Cloud Solutions

AADAP - Azure AD Application Proxy で統合 Windows 認証を構成する

2021年12月20日

自分
閲覧ありがとうございます。ゆっくり よんでいってください

本記事に記載の内容は、
「Azure AD Application Proxyで統合Windows認証でのSSOを実装する方法」に関する内容となっています。

 

 

Azure AD Application Proxy - 統合Windows認証とは

Windowsのユーザーアカウント情報を元にWebアプリケーションへのログインを行う認証方法です。

この認証方法はWindows 2000から利用することが可能になっています。
統合Windows認証は総称となり、実際にはKerberos/NTLM/SPNEGOといった認証方式となります。

Windowsにログインした時に利用しているユーザーアカウント情報を元にして
自動的にWebアプリケーションへログインしてくれるため、ユーザーがログイン処理を行う必要が無く
シングルサインオンを実装することが出来ます。

自分
ログイン処理を行うために、IDやパスワードをメモ帳に手書きで残していたり色々なシステムでパスワードを使いまわすことでセキュリティリスクが発生しますが、統合Windows環境によるSSOを実装することでリスクを軽減できますね

 

Azure AD Application Proxy 統合Windows認証- 前提条件

前提条件は以下のようになります。

  • HTTP プロキシ接続では動作しないため、HTTPS接続が必要になります。


構成するための前提条件は別記事で記載しているので、以下URLを参照ください。

URL内からの抜粋

  1. 対象のWebアプリケーションが、統合 Windows 認証を使用していること
  2. 対象となるWebアプリケーションが、サービス プリンシパル名 を持っていること
  3. アプリケーション プロキシ コネクタを実行するサーバーがドメインに参加していること
  4. Webアプリケーションが、ドメインに参加していること
  5. コネクタ サーバーとWebアプリケーションが[同一のドメインに参加 or 信頼関係が結ばれており信頼する側のドメインに所属]していること
  6. アプリケーション プロキシ コネクタに [TokenGroupsGlobalAndUniversal 属性]を読み取る権限を持っていること
  7. オンプレミスADとAzureADでユーザーをマッピングできる状態になっているこ

 

Azure AD Application Proxy 統合Windows認証 - 構成

統合 Windows 認証でのAzure AD Application Proxyによるエンタープライズアプリケーションの設定方法を記載しています。

Azure AD Application Proxy - 統合Windows認証の構成手順

  1. Azure Active Directory admin center に接続し、
    左側のメニューより[エンタープライズアプリケーション]をクリックします。

  2. 開かれた画面の上部にある[+新しいアプリケーション]をクリックします。
    画面の上部にある[+新しいアプリケーション]をクリック

  3. 開かれた画面の左上にある[+独自のアプリケーションの作成]をクリックします。
    画面の左上にある[+独自のアプリケーションの作成]をクリック

  4. [独自のオンプレミスのアプリケーションの追加]画面にて
    以下設定を行います。 なお、追加設定欄については必要があれば変更してください。
    • 名前:任意 利用者様が分かりやすいWebアプリケーション名にすることをお勧めします。
    • 内部URL:Webアプリケーションへ接続するためのURLを入力します。
    • 外部URL:基本的に自動作成されるので、気になる方は変更してください。
    • 事前認証:用途に合わせて変更します。
    • コネクタグループ:可用性を持たせる場合は、選択します。
               ※事前に作成しておく必要があります
    • バックエンド アプリケーションのタイムアウト:任意
    • HTTP専用Cookieを使用する:任意
    • セキュリティで保護されたCookieを使用します:任意
    • 永続 Cookieを使用:任意
    • 変換するURLの場所:任意
      [独自のオンプレミスのアプリケーションの追加]画面にて 以下設定を行います。 なお、追加設定欄については必要があれば変更してください。
  5. 作成されると、[エンタープライズ アプリケーション]画面に追加されたことを確認することが可能です。
    追加された[独自のオンプレミスのアプリケーション]をクリックします。
    [エンタープライズ アプリケーション]画面に追加されたことを確認することが可能です。 追加された[独自のオンプレミスのアプリケーション]をクリックします。

  6. 左メニューの[シングルサインオン]にて、[統合 Windows 認証]をクリックします。
    左メニューの[シングルサインオン]にて、[統合 Windows 認証]をクリック

  7. 統合 Windows 認証の設定画面になりますので、以下項目に任意の設定を入れて[保存]をクリックします。
    • 内部アプリケーション SPN
    • 委任されたログインID
      統合 Windows 認証の設定

おまけ - SPNの設定

SPNの設定がされているかの確認は、対象のWebサーバーとなるコンピューターアカウントのプロパティにて
属性エディタを開き以下属性に[http:/xxxxxx]が入っているか確認します。

  • servicePrincipalName
    SPNの設定

 

さいごに・・・

統合 Windows 認証を構成するためには、各設定を行う必要があり容易ではありませんが
構成をすることで、ユーザビリティが上がりセキュリティの向上にもつながります。

 Webアプリケーションの改修が必要となる場合もあるため、開発環境/検証環境が用意できる状況であれば
まずは、検証を行ったうえで実装されることをお勧めします。

 

Azure AD Application Proxy 統合 Windows 認証 に関する記事一覧

IIS - Webアプリケーションでの 統合Windows認証を構成する方法

続きを見る

IIS - WebサイトをSSL対応 (https)する方法

続きを見る

AADAPC - Azure AD Application Proxy Connector 実装方法

続きを見る

AADAPC - Azure AD Application Proxy Connector 委任設定

続きを見る

-Cloud Solutions