ADのシングルサインオン機能について(ビルド12101以前)
Password Manager Pro(以下PMP)では、Microsoft社がサポートしているNTLMプロトコルを利用したシングルサインオン認証を利用しており、Active DirectoryとJavaアプリケーション間の統合にJavaソフトウェアライブラリを利用して、PMPに実装しています。
そのため、シングルサインオン機能を利用するためには、Active Directoryのドメイン コントローラ上で動作しているNETLOGONサービスに接続するサービスアカウントが必要となり、コンピューターアカウントとそのパスワードを作成する必要があります。
<ADのシングルサインオン認証の設定方法>
実行条件:
・PMPへのログイン認証にActive Directory認証を行う必要があります・NTLMv1とSMBv1が使用できる必要があります。
■コンピュータアカウントを手動で生成する場合
(1)ドメインコントローラーにてコンピュータアカウントを作成
ドメインコントローラーの[Active Directory ユーザーとコンピューター]のComputersコンテナにてコンピューターアカウントを作成します。
(2)コンピューターアカウントのパスワードを設定
SetComputerPassword.vbsを用いてコンピューターアカウントのパスワードを設定します。SetComputerPassword.vbsをドメインコントローラーにダウンロードし、コマンドプロンプトより、以下のコマンドを実行します。
cscript SetComputerPassword.vbs "コンピューターオブジェクトの識別名" "コンピューターアカウントのパスワード"
例:cscript SetComputerPassword.vbs "cn=j-pmp,cn=computers,dc=zoho,dc=com" "test"
※この時の"test"がコンピューターアカウントのパスワードとなります
設定に成功した際は、「Password set on cn=j-pmp,cn=computers,dc=zoho,dc=com」と表示されます。
※Vbscript(SetComputerPassword.vbs)をご使用いただく際は、こちらからダウンロード頂き、拡張子をvbsにご変更ください。
(3)PMPでのシングルサインオン有効化の設定
[管理]>[Active Directory]>[シングルサインオンを有効化]の有効化をクリックする。ドメイン名を選択し、完全修飾DNSドメイン名、コンピューターアカウント、コンピューターアカウントのパスワード、DNSサーバーをご入力いただき[保存]をクリックする。
(4)シングルサインオンが実行できるか、確認してください。
■コンピュータアカウントをPMPにて自動生成する場合
[管理]>[Active Directory]>[シングルサインオンを有効化]の有効化をクリックし、各項目(ドメイン名、完全修飾DNSドメイン名、コンピューターアカウント、コンピューターアカウントのパスワード、DNSサーバー)を入力し、[ドメインにこのコンピュータアカウントを作成する]をチェック入れた上、[保存]をクリックする。この時に入力したコンピューターアカウントがドメインコントローラーに作成されていることを確認し、シングルサインオンが実行できるか確認してください。
※PMPのサービスアカウントとして、ADのAdministrators権限を有するアカウントを設定する必要があります
<補足情報>
1.本機能は、ADFSをご利用せずにお使いいただけます
2.複数ドメインに対してSSO機能を実施することはできません
以上、ADのシングルサインオン認証の設定方法になります。