イントラネットで利用するWebアプリケーションに、Windowsログオン済みのPCからユーザID/パスワードの入力を省略してシングルサインオンができる統合Windows認証に、FileBlog Ver.3.8以降で完全サポートできるようになりました。

この機会に各種ブラウザでの統合Windows認証の動作確認を行ったところ、IEはもちろん、Chrome / Edge / Firefox のブラウザでも統合Windows認証が動作することを確認できました。

【統合Windows認証の動作確認済みブラウザ】

  • Microsoft Internet Explorer 11
  • Microsoft Edge
  • Google Chrome
  • Mozilla Firefox

※統合Windows認証の機能を有効にした状態で、FileBlog全機能の動作を公式にサポートする対象ブラウザは IE11 に限定しています。他ブラウザでの統合Windows認証については、「非公式」な動作確認のみとしています。

ログイン認証いらずの統合Windows認証は便利なため、積極的に使ってみてはいかがでしょうか?

統合Windows認証は便利なのになぜ使われない?

統合Windows認証とは、Windows Active Directoryドメインに参加するPCから利用される社内Webアプリケーションサーバーの機能です。「PCにログオンするときにユーザID/パスワードを一度入力したら、社内のWebアプリケーションにログインするときにはユーザID/パスワード入力を省略できるようになる」というものです。

面倒なログイン操作を省略できて大変便利な機能ですが、統合Windows認証をきちんとサポートするWebサーバーといえるのが、実質的に Microsoft IIS (Internet Information Server)だけであり、サードパーティ製のWebアプリケーションによく使われる Apache HTTPD Server や、Javaベースのアプリケーションでは統合Windows認証のサポートが難しいため、便利なわりには残念ながらあまり普及していません。

FileBlogもVer.1.0以来9年間、Apache Webサーバーを使ってきたことにより統合Windows認証の対応に困難を抱えていましたが、Ver.3.8ではApacheから脱却し、独自Webサーバーの実装に切り替えて完全な統合Windows認証のサポートを実現しました。

苦労して実現した機能ですので、ぜひ使ってみてください。

統合Windows認証の使用上の注意点

便利な統合Windows認証ですが、利用にはいくつかのポイントがあります。

☆☆最重要 イントラネット・ゾーンでアクセスする(IE/Chrome/Edge共通)

IE / Chrome / Edge の3つのブラウザは、Windows共通のインターネットオプション設定を参照します。

統合Windows認証は、ここの「セキュリティ」タブで定義されるゾーン区分で、「ローカル・イントラネットゾーン」のときに利用できる機能です。

当該ゾーンのセキュリティレベル「ユーザー認証」において、「イントラネットゾーンでのみ自動的にログオンする」を指定します。他のゾーンでは自動的にログオンすることはできません。

☆重要 ローカル・イントラネットゾーンの判定は、自動判定と手動設定の二本立て

統合Windows認証がうまくいかないという場合、おおよそ「ローカル・イントラネットゾーンになっていない」のが原因です。

ブラウザが接続先のWebサイトを「ローカル・イントラネットゾーン」として扱う判定は、自動判定と手動設定の二本立てで行われます。

WebサイトのURLを明示的に定義する手動設定は、面倒ですが明確です。一方でわかりにくいのが、「イントラネットのネットワークを自動的に検出する」となっている場合の自動判定です。

実は、ここでの自動検出は、「URLにピリオドが一つも含まれなかったらイントラネットゾーンとみなす」というルールで判定が行われます。

例えば、

  • http://myServer/ → ローカル・イントラネットゾーン
  • http://192.168.0.28/ → インターネットゾーン
  • http://myServer.teppi.net/ → インターネットゾーン

という判定になります。

IPアドレスやFQDNの指定ではイントラネットとみなされません。プライベートIPアドレスを自動的に検出してくれるような賢い動作を期待していると完全に裏切られてしまうがっかりな仕様です。

インターネットオプションの設定は、Active Directoryドメイン環境ではグループ・ポリシーを使用して一元管理・配布が可能です。明示的にイントラネットゾーンに手動登録するのが良いと思います。

Chrome・Edge・Firefox で統合Windows認証を使用するためのFileBlogの設定

FileBlogの設定画面で「統合Windows認証を利用する」をONにする際、対象ブラウザのUser-Agent設定の標準は”ie|trident” です(Ver.3.8)。ここを書き換えると、Chromeなどでも統合Windows認証が利用できるようになります。

例えば次のように入力してください。

msie|trident|(?=Windows).*Chrome|(?=Windows).*Firefox

これで、Windows版の Chrome・Edge・Firefox も統合Windows認証の対象になります。(Mac版の Chrome・Firefox では統合Windows認証が利用できません。)

Firefoxで統合Windows認証を有効にする方法

Firefox はインターネットオプションを参照しないため独自に設定が必要です。

Firefox のアドレスバーに “about:config” と入力し、警告を受け入れて詳細設定編集モードにして次の2つの設定を行います。

network.automatic-negotiate-auth.trusted-uris に、FileBlogサーバーのURIを設定します。

network.automatic-negotiate-auth.allow-non-fqdn は、

・FileblogサーバーのURIがFQDN形式なら false でよいが、

・FileBlogサーバーのURIがピリオドを含まない形式なら true にします。

(2018/2/16追記) Firefox 57 “Quantum” 以降では、パラメータ名に変更がありました。
network.negotiate-auth.trusted-uris と
network.negotiate-auth.allow-non-fqdn とに読み替えて下さい。

※統合Windows認証の方式として「NTLM」と「Kerberos」の2つの方式がありますが、FileBlogは「Kerberos」方式を採用しています。

Firefoxの設定画面には「ntml」関連のエントリもありますが無視してかまいません。

・network.automatic-ntlm-auth.trusted-uris

・network.automatic-ntlm-auth.allow-non-fqdn