次の方法で共有

Windows 認証 - Microsoft Entra ID による Kerberos の制約付き委任

  • [アーティクル]

Kerberos の制約付き委任 (KCD) は、サービス プリンシパル名に基づいてリソース間の制約付き委任を提供します。 ドメイン管理者は委任を作成する必要があります。そして、1 つのドメインに制限されます。 リソースベースの KCD を使用して、Active Directory フォレスト内の複数のドメインにユーザーが存在する Web アプリケーションに対して Kerberos 認証を提供できます。

Microsoft Entra アプリケーション プロキシによって、アクセス用の Kerberos チケットと Kerberos の制約付き委任 (KCD) とを必要とする KCD ベースのアプリケーションへのシングル サインオン (SSO) とリモート アクセスが可能になります。

統合 Windows 認証 (IWA) を使用するオンプレミスの KCD アプリケーションへのシングル サインオンを有効にするには、Active Directory でプライベート ネットワーク コネクタにユーザー偽装のアクセス許可を付与します。 プライベート ネットワーク コネクタはこのアクセス許可を使用して、ユーザーの代理でトークンを送受信します。

KCD を使用するタイミング

オンプレミスの IWA アプリケーションに対してリモート アクセスの提供、事前認証での保護、SSO の提供を行う必要があるときは KCD を使用します。

アーキテクチャの図

システムのコンポーネント

  • ユーザー: アプリケーション プロキシが機能を提供するレガシ アプリケーションにアクセスします。
  • Web ブラウザー:アプリケーションの外部 URL にアクセスするためにユーザーが操作するコンポーネントです。
  • Microsoft Entra ID: ユーザーを認証します。
  • アプリケーション プロキシ サービス: リバース プロキシとして機能して、ユーザーからオンプレミスのアプリケーションに要求を送信します。 これは、Microsoft Entra ID に格納されます。 アプリケーション プロキシは、条件付きアクセス ポリシーを適用できます。
  • プライベート ネットワーク コネクタ: アプリケーションへの接続を提供するために、Windows オンプレミス サーバーにインストールされます。 Microsoft Entra ID への応答を返します。 Active Directory との KCD ネゴシエーションを実行します。このときに、ユーザーの代理でアプリケーションに対する Kerberos トークンを取得します。
  • Active Directory: アプリケーション用の Kerberos トークンをプライベート ネットワーク コネクタに送信します。
  • レガシ アプリケーション: アプリケーション プロキシからユーザー要求を受け取るアプリケーションです。 レガシ アプリケーションから、プライベート ネットワーク コネクタに応答が返されます。

Microsoft Entra ID を使用して Windows 認証 (KCD) を実装する

Microsoft Entra ID を使用した Windows 認証 (KCD) の実装の詳細については、次のリソースを参照してください。

次のステップ