Microsoft Negotiate

Microsoft Negotiate は 、セキュリティ サポート プロバイダー インターフェイス (SSPI) と他の SSP の間のアプリケーション層として機能する セキュリティ サポート プロバイダー (SSP) です。 アプリが SSPI を呼び出してネットワークにサインインすると、要求を処理する SSP を指定できます。 アプリで Negotiate が指定されている場合、Negotiate は要求を分析し、顧客が構成したセキュリティ ポリシーに基づいて要求を処理するための最適な SSP を選択します。

現在、ネゴシエート セキュリティ パッケージは Kerberos と NTLM の間で選択されます。 ネゴシエートでは、次のいずれかの条件が適用されない限り、Kerberos が選択されます。

• 認証に関係するシステムの 1 つでは使用できません。
• 呼び出し元アプリが Kerberos を使用するための十分な情報を提供しませんでした。

Negotiate で Kerberos セキュリティ プロバイダーを選択できるようにするには、クライアント アプリで次のいずれかを指定する必要があります。

• サービス プリンシパル名 (SPN)。
• ユーザー プリンシパル名 (UPN)。
• ターゲット名としての NetBIOS アカウント名。

それ以外の場合、ネゴシエートでは常に NTLM セキュリティ プロバイダーが選択されます。

Negotiate パッケージを使用するサーバーは、 Kerberos または NTLM セキュリティ プロバイダーを特に選択したクライアント アプリに応答できます。 ただし、クライアント アプリは、Negotiate を使用して認証を要求するために、サーバーが Negotiate パッケージをサポートしていることを認識している必要があります。 Negotiate をサポートしていないサーバーは、Negotiate を SSP として指定するクライアントからの要求に常に応答できるとは限りません。

ネゴシエート パッケージを使用する理由

• システムで使用可能な最も安全なプロトコルを使用できるようにします。
• アプリの前方互換性を確保します。
• アプリが、顧客によって設定されたセキュリティ ポリシーに従った動作を示すようにします。