MacブラウザーにSSOを構成する
IWA SSOは、ブラウザーを構成しないことを選択した場合も機能するかもしれませんが、ブラウザータイプの関連情報を確認し、ブラウザーを構成することをお勧めします。
macOS Safari
IWAは、macOSのSafariで自動的に有効になります。macOSホストがWindowsドメインのメンバーであることを確認してください。macOSホストをWindowsドメインに追加する方法の詳細は、Appleサポートドキュメントの、Macをネットワークアカウントサーバーに参加させる方法に関する記事をを参照してください。
Mozilla Firefox
以下の構成では、FirefoxがIWAによってKerberosチケットを適切に渡せるようになりますが、HTTPSページからHTTPページへの移行については引き続き警告が表示されます。この問題を解決するには、IWAをHTTPSモードで展開します。
- Firefoxの アドレスバーにabout:configと入力します。
Firefox 3.x以降では、注意して続行するように求める警告メッセージが表示されます。
- 構成ページが読み込まれたら、[Search(検索)]フィールドに次のように入力します。
network.negotiate-auth.trusted-uris
- このフィールドには、IWAサーバーのホスト名が一覧表示されます。2つ以上のIWAインスタンスが展開されている場合は、複数の値がコンマ「,」で区切られて表示されます。
複数のホスト名を入力する場合、順序は重要ではありません。
IWAホストサーバーの完全修飾ドメイン名(FQDN)を入力することをお勧めします。入力しない場合は、次の値をTrueに切り替える必要もあります。
network.automatic-ntlm-auth.allow-non-fqdnnetwork.negotiate-auth.allow-non-fqdn - 上記のそれぞれの[Value(値)]列を右クリックして、値をTrueに切り替えます。
- [OK]をクリックします。
Google Chrome
IWA機能は、OS/XのChromeでは自動的に有効になります。Windowsと同様に、この機能は許可リストによって管理されます。Kerberosチケットを提供するようにサイトがブラウザーに求めたときは、サイトが許可リストにある場合にのみブラウザーがチケットを提供します。
- ターミナルアプリケーションを起動します。
- アカウントのKerberosチケットを作成します:
kinit user.name@example.com
user.name@example.comをユーザー名とドメインに置き換え、プロンプトが表示されたらパスワードを入力します。
- Chromeの許可リストを構成します。
$ defaults write com.google.Chrome AuthServerAllowlist "*.example.com"
$ defaults write com.google.Chrome AuthNegotiateDelegateAllowlist "*.example.com"
example.comをご使用のドメインに置き換えてください。
macOSでChromeポリシーを管理する方法については、Googleサポートドキュメントの、AuthNegotiateDelegateAllowlistとAuthServerAllowlistに関する記事を参照してください。。