統合 Windows 認証の構成

統合 Windows 認証を構成するには、Active Directory ドメイン コントローラー サーバー、AX Server、および各クライアント アプリケーションのエンド ユーザー用デスクトップ環境を設定します。統合 Windows 認証は、AX Client ユーザーのシングルサインオン アクセス制御を有効にします。

メモ

統合 Windows 認証は、サーバーのオペレーティング システムで実行中の AX Client のインスタンスではサポートされていません。クライアント オペレーティング システムから接続している必要があります。そうではない場合は、アプリケーションはデフォルトでフォームに基づく認証になります。

機能の仕組み

統合 Windows 認証は、Windows クライアントとサーバーのセキュリティ機能を使用します。ユーザー名とパスワードをユーザーに要求します。クライアント コンピューターの現在の Windows ユーザー情報は暗号化交換によって Web ブラウザーによって提供されます。次のプロトコルは認証を管理するために使用されます。

認証交換が最初にユーザーを特定できない場合、Web ブラウザーは Windows ユーザー アカウントのユーザー名とパスワードをユーザーに要求します。

SPN アカウントの作成

新しい Windows サービス プリンシパル名(SPN)アカウントを Active Directory に作成し、AX Server 認証サービスを Active Directory アカウントにマッピングします。

Closed方法の説明
  1. Active Directory Domain Controller サーバーで、[スタート > すべてのプログラム > 管理ツール > Active Directory ユーザーとコンピューター]の順に選択します。
  2. 新しい SPN アカウントを作成したいツリー ビューのドメイン エントリを右クリックし、[新規 > ユーザー]を選択します。
  3. 必要な情報を入力して、[次へ]をクリックします。
  4. ユーザー パスワードを構成し、[次べ]をクリックして、
    1. アカウント パスワードを入力します。
    2. 選択解除 次回のログオンでパスワードを変更する必要があります
    3. 選択 パスワードが期限切れになることはありません
  5. 完了]をクリックします。

認証サービスの SPN アカウントへのマッピング

ktpass コマンドを使用して、AX Server 認証サービスを Active Directory SPN アカウントにマッピングします。

Closed方法の説明
  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、ktpass.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. 認証サービスを SPN アカウントにマッピングするには、次の keypass コマンドを入力します: 
    ktpass /out ファイル名 /princ 名前 /pass パスワード /mapuser ローカルのユーザー名 /ptype プリンシパルの種類 /crypto 暗号化の種類

ktpass の構文については、Microsoft Ktpass リファレンスを参照してください。

ktpass /out "C:\ax.keytab" /princ HTTP/axserver.ax.com@AX.COM /pass password /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

AX Connector サービスの SPN を登録します。

setspn コマンドを使用して、AX Connector サービスの SPN を登録します。

Closed方法の説明
  1. Active Directory ドメイン コントローラー サーバーで、コマンド プロンプトを開き、setspn.exe があるディレクトリにディレクトリを変更します。

    デフォルトの場所は c:\Program Files\Support Tools です。

  2. SPN を登録するには、次の setspn コマンドを入力します: 
    setspn -A ACLSE/完全なドメイン名およびサーバー名 コンピューター名

    メモ

    ACLSE は、AX Connector を識別するために必要な値であり、すべてを大文字で入力する必要があります。コンピューター名の値は、name または domain\name の形式のいずれでも指定できます。

  3. 省略可能。SPN アカウントのマッピングを検証するには、次の setspn コマンドを使用します: 
    setspn -L コンピューター名

setspn -A ACLSE/axserver.acl.com axserver

SPN アカウント マッピングのテスト

任意で、キータブ ファイルを AX Server インスタンスにコピーし、kinit コマンドを使って SPN アカウントのマッピングをテストします。

Closed方法の説明

前提条件: 絶対パスを指定しないで klist コマンドを使用するために、パス環境変数に Java の bin サブフォルダーを追加します。

set PATH=java_bin_path;%PATH%
  1. Active Directory ドメイン コントローラー サーバーで、ktpass コマンドで作成した .keytab をコピーし、AX Server のWindows ディレクトリでこれを貼り付けます。
  2. AX Server の Windows ディレクトリで、krb5.ini という名のファイルを作成します。
  3. コマンド プロンプトから 
    klist -k
    のコマンドを使用し、キータブ ファイルの読み込みが可能であることを検証します。
  4. 認証を試みるには、
    kinit username@REALM.COM
    のコマンドを使用します。
  5. ユーザーのパスワードを入力し、Enter キーを押します。

krb5.ini ファイルの例

 [libdefaults] ticket_lifetime = 24000 default_realm = <ドメイン> default_keytab_name = < キータブ ファイルのパス> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <ドメイン> = { kdc = < Active Directory ドメイン コントローラー サーバー.ドメイン.com>:88 } [domain_realm] <.ドメイン> = <ドメイン> <ドメイン> = <ドメイン>

Internet Explorer からの統合 Windows 認証の有効化

エンドユーザーのデスクトップ環境ごとに、Internet Explorer から統合 Windows 認証を有効化します。ユーザーはクライアント オペレーティング システムから接続している必要があります。統合 Windows 認証は、サーバーのオペレーティング システムで実行中の AX Client のインスタンスではサポートされていません。

Closed方法の説明
  1. Microsoft Internet Explorer で[ツール > インターネット オプション > 詳細設定]の順にクリックします。
  2. セキュリティ]グループで、[統合 Windows 認証の有効化]をクリックした後、[適用]をクリックします。
  3. セキュリティ]タブをクリックします。
  4. ローカル イントラネット]アイコンをクリックした後、[サイト]をクリックします。
  5. ローカル イントラネット]ダイアログ ボックスで、[詳細設定]をクリックし、お使いの AX Server のHTTPS URLを入力して、[追加]をクリックします。

    例: https://axserver.ax.com

  6. 閉じる]をクリックし、[インターネット オプション]ダイアログ ボックスが閉じるまで、開いているダイアログ ボックスごとに[OK]をクリックします。

更新した設定は、次回 Internet Explorer を起動するときに有効になります。