透過認証 | Trend Micro Service Central

ビュー:

Active DirectoryまたはOktaを TMWSaaS に統合している企業は、透過認証を使用して、Active Directoryユーザが開始したHTTPリクエストだけがTMWSaaSを経由できるように設定できます。

注:

ここで [透過認証] を選択した場合でも、ユーザがWebサイトにアクセスしたときに TMWSaaS のログイン画面とサードパーティの認証画面が表示されることがあります。

TMWSaaS のログイン画面とサードパーティの認証画面は、全体の透過認証が有効になっている場合のみ表示されません。ただし、全体の透過認証を有効化できるのは、認証方式として直接認証、AD FS認証、またはエージェント認証が選択されている場合のみです。

TMWSaaS では、NTLMプロトコルで透過認証が行われます。

透過認証の要件

透過認証を有効にするには、次の要件を満たす必要があります。

要件	詳細
管理者がAD FS認証、直接認証、エージェント認証、Azure AD認証、Okta認証、Google認証のいずれかを有効にする	[管理] > [ユーザと認証] > [ディレクトリサービス] でActive Directory認証を有効にします。認証方式として [AD FS] 、 [直接] 、 [エージェント] 、 [Azure AD] 、 [Okta] 、または [Google] を選択し、必要なオプションをすべて設定します。詳細については、ディレクトリサービスを参照してください。
管理者がインターネットゲートウェイごとに透過認証を有効にする	ゲートウェイでインターネットゲートウェイを設定します。 [認証] で、 [透過認証] を選択します。 (オプション) ゲストユーザアカウントのオプションを次のように設定します。 Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる (オプション) ポート8081経由でのトラフィックを許可するオプションを選択します。
ユーザがサポートされているデスクトップブラウザからHTTPリクエストを開始する	サポートされているデスクトップブラウザは次のとおりです。 Google Chrome 55以降 Mozilla Firefox 50.0.1以降 Microsoft Edge 83以降モバイルブラウザおよびブラウザ以外のHTTPリクエストはサポートされていません。

要件

詳細

管理者がAD FS認証、直接認証、エージェント認証、Azure AD認証、Okta認証、Google認証のいずれかを有効にする

[管理] > [ユーザと認証] > [ディレクトリサービス] でActive Directory認証を有効にします。
認証方式として [AD FS] 、 [直接] 、 [エージェント] 、 [Azure AD] 、 [Okta] 、または [Google] を選択し、必要なオプションをすべて設定します。詳細については、ディレクトリサービスを参照してください。

管理者がインターネットゲートウェイごとに透過認証を有効にする

ゲートウェイでインターネットゲートウェイを設定します。
[認証] で、 [透過認証] を選択します。
(オプション) ゲストユーザアカウントのオプションを次のように設定します。
- Active Directoryアカウントを持たないユーザ (パートナーや契約者など) に、ゲストユーザアカウントを使用したログオンを許可する
- 透過認証が成功しなかった場合は、ゲストユーザアカウントを使用してユーザを自動的にログオンさせる
(オプション) ポート8081経由でのトラフィックを許可するオプションを選択します。

ユーザがサポートされているデスクトップブラウザからHTTPリクエストを開始する

サポートされているデスクトップブラウザは次のとおりです。

Google Chrome 55以降
Mozilla Firefox 50.0.1以降
Microsoft Edge 83以降

モバイルブラウザおよびブラウザ以外のHTTPリクエストはサポートされていません。

全体の透過認証を有効にするには、上記の要件に加えて、次の手順を実行してください。

認証方式として [直接]、[AD FS]、[エージェント] を選択します。
初期設定の認証ドメインを指定します。
ADサーバのドメインにクライアントコンピュータを追加します。
ADサーバで認証方式を [Windows認証] に変更します。

注:
この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。
- ADサーバがWindows Server 2012で動作している場合は、次の手順を実行して認証方式を変更します。
  1. Windowsサーバにログインします。
  2. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択して、AD FS管理コンソールを開きます。
  3. [AD FS] 画面の左側のナビゲーションで、 [認証ポリシー] をクリックします。
  4. [認証ポリシー] 画面の [プライマリ認証] で [グローバル設定] セクションの [編集] をクリックします。
  5. [グローバル認証ポリシーの編集] 画面の [イントラネット] で [Windows認証] を選択し、 [OK] をクリックします。
- ADサーバがWindows Server 2016、Windows Server 2019、またはWindows Server 2022で動作している場合は、次の手順を実行して認証方式を変更します。
  1. Windowsサーバにログインします。
  2. [スタート] > [すべてのプログラム] > [管理ツール] の順に選択して、AD FS管理コンソールを開きます。
  3. 左側のナビゲーションで [AD FS] > [サービス] > [認証方法] の順に選択し、右側にある [操作] で [プライマリ認証方法の編集...] をクリックします。
  4. [プライマリ] タブの [イントラネット] で [Windows認証] が有効になっていることを確認し、 [OK] をクリックします。
使用しているブラウザに基づいて、次の手順を実行します。

注:
この要件が適用されるのは、認証方式として [AD FS] が選択されている場合のみです。
- Microsoft Internet Explorer、Microsoft Edge、またはGoogle Chromeを使用している場合は、イントラネットにAD FSサーバアドレスを追加します。
- Mozilla Firefoxを使用している場合は、次の手順を実行します。
  1. Firefoxを開き、アドレスバーに「 about:config 」と入力し、 [危険性を承知の上で使用する] をクリックします。
  2. 検索ボックスに「 network.automatic 」と入力し、 network.automatic-ntlm-auth.trusted-uris をダブルクリックします。
  3. 「 http://www.replacewithyoursite.com 」または「 http://your-intranet-server-name 」と入力し、 [OK] をクリックします。

その他の情報

ユーザが有効なActive Directoryアカウントを使用してホストコンピュータにログオンする場合:
- 既知のユーザ (管理者が設定したインターネットゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストは、ディレクトリサービスのAD認証方式の設定に従って認証されます。
- ローミングユーザ (未認識のゲートウェイからリクエストを送信するユーザ) から送信されたHTTPリクエストを認証するには、そのユーザのActive Directoryユーザ名が必要となります。
ユーザが別のアカウントを使用して、または未認識のゲートウェイからホストコンピュータにログオンする場合、HTTPリクエストを認証するには、そのユーザのActive Directoryログオン認証情報またはゲストユーザのログオン認証情報が必要です。
認証が成功した場合、 TMWSaaS はHTTPリクエストを処理し、さらに今後のリクエストで認証プロセスを省略するためにCookieを発行します。
TMWSaaS では、HTTPSリクエストに関しても透過認証が可能です。認証プロセスは、 [ポリシー] > [グローバル設定] > [HTTPSインスペクション] でHTTPS復号が有効か無効かによって異なります。
認証が成功しなかった場合、 TMWSaaS はHTTPリクエストをただちに処理します。ゲストユーザアカウントを使用する自動ログオンが有効な場合や、ゲストユーザアカウントが使用された場合は、 TMWSaaS はユーザをゲストとしてログオンさせます。

Keywords: 透過認証