デスクトップSSOとは、統合Windows認証を用いることで、Active Directory(以下AD)に参加しているデバイスであればトラスト・ログインへの認証が不要にすることができる機能です。
※ご利用にはオプション申し込みが必要です。料金はこちら
▼デスクトップSSO 紹介動画はこちら
設定方法: |
設定方法
1. ADサーバ上の設定
※2及び3の操作はコマンドによる操作が必要です。
- デスクトップSSO用のAD ユーザーを作成します。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。 - setspnコマンドでサービスプリンシパル名を登録します。
登録:setspn -S HTTP/portal.trustlogin.com [手順1で作成したADユーザー名]
※参考 setspnコマンド
解除:setspn -D http/portal.trustlogin.com [ADドメイン名]\[作成済みADユーザー名]
確認:setspn -Q http/portal.trustlogin.com - keytabコマンドでKey Tableファイルを生成します。
ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [手順1で作成したADユーザー名]@[ADドメイン名(大文字)] /pass [手順1で作成したADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto All
生成したKeytabファイルをローカルに保存します。
2. トラスト・ログイン上の設定
- ユーザーのsAMAccountNameを設定します。管理ページにログインし、「管理ページ > メンバー」から対象のメンバーを選択し、「カスタム属性」タブを開き「編集」をクリックします。AD用のカスタム属性を以下の通り設定し、「保存」します。(CSVで一括登録することも可能です。)
・ 属性名 : UPN
※なお、 AD連携オプションを利用になれば、sAMAccountNameは自動設定されるためこちらの作業は不要です。(2020/3/2以前にダウンロードしたADコネクターは再インストールが必要です)
・ 属性値 : [sAMAccountName]@[ADドメイン名(大文字)]
※SCIM IDP連携を使いAzure ADからユーザー属性を取得する場合は、こちらの作業は不要です。ただし、ADとAzure ADで同じドメインの利用が必要です。 - 「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「デスクトップSSO設定追加」を開きます。
- 各項目の入力及びKeytabファイルをアップロードし、「登録」ボタンを押します。
「UPNの選択」はデスクトップSSO認証時に必要なUPN値を保持するカスタム属性項目名の指定に使用します。
・ 名前:デスクトップSSOのログインボタン名
・ ドメイン名:ADドメイン名(大文字)
・ Keytabファイル:ADで生成したKeytabファイルをアップロード
・ UPNの選択:(推奨設定)AzureAD SCIMユーザーはuserPrincipalName、それ以外のユーザーはUPN - デスクトップSSOを利用するユーザーを指定します。デスクトップSSOの設定画面を開き、デスクトップSSOの名前をクリックします。
※サービスプリンシパル名は自動入力されます。 - 「メンバー追加」より利用するメンバーを登録します。
3. 利用者PC上の設定
- ブラウザの統合認証設定を行います。
【Internet Explorer】
①コントロールパネル > インターネットオプション > セキュリティ > ローカルイントラネット > サイト
「https://portal.trustlogin.com」をゾーンに追加します。
②コントロールパネル> インターネットオプション > 詳細設定
「統合Windows認証を使用する」にチェックが入っていることを確認します。
【Chrome、Edge(Chromium版)】
※Internet Explorerと設定を共有するため、Internet Explorerでの設定方法をご確認ください。
【Firefox】
① アドレスバーに about:config と入力し、「危険を承知の上で使用する」をクリックします。
② [ network.automatic-ntlm-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。
③ [ network.negotiate-auth.trusted-uris ]を検索し、検索結果をダブルクリックします。
文字列に [ https://portal.trustlogin.com ] と入力し、「OK」をクリックします。
■ Firefox設定のヒント
Active Directory によるポリシー設定で一括設定するには以下の記事をご参照ください。
グループポリシーを使用して Firefox をカスタマイズする
※こちらの設定についてはサポート外となります。 - 動作確認を行います。
トラスト・ログインのログイン画面に企業IDとメールアドレスを入力し「ログイン」ボタンをクリックします。
認証済みADに加入済みのPCから接続した場合
ログインボタン押下後、自動で認証行い、成功後マイページへ遷移します。
認証済みADに加入していない端末から接続した場合
デスクトップSSOが許可されていない端末では「別の認証方法でログイン」するボタンが表示されます。
※デスクトップSSO以外の認証を持たないユーザーの場合はボタンを押しても画面遷移しません。 -
デスクトップSSO以外の認証方法を選択します。
※デスクトップSSOボタンを押すと「別の認証方法でログイン」の画面へ戻ります。
デスクトップSSOによる認証の優先設定方法
- 管理ページにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「デスクトップSSO」の右にある「設定」ボタンを開き、表示画面の「編集」ボタンを押下します。
「デスクトップSSOによる認証を優先して行う」の右側のバーのON/OFFにより設定を変更できます。
ON:最初にデスクトップSSOによる認証を行い、失敗した場合認証方法の選択画面を表示する
OFF:最初から認証方法の選択画面を表示する
トラブルシューティング
Q 1)設定を間違えたためトラスト・ログインにログインできなくなってしまいました。
A )上記で設定したURLを削除することでデスクトップSSOが無効となり、他の認証方法でログインできるようになります。
【IE、Chrome】
① Internet Explorerツール > インターネットオプション > セキュリティ > ローカルイントラネット > サイト 「https://portal.trustlogin.com」を削除します。
【Firefox】
上記「3.利用者PCの設定 >1.ブラウザの統合認証設定を行います。」のFirefox①、②、③の手順で設定したURLを削除します。
Q2 )デスクトップSSOに失敗してしまいます。
A )デスクトップSSOでのログインに失敗する場合は、以下のチェックを行ってください。
チェック項目 | 対処方法 |
Active Directoryに接続可能でしょうか? | トラスト・ログインにログインする際にActive Directoryに接続する必要があります。Active Directoryに接続できない場合は、ネットワークの設定をご確認ください。プロキシやVPNに問題のある場合もあります。 |
Windowsのログオンアカウントを間違っていませんか? | トラスト・ログインのアカウントに対応するWindowsアカウントでPCにログオンする必要があります。ドメインユーザーのアカウントを利用しているかご確認ください。 |
ブラウザの設定は済んでいますか? |
ブラウザで統合Windows認証の設定をする必要があります。ブラウザ毎の設定方法については、こちらの”3. 利用者PC上の設定”をご確認ください。 |