シングルサインオン

AWS Directory Service を使用することで、ディレクトリに結合されているコンピュータから Amazon WorkDocs へのアクセスを、ユーザーに対し許可できます。ユーザーが認証情報を個別に入力する必要はありません。

シングルサインオンを有効にする前に、ユーザーのウェブブラウザでシングルサインオンをサポートさせるための、追加の手順を実行する必要があります。ユーザーは、シングルサインオンを有効にするために、ウェブブラウザで設定の変更が必要な場合があります。

注記

シングルサインオンは、AWS Directory Service ディレクトリに結合されているコンピュータで使用された場合にのみ機能します。このディレクトリに結合されていないコンピュータでは使用できません。

ディレクトリに AD Connector ディレクトリを使用しており、AD Connector サービスアカウントがそのサービスプリンシパル名属性を追加または削除するためのアクセス許可を持っていない場合、下記のステップ 5 とステップ 6 では、2 つのオプションが選択できます。

1. 続行した場合、AD Connector サービスアカウントのサービスプリンシパル名属性を追加または削除するアクセス許可を持つディレクトリユーザーのユーザー名とパスワードの入力を求められます。これらの認証情報は、シングルサインオンを有効にする目的でのみ使用され、サービスで保存されることはありません。AD Connector サービスアカウントのアクセス許可は変更されません。

2. AD Connector サービスアカウントには、それ自体のサービスプリンシパル名属性を追加または削除するための権限を委任できます。AD Connector サービスアカウントのアクセス許可を変更する権限を持つアカウントを使用して、ドメインに結合済みコンピュータから次の PowerShell コマンドを実行します。次のコマンドは、AD Connector サービスアカウントに対して、それ自体のサービスプリンシパル名属性のみを追加および削除することを許可します。

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"

Amazon WorkDocs でシングルサインオンを有効または無効にするには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. [Directories] (ディレクトリ) ページで、ディレクトリ ID を選択します。

3. [Directory details] (ディレクトリの詳細) ページで、[Application management] (アプリケーション管理) タブを選択します。

4. [Application access URL] (アプリケーションのアクセス URL) セクションで [Enable] (有効) をクリックし、Amazon WorkDocs のシングルサインオンを有効にします。

   [Enable] (有効) ボタンが表示されていない場合は、最初にアクセス URL を作成すると、このオプションが表示されます。アクセス URL 作成方法の詳細については、「アクセス URL の作成」を参照してください。

5. [Enable Single Sign-On for this directory] (このディレクトリのシングルサインオンの有効化) ダイアログボックスで、[Enable] (有効) をクリックします。ディレクトリのシングルサインオンが有効に設定されます。

6. 後で Amazon WorkDocs のシングルサインオンを無効にする場合は、[Disable] (無効) をクリックし、[Disable Single Sign-On for this directory] (このディレクトリのシングルサインオンの無効化) ダイアログボックスで、再度 [Disable] (無効) をクリックします。

IE および Chrome でのシングルサインオン

Microsoft Internet Explorer (IE) および Google Chrome ブラウザでシングルサインオンを使用するには、クライアントコンピュータで以下のタスクを実行する必要があります。

• シングルサインオンが承認済みサイトのリストに、アクセス URL (例: https://<alias>.awsapps.com) を追加します。

• アクティブなスクリプト (JavaScript) を有効にします。

• 自動ログオンを許可します。

• 統合された認証を有効にします。

ユーザーは、これらのタスクを手動で実行するか、対象の設定を、グループポリシーの設定を通じて変更することができます。

トピック

• Windows シングルサインオン用の手動アップデート
• OS X でシングルサインオンを設定するための手動アップデート
• シングルサインオンのグループポリシー設定

Windows シングルサインオン用の手動アップデート

Windows コンピュータでのシングルサインオンを手動で有効にするには、クライアントコンピュータで以下の手順を行います。これらの設定の一部については、適切に事前設定が行われています。

Windows 上で Internet Explorer および Chrome のシングルサインオンを手動で有効にするには

1. [Internet Properties] (インターネットプロパティ) ダイアログボックスを開くには、[Start] (スタート) メニューを開き、検索ボックスに「Internet Options」と入力した上で、[Internet Options] (インターネットオプション) をクリックします。

2. 承認済みサイトのリストにアクセス URL を追加してシングルサインオンを設定するには、以下の手順を実行します。

   1. [Internet Properties] (インターネットプロパティ) ダイアログボックスで [Security] (セキュリティ) タブを開きます。

   2. [Local intranet] (ローカルイントラネット)、[Sites] (サイト) の順に選択します。

   3. [Local intranet] (ローカルイントラネット) ダイアログボックスで、[Advanced] (詳細) をクリックします。

   4. ウェブサイトのリストにアクセス URL を追加した後、[Close] (閉じる) をクリックします。

   5. [Local intranet] (ローカルイントラネット) ダイアログボックスで、[OK] をクリックします。

3. アクティブスクリプトを有効にするには、以下の手順を行います。

   1. [Internet Properties] (インターネットのプロパティ) ダイアログボックスの [Security] (セキュリティ) タブで、[Custom level] (カスタムレベル) をクリックします。

   2. [Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、下部にある [Scripting] (スクリプト) までスクロールし、[Active scripting] (アクティブスクリプト) の下で [Enable] (有効) をクリックします。

      

   3. [Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。

4. 自動ログオンを有効にするには、以下の手順を実行します。

   1. [Internet Properties] (インターネットのプロパティ) ダイアログボックスの [Security] (セキュリティ) タブで、[Custom level] (カスタムレベル) をクリックします。

   2. [Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、下部の [User Authentication] (ユーザー認証) までスクロールし、[Logon] (ログオン) にある [Automatic logon only in Intranet zone] (イントラネットゾーン内のみで自動ログオンを認証する) をクリックします。

      

   3. [Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。

   4. [Security Settings - Local Intranet Zone] (セキュリティ設定 – ローカルイントラネットゾーン) ダイアログボックスで、[OK] をクリックします。

5. 統合された認証を有効にするには、以下の手順を行います。

   1. [Internet Properties] (インターネットのプロパティ) ダイアログボックスで、[Advanced] (詳細) タブを表示します。

   2. 下部にある [Security] (セキュリティ) までスクロールし、[Enable Integrated Windows Authentication] (Windows 認証の統合を有効化する) をクリックします。

      

   3. [Internet Properties] (インターネットプロパティ) ダイアログボックスで、[OK] をクリックします。

6. これらの変更を適用するためにブラウザを再起動します。

OS X でシングルサインオンを設定するための手動アップデート

シングルサインオンを、OS X の Chrome 向けに手動で有効化するには、クライアントコンピュータで以下の手順を実行します。これらの手順を完了させるには、コンピュータの管理者権限が必要です。

OS X で Chrome 向けのシングルサインオンを手動で有効にするには

1. 次のコマンドを実行し、アクセス URL を AuthServerAllowlist ポリシーに追加します。

   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

2. [System Preferences] (システム設定) を開き、[Profiles] (プロファイル) パネルに移動して、Chrome Kerberos Configuration プロファイルを削除します。

3. Chrome を再起動して chrome://policy を開き、新しい設定が適用されていることを確認します。

シングルサインオンのグループポリシー設定

ドメイン管理者は、グループポリシー設定を実装することで、ドメインに結合しているクライアントコンピュータでのシングルサインオンの設定を変更できるようになります。

注記

Chrome のポリシーを適用したドメインのコンピュータで Chrome ウェブブラウザを管理している場合は、アクセス URL を AuthServerAllowlist ポリシーに追加する必要があります。Chrome ポリシーの設定に関する詳細については、「Policy Settings in Chrome」(Chrome のポリシー設定) を参照してください。

グループポリシー設定を使用して Internet Explorer および Chrome のシングルサインオンを有効にするには

1. 以下の手順を実行し、新しいグループポリシーオブジェクトを作成します。

   1. グループポリシー管理ツールを開き、対象のドメインに移動して [Group Policy Objects] (グループポリシーオブジェクト) をクリックします。

   2. メインメニューで、[Action] (アクション)、[New] (新規) の順に選択します。

   3. [New GPO] (新しい GPO) ダイアログボックスで、グループポリシーオブジェクトのために識別しやすい名前（IAM Identity Center Policy など）を入力します。また、[Source Starter GPO] (ソース スターター GPO) は「(none)」のままにします。[OK] をクリックします。

2. アクセス URL を承認済みサイトのリストに追加してシングルサインオンを設定するには、以下の手順を実行します。

   1. グループポリシー管理ツールで、使用するドメインに移動し、[Group Policy Objects] (グループポリシーオブジェクト) を選択します。次に、右クリックで IAM Identity Center ポリシーのコンテキスト メニューを開き、[Edit] (編集) を選択します。

   2. ポリシーツリー内で、[User Configuration] (ユーザーの設定)、[Preferences] (設定)、[Windows Settings] (Windows の設定) の順に選択します。

   3. [Windows Settings] (Windows の設定) リストから、[Registry] (レジストリ) のコンテキストメニューを右クリックで開き、[New registry item] (新規のレジストリ項目) を選択します。

   4. [New Registry Properties] (新規レジストリ設定) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。

      [Action] (アクション)

      Update

      [Hive]

      HKEY_CURRENT_USER

      [Path] (パス)

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      <alias> の値は、アクセス URL から抽出します。アクセス URL が https://examplecorp.awsapps.com の場合、エイリアスは examplecorp となり、レジストリキーは Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp になります。

      [Value name] (値の名前)

      https

      [Value type] (値の型)

      REG_DWORD

      [Value data] (値のデータ)

      1

3. アクティブスクリプトを有効にするには、以下の手順を行います。

   1. グループポリシー管理ツールで、使用するドメインに移動し、[Group Policy Objects] (グループポリシーオブジェクト) を選択します。次に、右クリックで IAM Identity Center ポリシーのコンテキスト メニューを開き、[Edit] (編集) を選択します。

   2. ポリシーツリー内で、[Computer Configuration] (コンピュータの設定)、[Policies] (ポリシー)、[Administrative Templates] (管理テンプレート)、[Windows Components] (Windows コンポーネント)、[Internet Explorer]、[Internet Control Panel] (インターネットコントロールパネル)、[Security Page] (セキュリティページ)、[Intranet Zone] (イントラネットゾーン) の順に選択します。

   3. [Intranet Zone] (イントラネットゾーン) リストで、右クリックにより [Allow active scripting] (アクティブスクリプトの許可) のコンテキストメニューを開き、[Edit] (編集) を選択します。

   4. [Allow active scripting] (アクティブスクリプトの許可) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。

      • [Enabled] (有効) ラジオボタンをオンにします。

      • [Options] (オプション) で、[Allow active scripting] (アクティブスクリプトを許可する) を 「Enable」(有効) に設定します。

4. 自動ログオンを有効にするには、以下の手順を実行します。

   1. グループポリシー管理ツールで、対象のドメインに移動しグループポリシーオブジェクトを選択します。次に、右クリックで SSO ポリシーのコンテキストメニューを開き、[Edit] (編集) を選択します。

   2. ポリシーツリー内で、[Computer Configuration] (コンピュータの設定)、[Policies] (ポリシー)、[Administrative Templates] (管理テンプレート)、[Windows Components] (Windows コンポーネント)、[Internet Explorer]、[Internet Control Panel] (インターネットコントロールパネル)、[Security Page] (セキュリティページ)、[Intranet Zone] (イントラネットゾーン) の順に選択します。

   3. [Intranet Zone] (イントラネットゾーン) リストで、右クリックにより [Logon options] (ログオンオプション) のコンテキストメニューを開き、[Edit] (編集) を選択します。

   4. [Logon options] (ログオンオプション) ダイアログボックスで、以下の設定を入力した上で [OK] を選択します。

      • [Enabled] (有効) ラジオボタンをオンにします。

      • [Options] (オプション) で、[Logon options] (ログオンオプション) に [Automatic logon only in Intranet zone] (イントラネットゾーン内のみで自動ログオンを認証する) を設定します。

5. 統合された認証を有効にするには、以下の手順を行います。

   1. グループポリシー管理ツールで、使用するドメインに移動し、[Group Policy Objects] (グループポリシーオブジェクト) を選択します。次に、右クリックで IAM Identity Center ポリシーのコンテキスト メニューを開き、[Edit] (編集) を選択します。

   2. ポリシーツリー内で、[User Configuration] (ユーザーの設定)、[Preferences] (設定)、[Windows Settings] (Windows の設定) の順に選択します。

   3. [Windows Settings] (Windows の設定) リストから、[Registry] (レジストリ) のコンテキストメニューを右クリックで開き、[New registry item] (新規のレジストリ項目) を選択します。

   4. [New Registry Properties] (新規レジストリ設定) ダイアログボックスで、以下の設定を入力した上で [OK] をクリックします。

      [Action] (アクション)

      Update

      [Hive]

      HKEY_CURRENT_USER

      [Path] (パス)

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      [Value name] (値の名前)

      EnableNegotiate

      [Value type] (値の型)

      REG_DWORD

      [Value data] (値のデータ)

      1

6. 開いている場合は、[Group Policy Management Editor] (グループポリシー管理エディタ) ウィンドウを閉じます。

7. 次の手順を実行し、ドメインに新しいポリシーを割り当てます。

   1. [グループポリシーの管理] ツリーで、右クリックによりドメインのコンテキストメニューを開き、[Link an Existing GPO] (既存の GPO をリンク) を選択します。

   2. [Group Policy Objects] (グループポリシーオブジェクト) リストで、IAM Identity Center ポリシーを選択し、[OK] を選択します。

この変更は、クライアントが次にグループポリシーを更新した後、または次回のユーザーログインの後に適用されます。

Firefox でのシングルサインオン

Mozilla Firefox ブラウザでシングルサインオンのサポートを許可するには、アクセス URL (例: https://<alias>.awsapps.com) を、シングルサインオン承認済みサイトのリストに追加します。この設定は、手動で行うことも、スクリプトを使用して自動で行うこともできます。

トピック

• シングルサインオンのための手動による更新
• シングルサインオンのための自動によるアップデート

シングルサインオンのための手動による更新

Firefox の承認済みサイトのリストに手動でアクセス URL を追加するには、クライアントコンピュータで以下の手順を実行します。

Firefox の承認済みサイトのリストに手動でアクセス URL を追加するには

1. Firefox を開いて、about:config ページに移動します。

2. network.negotiate-auth.trusted-uris の設定を開き、アクセス URL をサイトのリストに追加します。複数のエントリを設定するには、それぞれをカンマ (,) で区切ります。

   

シングルサインオンのための自動によるアップデート

ドメインの管理者であれば、ネットワークにあるすべてのコンピュータに対し、Firefox の network.negotiate-auth.trusted-uris ユーザー設定にアクセス URL を追加するためのスクリプトを使用できます。詳細については、https://support.mozilla.org/en-US/questions/939037 にアクセスしてください。