透過認証

Active DirectoryまたはOktaをTMWSaaSに統合している企業は、透過認証を使用して、Active Directoryユーザが開始したHTTPリクエストだけがTMWSaaSを経由できるように設定できます。

TMWSaaSでは、NTLMプロトコルで透過認証が行われます。

透過認証の要件

透過認証が機能するためには、次の要件が必要です。

要件

詳細

管理者がAD FS認証、直接認証、エージェント認証、Azure AD認証、Okta認証 のいずれかを有効にする

  1. [管理] > [ユーザと認証] > [ディレクトリサービス] でActive Directory認証を有効にします。

  2. 認証方式として [AD FS][直接][エージェント][Azure AD]、または [Okta] を選択し、必要なオプションをすべて設定します。詳細については、ディレクトリサービスを参照してください。

管理者がインターネットゲートウェイごとに透過認証を有効にする

  1. ゲートウェイ でインターネットゲートウェイを設定します。

  2. [認証] で、[透過認証] を選択します。

  3. (オプション) ゲストユーザアカウントのオプションを次のように設定します。

    • Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する

    • 透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる

  4. (オプション) ポート8081経由でのトラフィックを許可するオプションを選択します。

ユーザがサポートされているデスクトップブラウザからHTTPリクエストを開始する

サポートされているデスクトップブラウザは次のとおりです。

  • Google Chrome 55.x以降

  • Microsoft Internet Explorer 11

  • Mozilla Firefox 50.0.1以降

  • Microsoft Edge 83.x以降

モバイルブラウザおよびブラウザ以外のHTTPリクエストはサポートされていません。

その他の情報

  • ユーザが有効なActive Directoryアカウントを使用してホストコンピュータにログオンする場合:

    • 既知のユーザ (管理者が設定したインターネットゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストは、ディレクトリサービスのAD認証方式の設定に従って認証されます。

    • ローミングユーザ (未認識のゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストを認証するには、そのユーザのActive Directoryユーザ名が必要となります。
  • ユーザが別のアカウントを使用して、または未認識のゲートウェイからホストコンピュータにログオンする場合、HTTPリクエストを認証するには、そのユーザのActive Directoryログオン認証情報またはゲストユーザのログオン認証情報が必要です。

  • 認証が成功した場合、TMWSaaSはHTTPリクエストを処理し、さらに今後のリクエストで認証プロセスを省略するためにCookieを発行します。

  • TMWSaaSでは、HTTPSリクエストに関しても透過認証が可能です。認証プロセスは、[ポリシー] > [グローバル設定] > [HTTPSインスペクション] でHTTPS復号が有効か無効かによって異なります。

  • 認証が成功しなかった場合、TMWSaaSはHTTPリクエストをただちに処理します。ゲストユーザアカウントを使用する自動ログオンが有効な場合や、ゲストユーザアカウントが使用された場合は、TMWSaaSはユーザをゲストとしてログオンさせます。