Microsoft ダイジェストを使用した後続の要求の認証

注意

Windows 11 22H2 以降、Microsoft は Microsoft Digest (wDigest とも呼ばれます) を非推奨とします。 Microsoft Digest は引き続き、サポートされているバージョンの Windows でサポートされます。 今後のバージョンの Windows には、Microsoft Digest の機能が制限され、最終的には Microsoft Digest は Windows でサポートされなくなります。

サーバーは、ダイジェスト チャレンジの不透明なディレクティブを使用して、共有 セキュリティ コンテキスト への参照をクライアントに送信します。 認証が成功した後、クライアントはターゲット サーバーに対する後続の要求でこの値を指定する必要があります。 既存のセキュリティ コンテキストを使用してアクセスできるリソースの要求に不透明な値を含めると、ドメイン コントローラーで再認証する必要がなくなります。 このような要求は、初期認証後にキャッシュされたダイジェスト セッション キー を使用して、サーバーで再認証されます。

次の図は、アクセスで保護されたリソースに対する後続の要求時にクライアントとサーバーが実行する手順を示しています。

認証が成功した後に追加のリソースを要求するために、クライアントは Microsoft Digest MakeSignature 関数を 呼び出してダイジェスト チャレンジ応答を生成します。 不透明な値は、サーバーに Authorization ヘッダー (HTTP 要求として表示) として送信されるチャレンジ応答の不透明なディレクティブに含まれます。

サーバーは AcceptSecurityContext (Digest) 関数を呼び出して、クライアントの既存の セキュリティ コンテキスト があるかどうかを判断します。 既存のコンテキストが見つかると、サーバーが CompleteAuthToken 関数を呼び出す必要があることを示すSEC_E_COMPLETE_NEEDEDが返されます。 この関数は、ドメイン コントローラーで再認証するのではなく、初期認証時にキャッシュされたダイジェスト セッション キーを使用してクライアント認証を実行します。