none
共有クライアントからのシングルサインオンについて RRS feed

  • 質問

  • お世話になります。

    環境
    バージョン:Exchange2016
    クライアント:Windows8.1、OWA

    イントラネット内にExchangeServerを構築します。使用するクライアントが

    共有で、メールアカウントのないドメインユーザでログインする運用となっています。

    この場合、OWAを起動すると、ログイン画面が表示されIDとパスワードを

    入力する必要があります。

    これを各個人ごとにIDとパスワードを引数としてもたせたショートカットのような

    ものを作成し、それを起動すれば自動的にログインする、もしくは、ログイン画面に

    IDとパスワードが入力されて表示される状態となるようにしたいと思っています。

    URLの後ろにIDとパスワードをつける(いわゆるGET方式というのでしょうか)を

    試してみましたが、当然のごとくだめで、ログイン画面が表示されました。

    POST方式というものもあるようですが、使用方法が分からずじまいです。

    Exchangeでこのようなシングルサインオンに対するインタフェースは

    用意されているものでしょうか?

    ご存知の方、お教えください。

    2016年9月30日 2:10

回答

  • まず「特定のショートカットを開くとユーザー名/パスワードの入力を省略してサインインできる」というのは一般的には「シングル サイン オン(SSO)」とは呼ばないと思います。SSO は最初に提示した資格情報を利用して、最初に提示した以外のシステムやサービスに自動的にサインインできる仕組みです。

    またご希望の動作を実現できたとすると、その共用 PC にログインできる (つまり「共有で、メールアカウントのないドメインユーザ」の資格情報を知っている) 人は、誰でも他のすべてのユーザーとして OWA にアクセスできることになってしまいますが、それで本当に問題ないのでしょうか。他人のメール見放題という事ですが。

    さて、本題ですが OWA へのサインインの Web ページからは POST でサーバーに資格情報が送信されますが、POST のボディ (送信するデータ) をショートカットに含めることはできません。ブラウザーで POST データを送信できるのは (特殊なツールを使ったり通信経路上で改竄するなどの方法以外では)  Web ページからだけです。各人の資格情報を予めフォームに書き込んだ Web ページを作り、それを表示してサインインするというような方法は、原理的には考えられますが、OWA の場合にそれでうまく行くかどうかはわかりません (たぶんサーバー側で referrer や cookie などもチェックしているのでうまくいかないのではないかと思います)。


    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年10月3日 5:15
    • 回答としてマーク 佐伯玲 2016年10月14日 7:31
    2016年9月30日 3:12
  • あくまで質問者さんの要望に沿った回答ということになりますと、現実的には、スクリプトもしくはバッチなどを作成して

    各ユーザーごとにID:PW部分を変えることで希望に近い動作にすることは可能なのではないかと思います。

    ただ、Hebikuzureさんも回答されていますが、共有Pアカウントで運用ということになれば、それぞれのユーザーへアクセスし放題となるので運用としてはかなり危険だと思います。

    • 回答の候補に設定 佐伯玲 2016年10月3日 5:15
    • 回答としてマーク 佐伯玲 2016年10月14日 7:31
    2016年10月2日 3:14

すべての返信

  • まず「特定のショートカットを開くとユーザー名/パスワードの入力を省略してサインインできる」というのは一般的には「シングル サイン オン(SSO)」とは呼ばないと思います。SSO は最初に提示した資格情報を利用して、最初に提示した以外のシステムやサービスに自動的にサインインできる仕組みです。

    またご希望の動作を実現できたとすると、その共用 PC にログインできる (つまり「共有で、メールアカウントのないドメインユーザ」の資格情報を知っている) 人は、誰でも他のすべてのユーザーとして OWA にアクセスできることになってしまいますが、それで本当に問題ないのでしょうか。他人のメール見放題という事ですが。

    さて、本題ですが OWA へのサインインの Web ページからは POST でサーバーに資格情報が送信されますが、POST のボディ (送信するデータ) をショートカットに含めることはできません。ブラウザーで POST データを送信できるのは (特殊なツールを使ったり通信経路上で改竄するなどの方法以外では)  Web ページからだけです。各人の資格情報を予めフォームに書き込んだ Web ページを作り、それを表示してサインインするというような方法は、原理的には考えられますが、OWA の場合にそれでうまく行くかどうかはわかりません (たぶんサーバー側で referrer や cookie などもチェックしているのでうまくいかないのではないかと思います)。


    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年10月3日 5:15
    • 回答としてマーク 佐伯玲 2016年10月14日 7:31
    2016年9月30日 3:12
  • あくまで質問者さんの要望に沿った回答ということになりますと、現実的には、スクリプトもしくはバッチなどを作成して

    各ユーザーごとにID:PW部分を変えることで希望に近い動作にすることは可能なのではないかと思います。

    ただ、Hebikuzureさんも回答されていますが、共有Pアカウントで運用ということになれば、それぞれのユーザーへアクセスし放題となるので運用としてはかなり危険だと思います。

    • 回答の候補に設定 佐伯玲 2016年10月3日 5:15
    • 回答としてマーク 佐伯玲 2016年10月14日 7:31
    2016年10月2日 3:14
  • こんにちは、すっぱSE さん
    フォーラムオペレータの佐伯 玲 です。

    Hebikuzure さんやHotaka さんからのアドバイスはご覧いただけておりますでしょうか?
    ご質問内容から懸念も出ているようですのでご確認いただけましたらご返信くださいね。

    フォーラムでは解決に至ったスレッドに「回答としてマーク」と設定いただきご質問が完了したことがわかるようお願いしております。
    今回は私のほうから「回答としてマーク」と設定させていただきました。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年10月14日 7:31