Microsoft Entra ID に Kerberos および証明書ベースの認証を実装する

  • 3 分

アプリケーション プロキシを使って公開されているオンプレミスのアプリケーションにシングル サインオンを提供できます。 アプリは統合 Windows 認証でセキュリティ保護されます。 これらのアプリケーションにアクセスするには Kerberos チケットが必要です。 アプリケーション プロキシは、Kerberos の制約付き委任 (KCD) を使って、これらのアプリケーションをサポートします。 アプリケーションへのシングル サインオンは、統合 Windows 認証を使用して有効にすることができます。 Active Directory でアプリケーション プロキシ コネクタにアクセス許可を付与して、ユーザーを偽装します。 コネクタはこのアクセス許可を利用し、ユーザーの代理としてトークンを送受信します。

Kerberos 認証のプロセス フロー

Diagram of the process flow for Kerberos authentication in Microsoft Entra ID. Full description of process is in the content.

  1. ユーザーは、オンプレミスのアプリケーションにアプリケーション プロキシをとおしてアクセスするための URL を入力します。
  2. この要求がアプリケーション プロキシによって Microsoft Entra 認証サービスにリダイレクトされて、事前認証が行われます。 この時点で、Microsoft Entra ID の認証および承認のポリシーのうち、該当するものが適用されます (たとえば多要素認証)。 ユーザーの正当性が確認された場合、Microsoft Entra ID はトークンを作成し、ユーザーに送信します。
  3. ユーザーは、このトークンをアプリケーション プロキシに渡します。
  4. アプリケーション プロキシがこのトークンを検証し、ユーザー プリンシパル名 (UPN) をトークンから取り出してから、コネクタが二重認証済みのセキュリティで保護されたチャネルを介して UPN とサービス プリンシパル名 (SPN) をプルします。
  5. コネクタは、オンプレミス AD との KCD (Kerberos の制約付き委任) ネゴシエーションを実行します。このときに、ユーザーの代理でアプリケーションに対する Kerberos トークンを取得します。
  6. Active Directory は、そのアプリケーション用の Kerberos トークンをコネクタに送信します。
  7. コネクタは、AD から受信した Kerberos トークンを使用して、元の要求をアプリケーション サーバーに送信します。
  8. アプリケーションから応答がコネクタに送信されます。この応答はアプリケーション プロキシ サービスに返され、最終的にユーザーに返されます。

環境の準備ができていることを確認する

統合 Windows 認証 アプリケーションでのシングル サインオンに着手する前に、ご使用の環境が次の設定と構成に対応していることを確認してください。

  • 対象のアプリ (SharePoint Web アプリなど) が統合 Windows 認証を使用するように設定されていること。
  • 対象となるすべてのアプリにサービス プリンシパル名があること。
  • コネクタを実行するサーバーと、アプリケーションを実行するサーバーが、ドメインに参加していること。
  • Connector を実行しているサーバーに、ユーザーの TokenGroupsGlobalAndUniversal 属性を読み取るためのアクセス権があること。