SSOを使用できるようにMacブラウザーを構成する
IWA SSOは、ブラウザを構成しないことを選択した場合も機能するかもしれませんが、ブラウザタイプの関連情報を確認し、ブラウザを構成することをお勧めします。
macOS Safari
IWAは、macOSのSafariで自動的に有効になります。macOSホストがWindowsドメインのメンバーであることを確認してください。macOSホストをWindowsドメインに追加する方法の詳細は、Appleサポートドキュメントの、Macをネットワークアカウントサーバーに参加させる方法に関する記事をを参照してください。
Mozilla Firefox
以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。
- Firefoxのアドレス・バーにabout:configと入力します。
Firefox 3.x以降では、注意して続行するように求める警告メッセージが表示されます。
- 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。
network.negotiate-auth.trusted-uris
- このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。
複数のホスト名を入力する場合、順序は重要ではありません。
IWAホスト・サーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。
network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn - 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
- [OK]をクリックします。
Google Chrome
IWA機能は、OS/XのChromeでは自動的に有効になります。Windowsと同様に、この機能は許可リストによって管理されます。Kerberosチケットを提供するようにサイトがブラウザに求めたときは、サイトが許可リストにある場合にのみブラウザがチケットを提供します。
- ターミナルアプリケーションを起動します。
- アカウントのKerberosチケットを作成します:
kinit user.name@example.com
user.name@example.comをユーザー名とドメインに置き換え、プロンプトが表示されたらパスワードを入力します。
- Chromeの許可リストを構成します。
$ defaults write com.google.Chrome AuthServerAllowlist "*.example.com"
$ defaults write com.google.Chrome AuthNegotiateDelegateAllowlist "*.example.com"
example.comをご使用のドメインに置き換えてください。
macOSでChromeポリシーを管理する方法については、Googleサポートドキュメントの、AuthNegotiateDelegateAllowlistとAuthServerAllowlistに関する記事を参照してください。。