透過認証

Active DirectoryをIWSaaSに統合している企業は、透過認証を使用して、Active Directoryユーザが開始したHTTP要求だけがIWSaaSを経由できるように設定できます。

IWSaaSでは、NTLMプロトコルで透過認証が行われます。

透過認証の要件

透過認証が機能するためには、次の要件が必要です。

要件	詳細
管理者がActive Directory直接認証またはエージェント認証を有効にする	[管理] > [ユーザと認証] > [Active Directory] でActive Directory認証を有効にします。認証方式として [直接] または [エージェント] を選択します。 [直接] を選択した場合、IWSaaS認証サービスのＩＰアドレスが画面に一覧で表示されます。Active DirectoryサーバとIWSaaSの接続を許可するようにファイアウォールルールを設定する際に必要となるため、表示されたIPアドレスを記録しておきます。 [エージェント] を選択した場合は次の点に注意してください。コンピュータに公開IPアドレスまたはパブリックに解決可能なFQDNが設定されていることを確認してください。認証エージェントのIPアドレスまたはFQDNは、PACファイルの`skiphosts`セクションまたはブラウザのプロキシバイパスリストに追加しないでください。その他すべての必要な設定を行います。
管理者がインターネットゲートウェイごとに透過認証を有効にする	[管理] > [サービス配信] > [インターネットゲートウェイ] でインターネットゲートウェイを設定します。 [ユーザ認証] で、[透過認証] を選択します。 (オプション) ゲストユーザアカウントのオプションを次のように設定します。 Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる (オプション) ポート8081経由で別個のゲストネットワークへのトラフィックを許可するオプションを選択します。
ユーザがサポートされているデスクトップブラウザからHTTP要求を開始する	サポートされているデスクトップブラウザは次のとおりです。 Microsoft Internet Explorer Mozilla Firefox Google Chrome モバイルブラウザおよびブラウザ以外のHTTP要求はサポートされていません。

要件

詳細

管理者がActive Directory直接認証またはエージェント認証を有効にする

[管理] > [ユーザと認証] > [Active Directory] でActive Directory認証を有効にします。
認証方式として [直接] または [エージェント] を選択します。
- [直接] を選択した場合、IWSaaS認証サービスのＩＰアドレスが画面に一覧で表示されます。Active DirectoryサーバとIWSaaSの接続を許可するようにファイアウォールルールを設定する際に必要となるため、表示されたIPアドレスを記録しておきます。
- [エージェント] を選択した場合は次の点に注意してください。
  - コンピュータに公開IPアドレスまたはパブリックに解決可能なFQDNが設定されていることを確認してください。
  - 認証エージェントのIPアドレスまたはFQDNは、PACファイルのskiphostsセクションまたはブラウザのプロキシバイパスリストに追加しないでください。
その他すべての必要な設定を行います。

管理者がインターネットゲートウェイごとに透過認証を有効にする

[管理] > [サービス配信] > [インターネットゲートウェイ] でインターネットゲートウェイを設定します。
[ユーザ認証] で、[透過認証] を選択します。
(オプション) ゲストユーザアカウントのオプションを次のように設定します。
- Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する
- 透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる
(オプション) ポート8081経由で別個のゲストネットワークへのトラフィックを許可するオプションを選択します。

ユーザがサポートされているデスクトップブラウザからHTTP要求を開始する

サポートされているデスクトップブラウザは次のとおりです。

Microsoft Internet Explorer
Mozilla Firefox
Google Chrome

モバイルブラウザおよびブラウザ以外のHTTP要求はサポートされていません。

その他の情報

ユーザが有効なActive Directoryアカウントを使用してホストコンピュータにログオンする場合:
- 社内のユーザ (管理者が設定したゲートウェイから要求を送信するユーザ) から送信されたHTTP要求の認証は完全に透過的に処理され、ユーザの操作は一切必要ありません。
- ローミングユーザ (未登録のゲートウェイから要求を送信するユーザ) から送信されたHTTP要求を認証するには、そのユーザのActive Directoryユーザ名を必要とします。
ユーザが別のアカウントを使用して、または未登録のゲートウェイからホストコンピュータにログオンする場合、HTTP要求を認証するには、そのユーザのActive Directoryログオン認証情報またはゲストユーザのログオン認証情報が必要です。
認証が成功した場合、IWSaaSはHTTP要求を処理し、さらに今後の要求で認証プロセスを省略するためにCookieを発行します。
IWSaaSでは、HTTPS要求に関しても透過認証が可能です。認証プロセスは、[管理] > [サービス配信] > [HTTPS/SSLポリシー]でHTTPS復号化が有効か無効かによって異なります。
認証が成功しなかった場合、IWSaaSはHTTP要求をただちに処理します。ゲストユーザアカウントを使用する自動ログオンが有効な場合や、ゲストユーザアカウントが使用された場合は、IWSaaSはユーザをゲストとしてログオンさせます。