Windows 認証 - Microsoft Entra ID による Kerberos の制約付き委任
Kerberos の制約付き委任 (KCD) は、サービス プリンシパル名に基づいてリソース間の制約付き委任を提供します。 ドメイン管理者は委任を作成する必要があります。そして、1 つのドメインに制限されます。 リソースベースの KCD を使用して、Active Directory フォレスト内の複数のドメインにユーザーが存在する Web アプリケーションに対して Kerberos 認証を提供できます。
Microsoft Entra アプリケーション プロキシによって、アクセス用の Kerberos チケットと Kerberos の制約付き委任 (KCD) とを必要とする KCD ベースのアプリケーションへのシングル サインオン (SSO) とリモート アクセスが可能になります。
統合 Windows 認証 (IWA) を使用するオンプレミスの KCD アプリケーションへのシングル サインオンを有効にするには、Active Directory でプライベート ネットワーク コネクタにユーザー偽装のアクセス許可を付与します。 プライベート ネットワーク コネクタはこのアクセス許可を使用して、ユーザーの代理でトークンを送受信します。
KCD を使用するタイミング
オンプレミスの IWA アプリケーションに対してリモート アクセスの提供、事前認証での保護、SSO の提供を行う必要があるときは KCD を使用します。
システムのコンポーネント
- ユーザー: アプリケーション プロキシが機能を提供するレガシ アプリケーションにアクセスします。
- Web ブラウザー:アプリケーションの外部 URL にアクセスするためにユーザーが操作するコンポーネントです。
- Microsoft Entra ID: ユーザーを認証します。
- アプリケーション プロキシ サービス: リバース プロキシとして機能して、ユーザーからオンプレミスのアプリケーションに要求を送信します。 これは、Microsoft Entra ID に格納されます。 アプリケーション プロキシは、条件付きアクセス ポリシーを適用できます。
- プライベート ネットワーク コネクタ: アプリケーションへの接続を提供するために、Windows オンプレミス サーバーにインストールされます。 Microsoft Entra ID への応答を返します。 Active Directory との KCD ネゴシエーションを実行します。このときに、ユーザーの代理でアプリケーションに対する Kerberos トークンを取得します。
- Active Directory: アプリケーション用の Kerberos トークンをプライベート ネットワーク コネクタに送信します。
- レガシ アプリケーション: アプリケーション プロキシからユーザー要求を受け取るアプリケーションです。 レガシ アプリケーションから、プライベート ネットワーク コネクタに応答が返されます。
Microsoft Entra ID を使用して Windows 認証 (KCD) を実装する
Microsoft Entra ID を使用した Windows 認証 (KCD) の実装の詳細については、次のリソースを参照してください。
- 「アプリケーション プロキシを使った Microsoft Entra ID の Kerberos ベースのシングル サインオン (SSO)」では、前提条件と構成手順について説明します。
- 「チュートリアル - オンプレミス アプリを追加する - Microsoft Entra ID のアプリケーション プロキシ」は、アプリケーション プロキシで使用する環境を準備するのに役立ちます。
次のステップ
- 「Microsoft Entra 認証と同期プロトコルの概要」では、認証および同期プロトコルとの統合について説明します。 認証統合を行うと、従来の認証方法を使うアプリケーションをほとんどまたはまったく変更せずに、Microsoft Entra ID とそのセキュリティと管理の機能を使用できます。 同期統合を行うと、ユーザーとグループのデータを Microsoft Entra ID に同期し、その後、ユーザー Microsoft Entra 管理機能を同期できるようになります。 一部の同期パターンでは、自動プロビジョニングを有効にします。
- アプリケーション プロキシを使用したオンプレミス アプリでのシングル サインオンの理解に関する記事では、SSO を使用して、ユーザーが複数回認証せずにアプリケーションにアクセスできるようにする方法について説明します。 SSO は Microsoft Entra ID に対してクラウド内で発生し、サービスまたはコネクタがユーザーの権限を借用して、アプリケーションからの認証要求を完了できるようにします。
- Microsoft Entra アプリケーション プロキシを使用したオンプレミス アプリの Security Assertion Markup Language (SAML) シングル サインオンに関する記事では、SAML 認証で保護されたオンプレミス アプリケーションへのリモート アクセスをアプリケーション プロキシ経由で提供する方法について説明しています。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示