デスクトップSSOの設定方法

デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。

※ご利用にはオプション申し込みが必要です。料金はこちら

▼デスクトップSSO  紹介動画はこちら

 

設定方法:

  1. ADサーバ上の設定

  2. トラスト・ログイン上の設定

  3. 利用者PC上の設定 

デスクトップSSOによる認証の優先設定方法

トラブルシューティング

 

設定方法

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

  1. デスクトップSSO用のAD ユーザーを作成します。
    ※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
    ※このユーザーは本機能で認証する度に利用しますので削除しないでください。

  2. setspnコマンドでサービスプリンシパル名を登録します。
    登録:setspn -S HTTP/portal.trustlogin.com [手順1で作成したADユーザー名]
    ※参考 setspnコマンド
    解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
    確認:setspn -Q http/portal.trustlogin.com

  3. keytabコマンドでKey Tableファイルを生成します。
    ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [手順1で作成したADユーザー名]@[ADドメイン名(大文字)] /pass [手順1で作成したADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

    生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

  1. ユーザーのsAMAccountNameを設定します。管理ページにログインし、「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。(CSVで一括登録することも可能です。)
    ・ 属性名 : UPN
    ・ 属性値 :  [sAMAccountName]@[ADドメイン名(大文字)]
    ※なお、 AD連携オプションを利用になれば、sAMAccountNameは自動設定されるためこちらの作業は不要です。(2020/3/2以前にダウンロードしたADコネクターは再インストールが必要です)
    ※SCIM IDP連携を使いAzure ADからユーザー属性を取得する場合は、こちらの作業は不要ですただし、ADとAzure ADで同じドメインの利用が必要です。

    desktopSSO_2_3.png

  2. 「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「デスクトップSSO設定追加」を開きます。

    desktopSSO_2_1.png
  3. 各項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
    「UPNの選択」はデスクトップSSO認証時に必要なUPN値を保持するカスタム属性項目名の指定に使用します。
    ・ 名前:デスクトップSSOのログインボタン名
    ・ ドメイン名:ADドメイン名(大文字)
    ・ Keytabファイル:ADで生成したKeytabファイルをアップロード
    ・ UPNの選択:(推奨設定)AzureAD SCIMユーザーはuserPrincipalName、それ以外のユーザーはUPN
    desktopSSO_2_2.png
  4. デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

    desktopsso_2_4.png
    ※サービスプリンシパル名は自動入力されます。

  5. 「メンバー追加」より利用するメンバーを登録します。

    desktopsso_2_5.png

3. 利用者PC上の設定

  1. ブラウザの統合認証設定を行います。

    【Internet Explorer】
    ①コントロールパネル > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
    「https://portal.trustlogin.com」をゾーンに追加します。

    desktopSSO_3_1.png

    ②コントロールパネル> インターネットオプション > 詳細設定
    「統合Windows認証を使用する」にチェックが入っていることを確認します。

    desktopSSO_3_2.png


    【Chrome、Edge(Chromium版)】
    ※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

    【Firefox】
    ① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

    desktopSSO_3_3.png

    ②  [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
    文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_4.png

    ③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
    文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_5.png

    ■ Firefox設定のヒント
    Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
    グループポリシーを使用して Firefox をカスタマイズする
    ※こちらの設定についてはサポート外となります。


  2. 動作確認を行います。

    トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。
    desktopSSO_3_6.png

    認証済みADに加入済みのPCから接続した場合
    ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。

    desktopSSO_3_7.png

    認証済みADに加入していない端末から接続した場合
    デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
    ※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

    desktopSSO_3_8.png
  3. デスクトップSSO以外の認証方法を選択します。
    ※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

    desktopSSO_3_9.png

デスクトップSSOによる認証の優先設定方法

  1. 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「編集」ボタンを押下します。
    「デスクトップSSOによる認証を優先して行う」の右側のバーのON/OFFにより設定を変更できます。

    ON:最初にデスクトップSSOによる認証を行い、失敗した場合認証方法の選択画面を表示する
    OFF:最初から認証方法の選択画面を表示する

    desktopSSO_3_10.png
    desktopSSO_3_9.png

トラブルシューティング

Q 1)設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A )上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

【IE、Chrome】

① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。

【Firefox】

上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。

Q2 )デスクトップSSOに失敗してしまいます。

A )デスクトップSSOでのログインに失敗する場合は、以下のチェックを行ってください。

チェック項目 対処方法
Active Directoryに接続可能でしょうか? トラスト・ログインにログインする際にActive Directoryに接続する必要があります。Active Directoryに接続できない場合は、ネットワークの設定をご確認ください。プロキシやVPNに問題のある場合もあります。
Windowsのログオンアカウントを間違っていませんか? トラスト・ログインのアカウントに対応するWindowsアカウントでPCにログオンする必要があります。ドメインユーザーのアカウントを利用しているかご確認ください。
ブラウザの設定は済んでいますか?

ブラウザで統合Windows認証の設定をする必要があります。ブラウザ毎の設定方法については、こちらの”3. 利用者PC上の設定”をご確認ください。

 

デスクトップSSOの設定方法

デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。

※ご利用にはオプション申し込みが必要です。料金はこちら

▼デスクトップSSO  紹介動画はこちら

 

設定方法:

  1. ADサーバ上の設定

  2. トラスト・ログイン上の設定

  3. 利用者PC上の設定 

デスクトップSSOによる認証の優先設定方法

トラブルシューティング

 

設定方法

1. ADサーバ上の設定

※2及び3の操作はコマンドによる操作が必要です。

  1. デスクトップSSO用のAD ユーザーを作成します。
    ※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
    ※このユーザーは本機能で認証する度に利用しますので削除しないでください。

  2. setspnコマンドでサービスプリンシパル名を登録します。
    登録:setspn -S HTTP/portal.trustlogin.com [手順1で作成したADユーザー名]
    ※参考 setspnコマンド
    解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
    確認:setspn -Q http/portal.trustlogin.com

  3. keytabコマンドでKey Tableファイルを生成します。
    ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [手順1で作成したADユーザー名]@[ADドメイン名(大文字)] /pass [手順1で作成したADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All

    生成したKeytabファイルをローカルに保存します。

2. トラスト・ログイン上の設定

  1. ユーザーのsAMAccountNameを設定します。管理ページにログインし、「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。(CSVで一括登録することも可能です。)
    ・ 属性名 : UPN
    ・ 属性値 :  [sAMAccountName]@[ADドメイン名(大文字)]
    ※なお、 AD連携オプションを利用になれば、sAMAccountNameは自動設定されるためこちらの作業は不要です。(2020/3/2以前にダウンロードしたADコネクターは再インストールが必要です)
    ※SCIM IDP連携を使いAzure ADからユーザー属性を取得する場合は、こちらの作業は不要ですただし、ADとAzure ADで同じドメインの利用が必要です。

    desktopSSO_2_3.png

  2. 「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「デスクトップSSO設定追加」を開きます。

    desktopSSO_2_1.png
  3. 各項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
    「UPNの選択」はデスクトップSSO認証時に必要なUPN値を保持するカスタム属性項目名の指定に使用します。
    ・ 名前:デスクトップSSOのログインボタン名
    ・ ドメイン名:ADドメイン名(大文字)
    ・ Keytabファイル:ADで生成したKeytabファイルをアップロード
    ・ UPNの選択:(推奨設定)AzureAD SCIMユーザーはuserPrincipalName、それ以外のユーザーはUPN
    desktopSSO_2_2.png
  4. デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。

    desktopsso_2_4.png
    ※サービスプリンシパル名は自動入力されます。

  5. 「メンバー追加」より利用するメンバーを登録します。

    desktopsso_2_5.png

3. 利用者PC上の設定

  1. ブラウザの統合認証設定を行います。

    【Internet Explorer】
    ①コントロールパネル > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
    「https://portal.trustlogin.com」をゾーンに追加します。

    desktopSSO_3_1.png

    ②コントロールパネル> インターネットオプション > 詳細設定
    「統合Windows認証を使用する」にチェックが入っていることを確認します。

    desktopSSO_3_2.png


    【Chrome、Edge(Chromium版)】
    ※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。

    【Firefox】
    ① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。

    desktopSSO_3_3.png

    ②  [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
    文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_4.png

    ③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
    文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。

    desktopSSO_3_5.png

    ■ Firefox設定のヒント
    Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
    グループポリシーを使用して Firefox をカスタマイズする
    ※こちらの設定についてはサポート外となります。


  2. 動作確認を行います。

    トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。
    desktopSSO_3_6.png

    認証済みADに加入済みのPCから接続した場合
    ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。

    desktopSSO_3_7.png

    認証済みADに加入していない端末から接続した場合
    デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
    ※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。

    desktopSSO_3_8.png
  3. デスクトップSSO以外の認証方法を選択します。
    ※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。

    desktopSSO_3_9.png

デスクトップSSOによる認証の優先設定方法

  1. 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「編集」ボタンを押下します。
    「デスクトップSSOによる認証を優先して行う」の右側のバーのON/OFFにより設定を変更できます。

    ON:最初にデスクトップSSOによる認証を行い、失敗した場合認証方法の選択画面を表示する
    OFF:最初から認証方法の選択画面を表示する

    desktopSSO_3_10.png
    desktopSSO_3_9.png

トラブルシューティング

Q 1)設定を間違えたためトラスト・ログインにログインできなくなってしまいました。

A )上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。

【IE、Chrome】

① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。

【Firefox】

上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。

Q2 )デスクトップSSOに失敗してしまいます。

A )デスクトップSSOでのログインに失敗する場合は、以下のチェックを行ってください。

チェック項目 対処方法
Active Directoryに接続可能でしょうか? トラスト・ログインにログインする際にActive Directoryに接続する必要があります。Active Directoryに接続できない場合は、ネットワークの設定をご確認ください。プロキシやVPNに問題のある場合もあります。
Windowsのログオンアカウントを間違っていませんか? トラスト・ログインのアカウントに対応するWindowsアカウントでPCにログオンする必要があります。ドメインユーザーのアカウントを利用しているかご確認ください。
ブラウザの設定は済んでいますか?

ブラウザで統合Windows認証の設定をする必要があります。ブラウザ毎の設定方法については、こちらの”3. 利用者PC上の設定”をご確認ください。