Misc.

2011/04/26

RD Web アクセスの Web SSO の更新プログラム(KB2524668) について

Windows Server 2008 R2 のリモート デスクトップ サービス (RDS) では、シングル サイン オン (SSO) の方法として、次の2つが用意されています。

この 2 つは混同してしまいそうですが、前者は Windows ログオン認証の資格情報による SSO、後者は Web フォーム認証に入力された資格情報による SSO です。RD Web アクセスの Web SSO は RemoteApp プログラムに対してのみ機能するというのがこれまでの仕様でしたが、以下の修正プログラム (KB2524668) でリモート デスクトップ接続でも利用できるようになったことは昨日お伝えしたとおり。この修正プログラムの効果について検証してみました。

Windows 7 または Windows 7 SP1のクライアントから、Web SSO が有効な RD Web アクセスのサイトにアクセスし、“Windows ログオンに使用したユーザーとは異なるユーザー”でサイン インします。以下の例では、Windows (ドメイン) に CORP\yamaichi でログオン中ですが、RD Web アクセスの Web 認証フォームには CORP\Administrator でサイン インしています。セキュリティ オプションは、今回は「公共または共有のコンピューター」を選択します。


RemoteApp プログラム「Microsoft Word 2010」と「リモート デスクトップ接続」の 2 つのアイコンをクリックし、出現する RDP ファイルに対する警告ダイアログボックスの「詳細」ボタンをクリックします。RemoteApp プログラム「Microsoft Word 2010」のほうは、RDP ファイルに「接続に使用する資格情報: CORP\Administrator」という資格情報が含まれます。これは、RD Web アクセスの Web 認証フォームに入力された資格情報です。一方、「リモート デスクトップ接続」のほうには、資格情報は含まれません。この違いは、RD Web アクセスの Web SSO 機能が RemoteApp プログラムでのみ使用できるということを示しています。


次に、いったんサイン アウトして、RD Web アクセスの Web 認証フォームでセキュリティ オプション「個人のコンピューター」を選択し、もう一度、CORP\Administrator でサイン インします。同じように、RDP ファイルに対する警告ダイアログボックスの「詳細」を開いてみると、今度は「リモート デスクトップ接続」のほうに、「接続に使用する資格情報: yamaichi@corp.contoso.com」という資格情報が含まれました。Windows ログオン認証の資格情報が引き継がれています。


実は、このクライアントでは、「資格情報の委任」ポリシーが有効になっています。「資格情報の委任」ポリシーにより Windows 認証による SSO が有効になっている場合、セキュリティ オプションの「個人のコンピューター」を選択すると、このような動作になります。同じ RD Web アクセスのポータル内で、RemoteApp プログラムは Web SSO で、「リモート デスクトップ接続」は Windows 認証の SSO で動作します。なお、「資格情報の委任」ポリシーが構成されていない場合、「リモート デスクトップ接続」に資格情報は含まれません。


ここで、修正プログラム (KB2524668) をクライアントにインストールします。クライアント OS では、Windows 7 または Windows 7 SP1 に対応した修正プログラムです。この修正プログラムを入手するには、サポート技術情報の「この技術情報に対応する修正プログラムのダウンロード リスト」リンクをクリックして、修正プログラムをリクエストし、ダウンロード リンクと ZIP 解凍パスワードを電子メールで受信するという手続きが必要です。ちょっと面倒です。


修正プログラムをインストール完了後、再起動を求められるので、再起動します。その後、再び RD Web アクセスの Web 認証フォームに CORP\Administrator でサイン インします。Windows のログオン ユーザーは、前回と同様に CORP\yamaichi です。セキュリティ オプションは「公共または共有のコンピューター」と「個人のコンピューター」のどちらでも構いません(今度は、どちらも同じ動きをします)。

「リモート デスクトップ接続」の RDP ファイルに対する警告ダイアログボックスで「詳細」を開いてみましょう。修正プログラムをインストールすると、RD Web アクセスの Web 認証フォームに入力した資格情報が RDP ファイルに含まるようになります。これで、Web SSO が「リモート デスクトップ接続」でも機能するようになりました。




0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。