デスクトップSSO

デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。

※ご利用にはオプション申し込みが必要です。料金はこちら

 

設定方法

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

  1. デスクトップSSO用のAD ユーザーを作成します。
    ※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
    ※このユーザーは本機能で認証する度に利用しますので削除しないでください。
  2. setspnコマンドでサービスプリンシパル名を登録します。
    登録:setspn -S HTTP/portal.trustlogin.com [作成済みADユーザー名]
    ※参考 setspnコマンド
    解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
    確認:setspn -Q http/portal.trustlogin.com
  3. keytabコマンドでKey Tableファイルを生成します。
    ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [作成済みADユーザー名]@[ADドメイン名(大文字)] /pass [作成済みADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

    生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

  1. 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開きます。

    desktopSSO_2_1.png
  2. 項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
    ・ ドメイン名:ADドメイン名(大文字)
    ・ サービスプリンシバル名:HTTP/portal.trustlogin.com
    ・ Keytabファイル:ADで生成したKeytabファイルをアップロード
    desktopSSO_2_2.png
  3. ユーザーのUPNを設定します。「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。
    ・ name : UPN
    ・ value :  [ADユーザー名]@[ADドメイン名(大文字)]
    ※ こちらはユーザー毎の設定が必要になります。PROプランではCSVで一括登録できる機能を追加予定です。
    desktopSSO_2_3.png
  4. デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

    desktopSSO_2_4.png

    「メンバー追加」より利用するメンバーを登録します。

    desktopSSO_2_5.png

 

3. 利用者PC上の設定

  1. ブラウザの統合認証設定を行います。

    【Internet Explorer】
    ①ツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
    「https://portal.trustlogin.com」をゾーンに追加します。

    desktopSSO_3_1.png

    ②ツール > インターネットオプション > 詳細設定
    「統合Windows認証を使用する」にチェックが入っていることを確認します。

    desktopSSO_3_2.png


    【Chrome】
    ※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

    【Firefox】
    ① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

    desktopSSO_3_3.png

    ② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。

    desktopSSO_3_4.png

    ③文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_5.png
  2. 動作確認を行います。

    トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。

    desktopSSO_3_6.png

    認証済みADに加入済みのPCから接続した場合
    ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。


    desktopSSO_3_7.png

    認証済みADに加入していない端末から接続した場合
    デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
    ※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

    desktopSSO_3_8.png
    デスクトップSSO以外の認証方法を選択します。
    ※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

    desktopSSO_3_9.png

 トラブルシューティング

Q: 設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A:上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

 

【IE、Chrome】

① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。

 

【Firefox】

上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。

 

デスクトップSSO

デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。

※ご利用にはオプション申し込みが必要です。料金はこちら

 

設定方法

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

  1. デスクトップSSO用のAD ユーザーを作成します。
    ※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
    ※このユーザーは本機能で認証する度に利用しますので削除しないでください。
  2. setspnコマンドでサービスプリンシパル名を登録します。
    登録:setspn -S HTTP/portal.trustlogin.com [作成済みADユーザー名]
    ※参考 setspnコマンド
    解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
    確認:setspn -Q http/portal.trustlogin.com
  3. keytabコマンドでKey Tableファイルを生成します。
    ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [作成済みADユーザー名]@[ADドメイン名(大文字)] /pass [作成済みADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

    生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

  1. 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開きます。

    desktopSSO_2_1.png
  2. 項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
    ・ ドメイン名:ADドメイン名(大文字)
    ・ サービスプリンシバル名:HTTP/portal.trustlogin.com
    ・ Keytabファイル:ADで生成したKeytabファイルをアップロード
    desktopSSO_2_2.png
  3. ユーザーのUPNを設定します。「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。
    ・ name : UPN
    ・ value :  [ADユーザー名]@[ADドメイン名(大文字)]
    ※ こちらはユーザー毎の設定が必要になります。PROプランではCSVで一括登録できる機能を追加予定です。
    desktopSSO_2_3.png
  4. デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

    desktopSSO_2_4.png

    「メンバー追加」より利用するメンバーを登録します。

    desktopSSO_2_5.png

 

3. 利用者PC上の設定

  1. ブラウザの統合認証設定を行います。

    【Internet Explorer】
    ①ツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
    「https://portal.trustlogin.com」をゾーンに追加します。

    desktopSSO_3_1.png

    ②ツール > インターネットオプション > 詳細設定
    「統合Windows認証を使用する」にチェックが入っていることを確認します。

    desktopSSO_3_2.png


    【Chrome】
    ※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

    【Firefox】
    ① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

    desktopSSO_3_3.png

    ② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。

    desktopSSO_3_4.png

    ③文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_5.png
  2. 動作確認を行います。

    トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。

    desktopSSO_3_6.png

    認証済みADに加入済みのPCから接続した場合
    ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。


    desktopSSO_3_7.png

    認証済みADに加入していない端末から接続した場合
    デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
    ※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

    desktopSSO_3_8.png
    デスクトップSSO以外の認証方法を選択します。
    ※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

    desktopSSO_3_9.png

 トラブルシューティング

Q: 設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A:上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

 

【IE、Chrome】

① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。

 

【Firefox】

上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。