ビュー:
Active DirectoryまたはOktaをTMWSaaSに統合している企業は、透過認証を使用して、Active Directoryユーザが開始したHTTPリクエストだけがTMWSaaSを経由できるように設定できます。
注意
注意
ここで [透過認証] を選択した場合でも、ユーザがWebサイトにアクセスしたときにTMWSaaSのログイン画面とサードパーティの認証画面が表示されることがあります。
TMWSaaSのログイン画面とサードパーティの認証画面は、全体の透過認証が有効になっている場合のみ表示されません。ただし、全体の透過認証を有効化できるのは、認証方式として直接認証、AD FS認証、またはエージェント認証が選択されている場合のみです。
TMWSaaSでは、NTLMプロトコルで透過認証が行われます。
透過認証の要件
透過認証を有効にするには、次の要件を満たす必要があります。
要件
詳細
管理者がAD FS認証、直接認証、エージェント認証、Azure AD認証、Okta認証、Google認証のいずれかを有効にする
  1. [管理][ユーザと認証][ディレクトリサービス] でActive Directory認証を有効にします。
  2. 認証方式として [AD FS][直接][エージェント][Azure AD][Okta]、または [Google] を選択し、必要なオプションをすべて設定します。詳細については、ディレクトリサービスを参照してください。
管理者がインターネットゲートウェイごとに透過認証を有効にする
  1. ゲートウェイ でインターネットゲートウェイを設定します。
  2. [認証] で、[透過認証] を選択します。
  3. (オプション) ゲストユーザアカウントのオプションを次のように設定します。
    • Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する
    • 透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる
  4. (オプション) ポート8081経由でのトラフィックを許可するオプションを選択します。
ユーザがサポートされているデスクトップブラウザからHTTPリクエストを開始する
サポートされているデスクトップブラウザは次のとおりです。
  • Google Chrome 55以降
  • Mozilla Firefox 50.0.1以降
  • Microsoft Edge 83以降
モバイルブラウザおよびブラウザ以外のHTTPリクエストはサポートされていません。
全体の透過認証を有効にするには、上記の要件に加えて、次の手順を実行してください。
  • 認証方式として [直接]、[AD FS]、[エージェント] を選択します。
  • 初期設定の認証ドメインを指定します。
  • ADサーバのドメインにクライアントコンピュータを追加します。
  • ADサーバで認証方式を [Windows認証] に変更します。
    注意
    注意
    この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。
    • ADサーバがWindows Server 2012で動作している場合は、次の手順を実行して認証方式を変更します。
      1. Windowsサーバにログインします。
      2. [スタート][すべてのプログラム][管理ツール] の順に選択して、AD FS管理コンソールを開きます。
      3. [AD FS] 画面の左側のナビゲーションで、[認証ポリシー] をクリックします。
      4. [認証ポリシー] 画面の [プライマリ認証][グローバル設定] セクションの [編集] をクリックします。
      5. [グローバル認証ポリシーの編集] 画面の [イントラネット][Windows認証] を選択し、[OK] をクリックします。
    • ADサーバがWindows Server 2016、Windows Server 2019、またはWindows Server 2022で動作している場合は、次の手順を実行して認証方式を変更します。
      1. Windowsサーバにログインします。
      2. [スタート][すべてのプログラム][管理ツール] の順に選択して、AD FS管理コンソールを開きます。
      3. 左側のナビゲーションで [AD FS][サービス][認証方法] の順に選択し、右側にある [操作][プライマリ認証方法の編集...] をクリックします。
      4. [プライマリ] タブの [イントラネット][Windows認証] が有効になっていることを確認し、[OK] をクリックします。
  • 使用しているブラウザに基づいて、次の手順を実行します。
    注意
    注意
    この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。
    • Microsoft Internet Explorer、Microsoft Edge、またはGoogle Chromeを使用している場合は、イントラネットにAD FSサーバアドレスを追加します。
    • Mozilla Firefoxを使用している場合は、次の手順を実行します。
      1. Firefoxを開き、アドレスバーに「about:config」と入力し、[危険性を承知の上で使用する] をクリックします。
      2. 検索ボックスに「network.automatic」と入力し、network.automatic-ntlm-auth.trusted-urisをダブルクリックします。
      3. http://www.replacewithyoursite.com」または「http://your-intranet-server-name」と入力し、[OK] をクリックします。
その他の情報
  • ユーザが有効なActive Directoryアカウントを使用してホストコンピュータにログオンする場合:
    • 既知のユーザ (管理者が設定したインターネットゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストは、ディレクトリサービスのAD認証方式の設定に従って認証されます。
    • ローミングユーザ (未認識のゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストを認証するには、そのユーザのActive Directoryユーザ名が必要となります。
  • ユーザが別のアカウントを使用して、または未認識のゲートウェイからホストコンピュータにログオンする場合、HTTPリクエストを認証するには、そのユーザのActive Directoryログオン認証情報またはゲストユーザのログオン認証情報が必要です。
  • 認証が成功した場合、TMWSaaSはHTTPリクエストを処理し、さらに今後のリクエストで認証プロセスを省略するためにCookieを発行します。
  • TMWSaaSでは、HTTPSリクエストに関しても透過認証が可能です。認証プロセスは、[ポリシー][グローバル設定][HTTPSインスペクション] でHTTPS復号が有効か無効かによって異なります。
  • 認証が成功しなかった場合、TMWSaaSはHTTPリクエストをただちに処理します。ゲストユーザアカウントを使用する自動ログオンが有効な場合や、ゲストユーザアカウントが使用された場合は、TMWSaaSはユーザをゲストとしてログオンさせます。