Windows 10でのSSO(シングルサインオン)認証の仕組み

2020 年 3 月 16 日 マット・ミルズ ヒントとテクニック 0

今日の認証方法について話すとき、これらは一般的に、必要なたびにログインの詳細または資格情報を書き留めることを意味します。 ただし、SSOまたはシングルサインオン方式を使用すると、複数のサービスやアプリケーションに同時にアクセスする必要がある人の生活が楽になるようです。 今日この記事では、シングルサインオンについて説明します。 Windows 10.

企業環境に関しては、Windows 10が広く使用されているオペレーティングシステムであることは間違いありません。 問題のシステムの利点だけでなく、他のプロプライエタリおよび外部アプリケーションも使用します。 これらには企業のWindows環境と統合する機能があり、10、15、またはそれ以上のアプリケーションに簡単にアクセスできます。

ユーザーがアプリケーションにアクセスするたびに認証を行う必要がある場合、これはかなりの時間の無駄になるだけでなく、いくつかの問題とリスクを伴う可能性があります。 たとえば、ユーザーがすばやく認証する必要があり、十分な注意を払っていない場合、ユーザーは次のことができます。 企業アカウントをブロックする 数回入力しようとします。 ありますが IAM(IDアクセス管理)システム この種の状況を処理する場合、エンドユーザーエクスペリエンスはあまり良くなく、間違いなくあなたの毎日の生産性に影響します。

シングルサインオンウィンドウ

SSO(またはシングルサインオン) 一元化されたユーザーおよびデバイス認証サービスです。 これは次のように機能します。ユーザー資格情報のセットは、適切な承認が与えられたすべてのアプリケーションへの直接ゲートウェイとして機能します。 これらの資格情報は、 email、 ユーザー名とパスワード。 発生する直接的な利点は、使用する必要のあるすべてのアプリケーションとサービスに資格情報を入力する必要がないことです。 あなたは単に使用します SSOタイプのショートカット (Webアプリケーションの場合はURLなど)、数秒で認証されます。

もうXNUMXつの利点は、エンドユーザーが シングル 本当に安全 password 。 つまり、十分な数の数字、数字、特殊文字、およびパスワードポリシーの他の仕様が必要です。 人々が強力なパスワードを選択しない理由のXNUMXつは、アプリケーションごとにXNUMXつを考えるのにかかる時間です。 SSOを使用すると、推測しにくい強力なパスワードの作成を促進することにより、ユーザーの考え方を変えることができます。 また、更新する場合は、SSOが有効になっているすべてのアプリにその変更が適用されます。

Windows 10でのSSO操作

このサービスは、次のカテゴリのアプリケーションで利用できます。

  • 認証サービスと統合Windowsアプリケーション。
  • Azure AD接続アプリケーション。 Office 365およびAzure ADプロキシで公開されたすべてのアプリケーションを含みます。
  • Active Directoryフェデレーションサービスを使用するアプリケーション。
  • Azure ADおよびドメイン参加デバイス(ネットワーク資格情報を使用して職場ドメインに接続します)。

SSOを使用すると、SSOと互換性のあるアプリケーションの種類ごとに特別なトークン(トークン)を取得できます。 この特別なタブを使用すると、特定のアプリケーションにアクセスするための他のタブを取得できます。

まるで特別なトークンが英語で「マザートークン」と呼ばれるように プライマリリフレッシュトークン(PRT) 。 これは、原則として、Windowsログインプロセス中に生成されます:ユーザーログインおよび/またはコンピューターロック解除。 これには、デバイスとデバイスが属するドメインについて知るために必要なすべてのデータが含まれています。 つまり、このPRTタブがない場合、条件付きのデバイスベースのアクセスポリシーでは、アプリにアクセスできなくなります。

次に、PRTタブの生成方法を示します。

  1. ユーザーはWindowsで資格情報を入力します。
  2. 資格情報はに渡されます クラウドAP Azure AD 認証の拡張。
  3. ユーザーとデバイスの両方に対して認証プロセスが実行され、Azure ADから[PRT]タブが取得されます。
  4. PRTタブキャッシュは、 Webアカウントマネージャー アプリケーション認証中にアクセスするため。
  5. アプリケーションは、特定のアプリケーションやサービスに対応するWebアカウントマネージャーから[PRT]タブへのアクセスを要求します。

パスワードベースのSSO

最も広く使用されているSSOメソッドのXNUMXつは password ベースまたは「パスワードベース」。 ユーザーは、最初にアクセスするときのみ、ユーザー名とパスワードを使用してアプリケーションにログインします。 その起動に続いて、Azure ADはサポートされているアプリケーションに指定された資格情報を提供します。

この方法は、既存の認証方法に基づいています。これは、資格情報を入力する方法です。 パスワードベースの方法を選択した場合、Azure ADはそのデータを収集して保存し、ディレクトリに暗号化します。

参考までに、ユーザーは次のプログラムを使用する場合、この方法で自分自身を認証できます。

  • Windows 7以降のInternet Explorer。
  • Windows 10 Anniversary Edition以降のエッジ。
  • AndroidおよびiOS用のモバイルバージョンのEdge。
  • Windows 7以降のChromeおよびMacOSX。
  • Intune Managed Browser。
  • Firefoxバージョン26.0以降、Windows XP Service Pack 2以降およびMac OS X 10.6以降。

SSOの手法は、どれだけ革新的で興味深いものであっても、XNUMX日に何度もパスワードを入力しなくても生活できることを示しています。 おそらく、この方法を使用していることに気付いていない可能性が高いです。 すべてではありませんが、ほとんどの場合、Windows Active Directoryを使用する企業は、SSOを同盟国として持っています。