透過認証

Active DirectoryまたはOktaをTMWSaaSに統合している企業は、透過認証を使用して、Active Directoryユーザが開始したHTTPリクエストだけがTMWSaaSを経由できるように設定できます。

注:

ここで [透過認証] を選択した場合でも、ユーザがWebサイトにアクセスしたときにTMWSaaSのログイン画面とサードパーティの認証画面が表示されることがあります。

TMWSaaSのログイン画面とサードパーティの認証画面は、全体の透過認証が有効になっている場合のみ表示されません。ただし、全体の透過認証を有効化できるのは、認証方式として直接認証、AD FS認証、またはエージェント認証が選択されている場合のみです。

TMWSaaSでは、NTLMプロトコルで透過認証が行われます。

透過認証の要件

透過認証を有効にするには、次の要件を満たす必要があります。

要件

詳細

管理者がAD FS認証、直接認証、エージェント認証、Azure AD認証、Okta認証、Google認証のいずれかを有効にする

  1. [管理] > [ユーザと認証] > [ディレクトリサービス] でActive Directory認証を有効にします。

  2. 認証方式として [AD FS][直接][エージェント][Azure AD][Okta]、または [Google] を選択し、必要なオプションをすべて設定します。詳細については、ディレクトリサービスを参照してください。

管理者がインターネットゲートウェイごとに透過認証を有効にする

  1. ゲートウェイ でインターネットゲートウェイを設定します。

  2. [認証] で、[透過認証] を選択します。

  3. (オプション) ゲストユーザアカウントのオプションを次のように設定します。

    • Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する

    • 透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる

  4. (オプション) ポート8081経由でのトラフィックを許可するオプションを選択します。

ユーザがサポートされているデスクトップブラウザからHTTPリクエストを開始する

サポートされているデスクトップブラウザは次のとおりです。

  • Google Chrome 55以降

  • Microsoft Internet Explorer 11

  • Mozilla Firefox 50.0.1以降

  • Microsoft Edge 83以降

モバイルブラウザおよびブラウザ以外のHTTPリクエストはサポートされていません。

全体の透過認証を有効にするには、上記の要件に加えて、次の手順を実行してください。

  • 認証方式として [直接]、[AD FS]、[エージェント] を選択します。

  • 初期設定の認証ドメインを指定します。

  • ADサーバのドメインにクライアントコンピュータを追加します。

  • ADサーバで認証方式を [Windows認証] に変更します。

    注:

    この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。

    • ADサーバがWindows Server 2012で動作している場合は、次の手順を実行して認証方式を変更します。

      1. Windowsサーバにログインします。

      2. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択して、AD FS管理コンソールを開きます。

      3. [AD FS] 画面の左側のナビゲーションで、[認証ポリシー] をクリックします。

      4. [認証ポリシー] 画面の [プライマリ認証][グローバル設定] セクションの [編集] をクリックします。

      5. [グローバル認証ポリシーの編集] 画面の [イントラネット][Windows認証] を選択し、[OK] をクリックします。

    • ADサーバがWindows Server 2016またはWindows Server 2019で動作している場合は、次の手順を実行して認証方式を変更します。

      1. Windowsサーバにログインします。

      2. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択して、AD FS管理コンソールを開きます。

      3. 左側のナビゲーションで [AD FS] > [サービス] > [認証方法] の順に選択し、右側にある [操作][プライマリ認証方法の編集...] をクリックします。

      4. [プライマリ] タブの [イントラネット][Windows認証] が有効になっていることを確認し、[OK] をクリックします。

  • 使用しているブラウザに基づいて、次の手順を実行します。

    注:

    この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。

    • Microsoft Internet Explorer、Microsoft Edge、またはGoogle Chromeを使用している場合は、イントラネットにAD FSサーバアドレスを追加します。

    • Mozilla Firefoxを使用している場合は、次の手順を実行します。

      1. Firefoxを開き、アドレスバーに「about:config」と入力し、[危険性を承知の上で使用する] をクリックします。

      2. 検索ボックスに「network.automatic」と入力し、network.automatic-ntlm-auth.trusted-urisをダブルクリックします。

      3. http://www.replacewithyoursite.com」または「http://your-intranet-server-name」と入力し、[OK] をクリックします。

その他の情報

  • ユーザが有効なActive Directoryアカウントを使用してホストコンピュータにログオンする場合:

    • 既知のユーザ (管理者が設定したインターネットゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストは、ディレクトリサービスのAD認証方式の設定に従って認証されます。

    • ローミングユーザ (未認識のゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストを認証するには、そのユーザのActive Directoryユーザ名が必要となります。
  • ユーザが別のアカウントを使用して、または未認識のゲートウェイからホストコンピュータにログオンする場合、HTTPリクエストを認証するには、そのユーザのActive Directoryログオン認証情報またはゲストユーザのログオン認証情報が必要です。

  • 認証が成功した場合、TMWSaaSはHTTPリクエストを処理し、さらに今後のリクエストで認証プロセスを省略するためにCookieを発行します。

  • TMWSaaSでは、HTTPSリクエストに関しても透過認証が可能です。認証プロセスは、[ポリシー] > [グローバル設定] > [HTTPSインスペクション] でHTTPS復号が有効か無効かによって異なります。

  • 認証が成功しなかった場合、TMWSaaSはHTTPリクエストをただちに処理します。ゲストユーザアカウントを使用する自動ログオンが有効な場合や、ゲストユーザアカウントが使用された場合は、TMWSaaSはユーザをゲストとしてログオンさせます。