web-dev-qa-db-ja.com

Googleの構成Chrome Kerberosで構成されたADに接続してADFSを使用する

ADFS SAML/Kerberosエンドポイントを介してトンネリングされたActiveDirectoryとShibbolethを使用するApacheアプリケーションを使用して認証するようにGoogle Chrome(およびFirefox)を構成しようとしています。各マシン内にいくつかの設定があります。

Active Directory設定: Kerberos DES暗号化)で構成されたActive Directoryユーザーアカウントを使用しており、Windows Server 2012r2でもKerberos事前認証があります。

IE設定: IEインターネットおよび信頼済みサイトのセキュリティ設定では、ユーザー認証が「現在のユーザー名とパスワードで自動ログオン」に設定されています(Windowsの現在のユーザーに自動的にログインするため) )ADFSおよびApacheアプリケーションのドメインが許可されたサイトに追加されます。

Windows Server 2012 r2 ADFS設定: Windows Server 2012 r2は、SAMLおよびKerberosエンドポイントが有効になっているADFSを使用して構成されています。

Shibboleth SP設定: Shibboleth SPはApacheで実行され、SAMLを使用するように構成されています。

正常に発生していること: Windowsユーザーアカウントは、IE9以降を使用してWindows7オペレーティングシステム以降に正常にログインできます。 WindowsユーザーがApacheアプリケーションにログインすると、プロンプトは表示されません。 Windowsユーザーは、ShibbolethSPで構成されたApacheアプリケーションにすぐに移動します。

何が問題なのですか? Google ChromeまたはFirefoxにアクセスすると、安全なアプリケーションコンテンツページにすぐに移動しません。代わりに、WindowsユーザーをADFSに接続します。ログイン画面とログインが失敗します(ADFSがログイン画面で使用しないActive Directory設定からKerberosを使用しているように見えるため)。

Goal: Google ChromeがInternetExplorerからセキュリティ設定を使用することを前提とすると、Apacheアプリケーションへのログインは手間をかけずに機能するはずです。

では、WindowsユーザーがApacheアプリケーションに自動的にログインできるように、Google Chromeを適切に(またはその他の構成)構成するにはどうすればよいですか?

更新

エラー Apacheアプリケーションから次のエラーが発生します。

openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST)

SAML response reported an IdP error.

Error from identity provider: 

    Status: urn:oasis:names:tc:SAML:2.0:status:Responder
windows-server-2012-r2kerberosadfsgoogle-chromesaml
3
Franz Noel

ChromeおよびFirefoxの「システムログオン資格情報」(Kerberos認証メカニズム)を使用するためのさまざまな構成があります。

Chrome

設定するにはchrome次のパラメータでアプリケーションを起動する必要があります:

  • auth-server-whitelist-許可されたFQDN-IdPサーバーのFQDNを設定します。例:

chrome --auth-server-whitelist = "* aai-logon.domain-a.com"

「ログインページ」で、適切なFQDNを見つけることができます。

ログインページの例

Mozilla Firefox

Firefoxの設定にアクセスするには、アドレスバーにabout:configと入力し、[Enter]を押します。これにより、ブラウザの現在のインストールに関するカスタマイズ可能な設定の長いリストが表示されます。 IdPサーバーのFQDN(完全修飾ドメイン名)を信頼できるURIのリストに追加する必要があります。

  • network.negotiate-auth.trusted-uris-IdPサーバーのFQDN。

構成例

「ログインページ」で正しいFQDNを見つけることができますか

Firefox-詳細設定

注意:これらのオプションは「上級」ユーザー専用です! OSにGSSAPIが統合されていない場合(一部のLinuxディストリビューションなど)。次の方法で、必要な外部ライブラリを指定できます。

  • network.negotiate-auth.gsslib-(デフォルト:空)-代替GSSAPI共有ライブラリを指定します。
  • network.negotiate-auth.using-native-gsslib-「ネイティブ」かどうかを通知します
    (true)または外部(false)GSSAPIライブラリが使用されます。

ネゴシエーション/認証に関するその他の設定は次のとおりです。

  • network.negotiate-auth.delegation-uris(デフォルト:空)-FQDN資格情報の委任が許可される(信頼される)。
  • network.negotiate-auth.allow-proxies(デフォルト:true)-ネゴシエート方式を使用したプロキシ認証を有効にします。
  • network.auth.use-sspi(Windowsのみ、デフォルト:true)-MicrosoftのSSPIライブラリを使用するかどうか、無効になっている場合はGSSAPIを使用します。
2
Andy Liu - MSFT