デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。
※ご利用にはオプション申し込みが必要です。料金はこちら
設定方法
1. ADサーバ上の設定
※2及び3の操作はコマンドによる操作が必要です。
- デスクトップSSO用のAD ユーザーを作成します。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。 - setspnコマンドでサービスプリンシパル名を登録します。
登録:setspn -S HTTP/portal.trustlogin.com [作成済みADユーザー名]
※参考 setspnコマンド
解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
確認:setspn -Q http/portal.trustlogin.com - keytabコマンドでKey Tableファイルを生成します。
ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [作成済みADユーザー名]@[ADドメイン名(大文字)] /pass [作成済みADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All
生成したKeytabファイルをローカルに保存します。
2. トラスト・ログイン上の設定
- 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開きます。
- 項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
・ 名前:デスクトップSSOのログインボタン名
・ ドメイン名:ADドメイン名(大文字)
・ Keytabファイル:ADで生成したKeytabファイルをアップロード - ユーザーのsamAccountNameを設定します。「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。
・ 属性名 : UPN
※なお、 AD連携オプションを利用になれば、samAccountNameは自動設定されるためこちらの作業は不要です。(3/2以前にダウンロードしたADコネクターは再インストールが必要です)
・ 属性値 : [samAccountName]@[ADドメイン名(大文字)]
UPN連携を希望する場合にはこちらよりお問い合わせください。 - デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。
「メンバー追加」より利用するメンバーを登録します。
3. 利用者PC上の設定
- ブラウザの統合認証設定を行います。
【Internet Explorer】
①ツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
「https://portal.trustlogin.com」をゾーンに追加します。
②ツール > インターネットオプション > 詳細設定
「統合Windows認証を使用する」にチェックが入っていることを確認します。
【Chrome】
※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。
【Firefox】
① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。
② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。
③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。
■ Firefox設定のヒント
Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
グループポリシーを使用して Firefox をカスタマイズする
※こちらの設定についてはサポート外となります。 - 動作確認を行います。
トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。
認証済みADに加入済みのPCから接続した場合
ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。
認証済みADに加入していない端末から接続した場合
デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。
デスクトップSSO以外の認証方法を選択します。
※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。
トラブルシューティング
Q: 設定を間違えたためトラスト・ログインにログインできなくなってしまいました。
A:上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。
【IE、Chrome】
① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。
【Firefox】
上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。