翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD のシングルサインオンの有効化
AWS Directory Service は、ユーザーが認証情報を個別に入力することなく、ディレクトリに結合されたコンピュータ WorkDocs から Amazon にアクセスできるようにする機能を提供します。
シングルサインオンを有効にする前に、ユーザーのウェブブラウザでシングルサインオンをサポートさせるための、追加の手順を実行する必要があります。ユーザーは、シングルサインオンを有効にするために、ウェブブラウザで設定の変更が必要な場合があります。
注記
シングルサインオンは、 AWS Directory Service ディレクトリに結合されているコンピュータで使用された場合にのみ機能します。このディレクトリに結合されていないコンピュータでは使用できません。
ディレクトリに AD Connector ディレクトリを使用しており、AD Connector サービスアカウントがそのサービスプリンシパル名属性を追加または削除するためのアクセス許可を持っていない場合、下記のステップ 5 とステップ 6 では、2 つのオプションが選択できます。
続行した場合、AD Connector サービスアカウントのサービスプリンシパル名属性を追加または削除するアクセス許可を持つディレクトリユーザーのユーザー名とパスワードの入力を求められます。これらの認証情報は、シングルサインオンを有効にする目的でのみ使用され、サービスで保存されることはありません。AD Connector サービスアカウントのアクセス許可は変更されません。
AD Connector サービスアカウントがサービスプリンシパル名属性を追加または削除することを許可するアクセス許可を委任できます。AD Connector サービスアカウントのアクセス許可を変更するアクセス許可を持つアカウントを使用して、ドメインに参加しているコンピュータから以下の PowerShell コマンドを実行できます。次のコマンドは、AD Connector サービスアカウントに対して、それ自体のサービスプリンシパル名属性のみを追加および削除することを許可します。
$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Amazon でのシングルサインオンを有効または無効にするには WorkDocs
-
AWS Directory Service コンソール
のナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。 -
[Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。
-
[Directory details] (ディレクトリの詳細) ページで、[Application management] (アプリケーション管理) タブを選択します。
アプリケーションアクセスURLセクションで、有効化 を選択して Amazon のシングルサインオンを有効にします WorkDocs。
有効化ボタンが表示されない場合は、このオプションが表示されるURL前に、まずアクセスを作成する必要があります。アクセス を作成する方法の詳細についてはURL、「」を参照してくださいAWS Managed Microsoft AD URL のアクセスの作成。
-
[Enable Single Sign-On for this directory] (このディレクトリのシングルサインオンの有効化) ダイアログボックスで、[Enable] (有効) をクリックします。ディレクトリのシングルサインオンが有効に設定されます。
-
後で Amazon でのシングルサインオンを無効にする場合は WorkDocs、「 を無効にする」を選択し、このディレクトリのシングルサインオンを無効にする「」ダイアログボックスでもう一度無効にする「」を選択します。
IE および Chrome でのシングルサインオン
Microsoft Internet Explorer (IE) および Google Chrome ブラウザでシングルサインオンを使用するには、クライアントコンピュータで以下のタスクを実行する必要があります。
-
アクセスを追加する URL (例: https://
<alias>.awsapps.com) から、シングルサインオン用に承認されたサイトのリストに移動します。 -
アクティブなスクリプティング () を有効にしますJavaScript。
-
自動ログオンを許可します。
-
統合された認証を有効にします。
ユーザーは、これらのタスクを手動で実行するか、対象の設定を、グループポリシーの設定を通じて変更することができます。
Windows シングルサインオン用の手動アップデート
Windows コンピュータでのシングルサインオンを手動で有効にするには、クライアントコンピュータで以下の手順を行います。これらの設定の一部については、適切に事前設定が行われています。
Windows 上で Internet Explorer および Chrome のシングルサインオンを手動で有効にするには
-
[Internet Properties] (インターネットプロパティ) ダイアログボックスを開くには、[Start] (スタート) メニューを開き、検索ボックスに「
Internet Options」と入力した上で、[Internet Options] (インターネットオプション) をクリックします。 -
以下の手順を実行して、シングルサインオン用に承認されたサイトのリストURLへのアクセスを追加します。
-
[Internet Properties] (インターネットプロパティ) ダイアログボックスで [Security] (セキュリティ) タブを開きます。
-
[Local intranet] (ローカルイントラネット)、[Sites] (サイト) の順に選択します。
-
[Local intranet] (ローカルイントラネット) ダイアログボックスで、[Advanced] (詳細) をクリックします。
-
ウェブサイトのリストURLにアクセスを追加し、「閉じる」を選択します。
-
[Local intranet] (ローカルイントラネット) ダイアログボックスで、[OK] をクリックします。
-
-
アクティブスクリプトを有効にするには、以下の手順を行います。
-
[Internet Properties] (インターネットのプロパティ) ダイアログボックスの [Security] (セキュリティ) タブで、[Custom level] (カスタムレベル) をクリックします。
-
[Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、下部にある [Scripting] (スクリプト) までスクロールし、[Active scripting] (アクティブスクリプト) の下で [Enable] (有効) をクリックします。
-
[Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。
-
-
自動ログオンを有効にするには、以下の手順を実行します。
-
[Internet Properties] (インターネットのプロパティ) ダイアログボックスの [Security] (セキュリティ) タブで、[Custom level] (カスタムレベル) をクリックします。
-
[Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、下部の [User Authentication] (ユーザー認証) までスクロールし、[Logon] (ログオン) にある [Automatic logon only in Intranet zone] (イントラネットゾーン内のみで自動ログオンを認証する) をクリックします。
-
[Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。
-
[Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。
-
-
統合された認証を有効にするには、以下の手順を行います。
-
[Internet Properties] (インターネットのプロパティ) ダイアログボックスで、[Advanced] (詳細) タブを表示します。
-
下部にある [Security] (セキュリティ) までスクロールし、[Enable Integrated Windows Authentication] (Windows 認証の統合を有効化する) をクリックします。
-
[Internet Properties] (インターネットプロパティ) ダイアログボックスで、[OK] をクリックします。
-
-
これらの変更を適用するためにブラウザを再起動します。
OS X でシングルサインオンを設定するための手動アップデート
シングルサインオンを、OS X の Chrome 向けに手動で有効化するには、クライアントコンピュータで以下の手順を実行します。これらの手順を完了させるには、コンピュータの管理者権限が必要です。
OS X で Chrome 向けのシングルサインオンを手動で有効にするには
-
次のコマンドを実行して、AuthServerAllowlist
ポリシーURLへのアクセスを追加します。 defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com" -
[System Preferences] (システム設定) を開き、[Profiles] (プロファイル) パネルに移動して、
Chrome Kerberos Configurationプロファイルを削除します。 -
Chrome を再起動して chrome://policy を開き、新しい設定が適用されていることを確認します。
シングルサインオンのグループポリシー設定
ドメイン管理者は、グループポリシー設定を実装することで、ドメインに結合しているクライアントコンピュータでのシングルサインオンの設定を変更できるようになります。
注記
Chrome ポリシーを使用してドメイン内のコンピュータで Chrome ウェブブラウザを管理する場合は、AuthServerAllowlist
グループポリシー設定を使用して Internet Explorer および Chrome のシングルサインオンを有効にするには
-
以下の手順を実行し、新しいグループポリシーオブジェクトを作成します。
-
グループポリシー管理ツールを開き、対象のドメインに移動して [Group Policy Objects] (グループポリシーオブジェクト) をクリックします。
-
メインメニューで、[Action] (アクション)、[New] (新規) の順に選択します。
-
新しいGPOダイアログボックスで、 などのグループポリシーオブジェクトにわかりやすい名前を入力し
IAM Identity Center Policy、Source Starter GPO を (なし) に設定します。[OK] をクリックします。
-
-
以下の手順を実行して、シングルサインオンの承認済みサイトのリストURLへのアクセスを追加します。
-
グループポリシー管理ツールで、ドメインに移動し、グループポリシーオブジェクト を選択し、IAMアイデンティティセンターポリシーのコンテキスト (右クリック) メニューを開き、編集 を選択します。
-
ポリシーツリー内で、[User Configuration] (ユーザーの設定)、[Preferences] (設定)、[Windows Settings] (Windows の設定) の順に選択します。
-
[Windows Settings] (Windows の設定) リストから、[Registry] (レジストリ) のコンテキストメニューを右クリックで開き、[New registry item] (新規のレジストリ項目) を選択します。
-
[New Registry Properties] (新規レジストリ設定) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。
- [Action] (アクション)
-
Update - [Hive]
-
HKEY_CURRENT_USER - [Path] (パス)
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>の値
<alias>はアクセス から派生しますURL。アクセスURLが の場合https://examplecorp.awsapps.com、エイリアスは でexamplecorp、レジストリキーは になりますSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp。 - [Value name] (値の名前)
-
https - [Value type] (値の型)
-
REG_DWORD - [Value data] (値のデータ)
-
1
-
-
アクティブスクリプトを有効にするには、以下の手順を行います。
-
グループポリシー管理ツールで、ドメインに移動し、グループポリシーオブジェクト を選択し、IAMアイデンティティセンターポリシーのコンテキスト (右クリック) メニューを開き、編集 を選択します。
-
ポリシーツリー内で、[Computer Configuration] (コンピュータの設定)、[Policies] (ポリシー)、[Administrative Templates] (管理テンプレート)、[Windows Components] (Windows コンポーネント)、[Internet Explorer]、[Internet Control Panel] (インターネットコントロールパネル)、[Security Page] (セキュリティページ)、[Intranet Zone] (イントラネットゾーン) の順に選択します。
-
[Intranet Zone] (イントラネットゾーン) リストで、右クリックにより [Allow active scripting] (アクティブスクリプトの許可) のコンテキストメニューを開き、[Edit] (編集) を選択します。
-
[Allow active scripting] (アクティブスクリプトの許可) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。
-
[Enabled] (有効) ラジオボタンをオンにします。
-
[Options] (オプション) で、[Allow active scripting] (アクティブスクリプトを許可する) を 「Enable」(有効) に設定します。
-
-
-
自動ログオンを有効にするには、以下の手順を実行します。
-
グループポリシー管理ツールで、ドメインに移動し、グループポリシーオブジェクトを選択し、SSOポリシーのコンテキスト (右クリック) メニューを開き、編集 を選択します。
-
ポリシーツリー内で、[Computer Configuration] (コンピュータの設定)、[Policies] (ポリシー)、[Administrative Templates] (管理テンプレート)、[Windows Components] (Windows コンポーネント)、[Internet Explorer]、[Internet Control Panel] (インターネットコントロールパネル)、[Security Page] (セキュリティページ)、[Intranet Zone] (イントラネットゾーン) の順に選択します。
-
[Intranet Zone] (イントラネットゾーン) リストで、右クリックにより [Logon options] (ログオンオプション) のコンテキストメニューを開き、[Edit] (編集) を選択します。
-
[Logon options] (ログオンオプション) ダイアログボックスで、以下の設定を入力した上で [OK] を選択します。
-
[Enabled] (有効) ラジオボタンをオンにします。
-
[Options] (オプション) で、[Logon options] (ログオンオプション) に [Automatic logon only in Intranet zone] (イントラネットゾーン内のみで自動ログオンを認証する) を設定します。
-
-
-
統合された認証を有効にするには、以下の手順を行います。
-
グループポリシー管理ツールで、ドメインに移動し、グループポリシーオブジェクト を選択し、IAMアイデンティティセンターポリシーのコンテキスト (右クリック) メニューを開き、編集 を選択します。
-
ポリシーツリー内で、[User Configuration] (ユーザーの設定)、[Preferences] (設定)、[Windows Settings] (Windows の設定) の順に選択します。
-
[Windows Settings] (Windows の設定) リストから、[Registry] (レジストリ) のコンテキストメニューを右クリックで開き、[New registry item] (新規のレジストリ項目) を選択します。
-
[New Registry Properties] (新規レジストリ設定) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。
- [Action] (アクション)
-
Update - [Hive]
-
HKEY_CURRENT_USER - [Path] (パス)
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings - [Value name] (値の名前)
-
EnableNegotiate - [Value type] (値の型)
-
REG_DWORD - [Value data] (値のデータ)
-
1
-
-
開いている場合は、[Group Policy Management Editor] (グループポリシー管理エディタ) ウィンドウを閉じます。
-
次の手順を実行し、ドメインに新しいポリシーを割り当てます。
-
グループポリシー管理ツリーで、ドメインのコンテキスト (右クリック) メニューを開き、既存の をリンクGPOを選択します。
-
グループポリシーオブジェクトリストで、IAMアイデンティティセンターポリシーを選択し、OK を選択します。
-
この変更は、クライアントが次にグループポリシーを更新した後、または次回のユーザーログインの後に適用されます。
Firefox でのシングルサインオン
Mozilla Firefox ブラウザがシングルサインオンをサポートできるようにするには、アクセスを追加します URL (例: https://<alias>.awsapps.com) から、シングルサインオン用に承認されたサイトのリストに移動します。この設定は、手動で行うことも、スクリプトを使用して自動で行うこともできます。
シングルサインオンのための手動による更新
Firefox で承認されたサイトのリストURLへのアクセスを手動で追加するには、クライアントコンピュータで次の手順を実行します。
Firefox で承認されたサイトのリストURLへのアクセスを手動で追加するには
-
Firefox を開いて、
about:configページに移動します。 -
network.negotiate-auth.trusted-uris設定を開き、サイトのリストURLへのアクセスを追加します。複数のエントリを設定するには、それぞれをカンマ (,) で区切ります。
シングルサインオンのための自動によるアップデート
ドメイン管理者は、スクリプトを使用して、ネットワーク上のすべてのコンピュータで Firefox network.negotiate-auth.trusted-uris ユーザー設定URLにアクセスを追加できます。詳細については、https://support.mozilla.org/en-US/questions/ を参照してください。939037
