【Windows】 사내 Web 시스템을 AD 연계하여 싱글 사인온으로 한다(통합 Windows 인증)

Active Directory + IIS에서 사내(인트라넷) 웹 사이트를 싱글 사인온으로 설정할 수 있습니다.

통합 Windows 인증을 사용할 수 있는 조건



자주 묻는 질문: 통합 Windows 인증을 설정하는 방법은 무엇입니까? │ 그룹웨어 desknet's NEO

※있는 제품의 지원 페이지이지만 통합 Windows 인증을 사용할 수있는 조건이 자세하게 쓰여있다.

서버측
  • Windows Server 및 IIS를 사용합니다.
  • Active Directory 도메인에 가입되어 있습니다.

  • 클라이언트측
  • PC가 Active Directory 도메인에 참여하고 로그온 사용자도 도메인 사용자입니다.
  • 인터넷 옵션은 서버를 인트라넷 또는 신뢰할 수 있는 사이트로 인식합니다.

  • 인트라넷 사이트 판별



    통합 Windows 인증이 통과하는지 여부는 연결 대상이 인트라넷에 있는지 여부에 따라 결정되며, 결정은 클라이언트의 브라우저에 의해 이루어집니다.

    IE의 보안 영역 정보 – Korea IE Support Team Blog

    단적으로 말하면, 웹 사이트의 페이지의 프로퍼티를 보고 「존」이 「로컬 인트라넷」이 되어 있으면 좋다.



    로컬 사이트인지 여부는 설정이 여러 가지이지만, 우선 URL로 판정되고 있다. URL에 점이 포함되어 있지 않으면 로컬 사이트로 간주됩니다.
    즉, 다음과 같은 느낌:
  • http://server/ → 로컬 사이트
  • http://192.168.1.1/ → 인터넷 사이트
  • http://server.co.jp/ → 인터넷 사이트

  • 그 외, 프록시 제외에 지정한 사이트는 로컬 인트라 사이트로 간주하거나 한다.

    참고:
    IE 한정이 아닌 통합 Windows 인증 - Chrome / Edge / Firefox에서도! | 철비 기술

    통합 Windows 인증 사용



    ASP.NET에서 Windows 인증 및 Windows 승인을 구현하는 방법

    IIS 설정 보충



    위 사이트를 보면 대체로는 알지만 IIS 설정 부분이 알기 어려웠기 때문에 이미지를 올렸다.

    IIS 관리자를 열고 대상 웹 사이트 → 인증을 누릅니다.



    "Windows 인증"만 활성화합니다.



    이것을 조사한 계기



    사내의 한 웹 시스템에서 통합 Windows 인증을 이용하고 있었지만, 프록시 서버의 이용을 그만둔 순간, 인증을 요구하는 다이얼로그가 표시되게 되었다.
    나의 입사 전부터 가동하고 있던 시스템&외부 벤더제라고 하는 일도 있어, 아무것도 모르기 때문에 조금 조사해 본 기록이 이 기사.

    프록시 서버 이용시에 왜 통합 Windows 인증이 유효한가 하면, 「인터넷 옵션의 보안 설정으로, 프록시 서버를 사용하지 않는 사이트를 인트라넷에 포함하는 설정이 되어 있고, 또한, 프록시 예외에 192.168.* 가 들어 있었기 때문에 , 인트라넷으로 판정되었다"는 이유 같다.



    건의 사내 시스템의 URL은 IP 주소였으므로, 이것을 시험해 서버명(닷 없음)으로 바꾸어 보았더니, 인트라넷 사이트라고 인식되어 인증이 순조롭게 다녔다.
    대응 방법으로서는, 인터넷 옵션을 변경해, IP 주소를 인트라넷 사이트에 포함하는 것도 좋다고 생각한다.

    좋은 웹페이지 즐겨찾기