デスクトップSSOとは、統合Windows認証を用いることで、Active Directory（以下AD）に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。

※ご利用にはオプション申し込みが必要です。料金はこちら

設定方法

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

デスクトップSSO用のAD ユーザーを作成します。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。
setspnコマンドでサービスプリンシパル名を登録します。
登録：setspn -S HTTP/portal.trustlogin.com [作成済みADユーザー名]
※参考 setspnコマンド
解除：setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
確認：setspn -Q http/portal.trustlogin.com
keytabコマンドでKey Tableファイルを生成します。
ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [作成済みADユーザー名]@[ADドメイン名(大文字)] /pass [作成済みADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開きます。

項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。

・　名前：デスクトップSSOのログインボタン名
・　ドメイン名：ADドメイン名(大文字)
・　Keytabファイル：ADで生成したKeytabファイルをアップロード

ユーザーのsamAccountNameを設定します。「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。
```
・ 属性名 ：　UPN
・ 属性値 ：  [samAccountName]@[ADドメイン名(大文字)]
```
※なお、 AD連携オプションを利用になれば、samAccountNameは自動設定されるためこちらの作業は不要です。（3/2以前にダウンロードしたADコネクターは再インストールが必要です）

UPN連携を希望する場合にはこちらよりお問い合わせください。
デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

「メンバー追加」より利用するメンバーを登録します。

3. 利用者PC上の設定

ブラウザの統合認証設定を行います。

【Internet Explorer】
①ツール＞インターネットオプション＞セキュリティ＞ローカルイントラネット＞サイト
「https://portal.trustlogin.com」をゾーンに追加します。

②ツール＞インターネットオプション＞詳細設定
「統合Windows認証を使用する」にチェックが入っていることを確認します。

【Chrome】
※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

【Firefox】
① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

■ Firefox設定のヒント
Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
グループポリシーを使用して Firefox をカスタマイズする
※こちらの設定についてはサポート外となります。
動作確認を行います。

トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。

認証済みADに加入済みのPCから接続した場合

ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。

認証済みADに加入していない端末から接続した場合

デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

デスクトップSSO以外の認証方法を選択します。
※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

トラブルシューティング

Q: 設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A:上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

【IE、Chrome】

① Internet Explorerツール＞インターネットオプション＞セキュリティ＞ローカルイントラネット＞サイト「https://portal.trustlogin.com」を削除します。

【Firefox】

上記「３．利用者PCの設定＞１．ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

デスクトップSSO用のAD ユーザーを作成します。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。

setspnコマンドでサービスプリンシパル名を登録します。
登録：setspn -S HTTP/portal.trustlogin.com [作成済みADユーザー名]
※参考 setspnコマンド
解除：setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
確認：setspn -Q http/portal.trustlogin.com

keytabコマンドでKey Tableファイルを生成します。
ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [作成済みADユーザー名]@[ADドメイン名(大文字)] /pass [作成済みADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開きます。

項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。

・　名前：デスクトップSSOのログインボタン名
・　ドメイン名：ADドメイン名(大文字)
・　Keytabファイル：ADで生成したKeytabファイルをアップロード

ユーザーのsamAccountNameを設定します。「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。

・ 属性名 ：　UPN
・ 属性値 ：  [samAccountName]@[ADドメイン名(大文字)]

※なお、 AD連携オプションを利用になれば、samAccountNameは自動設定されるためこちらの作業は不要です。（3/2以前にダウンロードしたADコネクターは再インストールが必要です）

UPN連携を希望する場合にはこちらよりお問い合わせください。

デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

「メンバー追加」より利用するメンバーを登録します。

3. 利用者PC上の設定

ブラウザの統合認証設定を行います。

【Internet Explorer】
①ツール＞インターネットオプション＞セキュリティ＞ローカルイントラネット＞サイト
「https://portal.trustlogin.com」をゾーンに追加します。

②ツール＞インターネットオプション＞詳細設定
「統合Windows認証を使用する」にチェックが入っていることを確認します。

【Chrome】
※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

【Firefox】
① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

■ Firefox設定のヒント
Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
グループポリシーを使用して Firefox をカスタマイズする
※こちらの設定についてはサポート外となります。

動作確認を行います。

トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。

認証済みADに加入済みのPCから接続した場合

ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。

認証済みADに加入していない端末から接続した場合

デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

デスクトップSSO以外の認証方法を選択します。
※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

トラブルシューティング

Q: 設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A:上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

【IE、Chrome】

① Internet Explorerツール＞インターネットオプション＞セキュリティ＞ローカルイントラネット＞サイト「https://portal.trustlogin.com」を削除します。

【Firefox】

上記「３．利用者PCの設定＞１．ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。

サポート

シングルサインオン(SSO)や
認証に関する話題

デスクトップSSOの設定方法

設定方法

1. ADサーバ上の設定

2. トラスト・ログイン上の設定

3. 利用者PC上の設定

トラブルシューティング

デスクトップSSOの設定方法

設定方法

1. ADサーバ上の設定

2. トラスト・ログイン上の設定

3. 利用者PC上の設定

トラブルシューティング

デスクトップSSOの設定方法

設定方法

1. ADサーバ上の設定

2. トラスト・ログイン上の設定

3. 利用者PC上の設定

トラブルシューティング

関連記事

デスクトップSSOの設定方法

設定方法

1. ADサーバ上の設定

2. トラスト・ログイン上の設定

3. 利用者PC上の設定

トラブルシューティング

関連記事