統合 Windows 認証の構成

統合 Windows 認証を構成するには、Active Directory ドメイン コントローラー サーバー、AX Server、および各クライアント アプリケーションのエンド ユーザー用デスクトップ環境を設定します。 統合 Windows 認証は、AX Client ユーザーのシングルサインオン アクセス制御を有効にします。

メモ

統合 Windows 認証は、サーバーのオペレーティング システムで実行中の AX Client のインスタンスではサポートされていません。 クライアント オペレーティング システムから接続している必要があります。そうではない場合は、アプリケーションはデフォルトでフォームに基づく認証になります。

機能の仕組み

統合 Windows 認証は、Windows クライアントとサーバーのセキュリティ機能を使用します。 ユーザー名とパスワードをユーザーに要求します。クライアント コンピューターの現在の Windows ユーザー情報は暗号化交換によって Web ブラウザーによって提供されます。 次のプロトコルは認証を管理するために使用されます。

  • SPNEGO AX Client 接続
  • ACL Analytics への Kerberos サーバー プロファイル接続

認証交換が最初にユーザーを特定できない場合、Web ブラウザーは Windows ユーザー アカウントのユーザー名とパスワードをユーザーに要求します。

SPN アカウントの作成

新しい Windows サービス プリンシパル名(SPN)アカウントを Active Directory に作成し、AX Server 認証サービスを Active Directory アカウントにマッピングします。

クローズ済み方法の説明
  1. Active Directory Domain Controller サーバーで、[スタート > すべてのプログラム > 管理ツール > Active Directory ユーザーとコンピューター]の順に選択します。
  2. 新しい SPN アカウントを作成したいツリー ビューのドメイン エントリを右クリックし、[新規 > ユーザー]を選択します。
  3. 必要な情報を入力して、[次へ]をクリックします。
  4. ユーザー パスワードを設定し、[次へ]をクリックします。
    1. アカウントのパスワードを入力します。
    2. 選択解除 次回のログオンでパスワードを変更する必要があります
    3. 選択 パスワードが期限切れになることはありません
  5. 完了]をクリックします。

認証サービスの SPN アカウントへのマッピング

ktpass コマンドを使用して、AX Server 認証サービスを Active Directory SPN アカウントにマッピングします。

クローズ済み方法の説明
  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、ktpass.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. 認証サービスを SPN アカウントにマッピングするには、次の keypass コマンドを入力します。

    ktpass /out ファイル名 /princ 名前 /pass パスワード /mapuser ローカルのユーザー名 /ptype プリンシパルの種類 /crypto 暗号化の種類

ktpass の構文については、Microsoft Ktpass リファレンスを参照してください。

次の例は、keypass コマンドを使って認証サービスを SPN アカウントにマッピングしています。

ktpass /out "C:\ax.keytab" /princ HTTP/axserver.ax.com@AX.COM /pass password /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

AX Connector サービスの SPN を登録します。

setspn コマンドを使用して、AX Connector サービスの SPN を登録します。

クローズ済み方法の説明
  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、setspn.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. SPN を登録するには、次の setspn コマンドを入力します。

    setspn -A ACLSE/完全なドメイン名およびサーバー名 コンピューター名

    メモ

    ACLSE は、AX Connector を識別するための必須値で、すべて大文字で入力する必要があります。 コンピューター名の値は、「名前」または「ドメイン\名前」の形式のいずれでも指定できます。

  3. 省略可能。 SPN アカウントのマッピングを検証するには、次の setspn コマンドを使用します。

    setspn -L コンピューター名

次の例は、setspn コマンドを使って SPN を登録しています。

setspn -A ACLSE/axserver.acl.com axserver

SPN アカウント マッピングのテスト

任意で、キータブ ファイルを AX Server インスタンスにコピーし、kinit コマンドを使って SPN アカウントのマッピングをテストします。

クローズ済み方法の説明

前提条件: 絶対パスを指定しないで klist コマンドを使用するために、パス環境変数に Java の bin サブフォルダーを追加します。

set PATH=java_bin_path;%PATH%
  1. Active Directory ドメイン コントローラー サーバーで、ktpass コマンドで作成した .keytab をコピーし、AX Server のWindows ディレクトリでこれを貼り付けます。
  2. AX Server の Windows ディレクトリで、krb5.ini という名のファイルを作成します。

  3. コマンド プロンプトで次のコマンドを使用して、キータブ ファイルの読み込みが可能であることを検証します。

    klist -k

  4. 認証を試みるには、次のコマンドを使用します。

    kinit ユーザー名@REALM.COM
  5. ユーザーのパスワードを入力し、Enter キーを押します。

krb5.ini ファイルの例を次に示します。

[libdefaults]
ticket_lifetime = 24000
default_realm = your_domain
default_keytab_name = path_to_your_keytab_file
dns_lookup_realm = false
dns_lookup_kdc = false
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac 

[realms]
your_domain = {
  kdc = your_active_directory_server.domain.com:88
} 

[domain_realm]
.your_domain = YOUR_DOMAIN
your_domain = YOUR_DOMAIN

Internet Explorer からの統合 Windows 認証の有効化

エンドユーザーのデスクトップ環境ごとに、Internet Explorer から統合 Windows 認証を有効化します。 ユーザーはクライアント オペレーティング システムから接続している必要があります。統合 Windows 認証は、サーバーのオペレーティング システムで実行中の AX Client のインスタンスではサポートされていません。

クローズ済み方法の説明
  1. Microsoft Internet Explorer で[ツール > インターネット オプション > 詳細設定]の順にクリックします。
  2. セキュリティ]グループで、[統合 Windows 認証の有効化]をクリックした後、[適用]をクリックします。
  3. セキュリティ]タブをクリックします。
  4. ローカル イントラネット]アイコンをクリックした後、[サイト]をクリックします。
  5. ローカル イントラネット]ダイアログ ボックスで、[詳細設定]をクリックし、お使いの AX Server のHTTPS URLを入力して、[追加]をクリックします。

    例: https://axserver.ax.com

  6. 閉じる]をクリックし、[インターネット オプション]ダイアログ ボックスが閉じるまで、開いているダイアログ ボックスごとに[OK]をクリックします。

更新した設定は、次回 Internet Explorer を起動するときに有効になります。

[ トップに戻る ]