ログオン ページまたはエラー ページにリダイレクトされるか、Office ドキュメント内の SSO Web サイトへのハイパーリンクをクリックすると認証情報の入力を求められます
現象
Microsoft Office ドキュメント内のハイパーリンクをクリックすると、要求したページを開く前に次の動作が発生することがあります。
- ログオン ページまたはエラー ページにリダイレクトされる
- 認証情報の入力を求められます。
通常、この動作は、次の条件に該当する場合に発生します。
- Web ブラウザーの外部で編集モードで Office ドキュメントを開きます。
- ハイパーリンク内の Web サイトは、クライアントの識別に HTTP セッション Cookie に依存するシングル サインオン (SSO) 認証システムを使用します。 ユーザー資格情報を既に指定している場合でも、ユーザー資格情報をもう一度入力するように求められます。
原因
サーバーが Web の作成とコラボレーションをサポートしている場合、Office では Web サイトでドキュメントを編集および作成できます。 最初に、Office は Web サーバーとの通信を試みます。 その後、Office は、Microsoft ハイパーリンク ライブラリ (Hlink.dll) と URLMON API を使用して、リソースに直接バインドしようとします。
Office が Web ページ要求を送信すると、SSO システムの Web サイト ログオン ページにリダイレクトされる場合があります。 この動作は、Office セッションが、ユーザー資格情報を既に指定している可能性がある Web ブラウザー セッションに依存しないために発生します。
セッションは独立しているため、セッション Cookie は共有されません。 SSO システムがセッション Cookie 情報のみに依存している場合は、同じユーザーが複数のセッションから移動するため、SSO システムが機能しない可能性があります。 この動作は、SSO システムがクライアント デスクトップ上の複数のブラウザーまたは Web 対応アプリケーションで SSO 認証をサポートするように設計されていない場合の、SSO システムの基本的な設計上の制限です。 Office は完全に Web 対応のアプリケーションであるため、クライアントによってインストールされる唯一の Web 対応クライアントである場合、問題は Office アプリlications に固有に表示されることがあります。 ただし、この問題の根本原因は Microsoft Office に限定されるものではなく、サード パーティ製ソフトウェアを使用する場合にこの問題が発生する可能性があります。
回避策
この問題は、Web サーバーで使用される SSO システムの制限です。 ただし、次のいずれかの方法を使用して、SSO で保護された Web サイトの現在の影響を軽減できる場合があります。
Internet Explorer から Office へのハイパーリンク
Web ページのハイパーリンクが Office ファイルを開き、Web ページが Internet Explorer でホストされている場合にこの問題が発生する場合は、インライン ナビゲーションとしてではなく、読み取り専用ダウンロードとしてコンテンツを明示的にマークすることで、この問題を回避できます。
これを行うには、Office ファイルの内容の GET 応答にカスタム HTTP ヘッダーを追加します。 "Content-Disposition: Attachment" ヘッダーを追加します。 GET 応答にこのヘッダーが含まれている場合、Internet Explorer はユーザーにダウンロードを開くか保存するように求めます。 ユーザーがダウンロードを開く場合、ファイルは Internet Explorer の一時ファイル キャッシュから読み取り専用で開きます。 ユーザーは、ファイルを変更してローカルに保存することを選択できます。 ただし、ユーザーはファイルをサーバーに保存したり、Web サイトの Web サービスと共同作業したりすることはできません。 したがって、このソリューションは、ファイルを読み取り専用にする場合にのみ機能します。
"Content-Disposition" ヘッダーは、Microsoft Active Server Pages (ASP)、Microsoft ASP.NET、または動的に生成されたコンテンツを操作するときに ISAPI でコードを使用して設定できます。 コンテンツが静的な場合は、IIS マネージャーと IIS メタベースを使用して、特定のファイルまたはフォルダーのヘッダーを構成できます。 Content-Disposition HTTP ヘッダーの詳細については、「 既知の MIME の種類の [ファイルのダウンロード] ダイアログ ボックスを生成する方法を参照してください。
Office から Internet Explorer または別の Web ブラウザーへのハイパーリンク
HTML Web コンテンツを直接開くか HTML コンテンツにリダイレクトする Office ドキュメントのハイパーリンクをクリックしたときにこの問題が発生した場合、クライアント ユーザーは、レジストリ キーを有効にして、Office からのハイパーリンクに直接バインドするのではなく、ブラウザーにハイパーリンク ナビゲーションを送信することで、問題を回避できます。 詳細については、「 Office でハイパーリンクをクリックしたときのエラー メッセージ: "インターネット サーバーまたはプロキシ サーバーが見つかりません"」を参照してください。
Note
インストールされている Office のバージョンに関係なく、Office でハイパーリンクをクリックすると、 エラー メッセージで指定されている正確な場所にレジストリ キーを追加します。"インターネット サーバーまたはプロキシ サーバーが見つかりません"。
このレジストリ設定を使用すると、Office で使用される HLINK コンポーネントが既定の Web ブラウザーでハイパーリンクを開きます。 このレジストリ設定は、Office だけでなく、すべての HLINK クライアントに影響します。 そのため、このレジストリ キーは慎重に使用してください。
その他の情報
この問題を完全に解決するために、SSO プロバイダーには、Web 作成を可能にするシステムと、複数のセッションを使用するクライアントを開発することをお勧めします。 この構成により、SSO システムが複雑になります。 ただし、この構成では、最も使いやすさの高いオプションもクライアントに提供されます。 Microsoft は現在、長期的なソリューションの主要な SSO プロバイダーと協力しています。
さらに、Microsoft では、エンド ユーザーが Office を使用して次のシナリオをより適切に予測および管理する方法を調査しています。
- ユーザーは、読み取り専用モードでハイパーリンクを開く予定です。 このシナリオでは、ハイパーリンクが参照モードで開かれます。
- ユーザーがコンテンツを変更する必要があります。 このシナリオでは、作成とコラボレーションに新しいセッションが必要です。
これらの構成の変更により、「現象」セクションに記載されている問題の影響が軽減される場合があります。 これらの変更により、ユーザーが複数セッション クライアントを含む構成をサポートしていない SSO サイトにアクセスしたときに、ユーザーの柔軟性が向上する場合もあります。
SSO デザイナーまたは開発者の場合は、複数セッション クライアントのサポートを追加できます。 たとえば、次のメソッドを使用できます。
永続的な Cookie 情報とセッション Cookie 情報を使用して、1 つのクライアントがデスクトップ上のアプリケーション間でセッションを通過したタイミングを特定します。 次に、クライアントを単一セッションに戻すか、新しいセッションを認証するために Web 応答を提供します。
クライアント側コンポーネントを使用して、統合認証システムを作成します。 この統合認証システムを使用して、同じユーザー認証トークンで開始されたすべてのプロセスを認証します。
証明書またはその他のセキュリティ強化された永続的な識別方法を使用して、クライアントを認証します。
複数セッションのクライアント要求である可能性がある HTTP 要求の場合は、サーバー側のリダイレクト応答ではなく、クライアント側のリダイレクト応答を発行します。 たとえば、HTTP 302 応答ではなく、HTTP スクリプトまたは META REFRESH タグを送信します。 この変更により、クライアントはユーザーの既定の Web ブラウザーに強制的に戻されます。 そのため、既定のブラウザー セッションは呼び出しを処理でき、1 つの読み取り専用セッションで呼び出しを保持できます。
このメソッドでは、作成を許可しません。 ただし、この方法では、SSO システムが複数セッションのクライアントを処理せず、クライアントが既定のブラウザー セッションのみにとどまっていることを明らかにします。
この構成変更に対する正確なアプローチは、設計目標と、クライアント デスクトップとの統合レベルによって異なります。