTTPS──▶ CAMServer(443)
NG構成
ユーザ──HTTPS──▶ L7ロードバランサー(SSL終端) ──HTTP──▶ CAMServer(8080)
構築手順
以下構築手順では、「構成例」を元に説明いたします。
構成例
- Windows認証を行うFQDN:
https://test.chat-messenger.com - Active Directory ドメイン名:
camtest.com - サービスアカウント:
cam-svc@camtest.com(CAMTEST\cam-svc)
SPN登録概要
SPN(服務主體名稱)是在 Kerberos 驗證中唯一標識 Active Directory 上特定服務的名稱。如果您使用 FQDN 存取服務,註冊 SPN 將使用戶端能夠成功為您正在存取的服務請求 Kerberos 票證。
例如 https://test.chat-messenger.com にアクセスする際、クライアント(ブラウザ)は Active Directory に「HTTP/test.chat-messenger.com というサービスに接続したい」とチケットを要求します。Active Directory は、その SPN がどのアカウントに紐付いているかを確認し、該当するサービスチケットを発行します。SPN が正しく登録されていないと、Kerberos 認証に失敗します。
服務帳戶
Kerberos認証用のサービスアカウントを作成します。ドメインユーザーであれば可能ですが、通常ユーザーとサービスアカウントを分離し、誤操作やパスワードポリシーの適用範囲を明確にするため、OU=服務帳戶 就像,OU 使用者 Active Directory 網域控制站,凸輪服務 創建一個
アカウントオプションで以下をチェックしてください。
- パスワードを無期限にする
- このアカウントで Kerberos AES 256 ビット暗号化をサポートする
使用服務帳戶註冊 SPN
setspn -S HTTP/test.chat-messenger.com CAMTEST\cam-svc使用上面建立的服務帳戶註冊 SPN。
- 可以使用網域中的任何設備,但需要網域管理員權限。
・SPN 也用於 HTTPS 通信HTTP/主機名稱您必須按照以下格式註冊:
以下のコマンドでSPNが登録されていることを確認します。
setspn -L CAMTEST\cam-svckeytab作成
CAMServerがKerberosチケットを検証できるように、サービスアカウントのkeytabファイルを作成します。Active Directory管理サーバで以下のコマンドを実行します。
ktpass /out CAMServer\config\windowsAuth\cam.keytab /princ HTTP/test.chat-messenger.com@CAMTEST.COM /mapuser CAMTEST\cam-svc /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /pass "*******"CAMServer 設定
Windows認証を利用するために、CAMServerの設定ファイル(boot.ini)へ以下を追加します。各値は環境毎に置き換えてください。
# Kerberos レルム(通常は Active Directory ドメイン名を大文字で指定)
# 例: camtest.com ドメイン → CAMTEST.COM
cam.windowsAuth.realm=CAMTEST.COM
# Windows認証を行うFQDN
cam.windowsAuth.FQDN=test.chat-messenger.com
# Kerberos KDC
# 通常は Active Directory のドメインコントローラのFQDN。ポートTCP/UDP 88 は Kerberos 標準ポートでリッスンされている
cam.windowsAuth.kdc=ad.camtest.com:88
設定互聯網選項
CAMServer のFQDNをイントラネットゾーンに追加
インターネット オプションを選択し、「セキュリティ」タブをクリックし、「ローカル イントラネット」を選択 「サイト」ボタンをクリックし、「詳細設定」を選択しサイトのURL(https://test.chat-messenger.com)を追加
檢查自動登入
按一下“自訂等級”,然後在“使用者驗證”→“登入”下,請確保選擇“在內網路區域自動登入”。
