管理者がプロキシサーバーまたは NTLM で認証を行うために Adobe Connect アカウントのシングルサインオン(SSO)を設定する方法を学習します。

シングルサインオンについて

シングルサインオンは、ユーザーが 1 回の認証によって複数のアプリケーションにアクセスできるメカニズムです。シングルサインオンではプロキシサーバーを使ってユーザーを認証するので、ユーザーは Adobe Connect にログインする必要がありません。

Adobe Connect では、以下のシングルサインオンメカニズムがサポートされています。

HTTP ヘッダー認証

HTTP 要求を傍受し、ヘッダーからユーザーの資格情報を解析し、それらの資格情報を Adobe Connect に渡すように、認証プロキシを設定します。

Microsoft NT LAN Manager(NTLM)認証

Adobe Connect が接続しているクライアントを Windows ドメインコントローラーに対して NTLMv1 を使用して自動的に認証するように設定します。ユーザーに資格情報を要求することなく NTLM 認証をネゴシエートできるのは、Microsoft Windows 上の Microsoft Internet Explorer だけです。

注意:

NTLM 認証はエッジサーバーでは機能しません。代わりに、LDAP 認証を使用します。

注意:

Mozilla Firefox クライアントは、資格情報を要求されることなく、NTLM 認証でネゴシエートできる可能性があります。設定について詳しくは、Firefox のマニュアルを参照してください。

独自の認証フィルターも作成できます。詳しくは、Adobe サポートにお問い合わせください。

HTTP ヘッダー認証の設定

HTTP ヘッダー認証を設定すると、Adobe Connect ログイン要求は、クライアントと Adobe Connect 間に配置されたエージェントにルーティングされます。エージェントは、認証プロキシまたはソフトウェアアプリケーションとして機能して、ユーザーの認証、HTTP 要求への別のヘッダーの追加、および Adobe Connect への要求の送信を行うことができます。Adobe Connect で、Java フィルターのコメントを解除して、追加の HTTP ヘッダーの名前を指定する custom.ini ファイルのパラメーターを設定する必要があります。

Adobe Connect での HTTP ヘッダー認証の設定

HTTP ヘッダー認証を有効にするには、Adobe Connect をホストするコンピューターに Java フィルターマッピングとヘッダーパラメーターを設定します。

  1. [root_install_dir]\appserv\web\WEB-INF\web.xml ファイルを開き、次の手順を実行します。

    1. HeaderAuthenticationFilter のフィルターおよびフィルターマッピング要素を囲むコメントタグを削除します。

    2. NtlmAuthenticationFilter フィルターおよびフィルターマッピング要素を囲むコメントタグを追加します。

  2. Adobe Connect Central Application Server と Adobe Connect Meeting Server を停止します。

  3. custom.ini ファイルに次の行を追加します。認証エージェントで、Adobe Connect に送信される HTTP 要求にヘッダーを追加する必要があります。ヘッダー名は header_field_name とする必要があります。

    HTTP_AUTH_HEADER=header_field_name

    認証エージェントで、Adobe Connect に送信される HTTP 要求にヘッダーを追加する必要があります。ヘッダー名は header_field_name とする必要があります。

  4. custom.ini ファイルを保存し、Adobe Connect Meeting Server と Adobe Connect Central Application Server を再起動します。

認証コードを書く

認証コードで、ユーザーの認証、ユーザーログインを含む HTTP ヘッダーへのフィールドの追加、および Adobe Connect への要求の送信を行う必要があります。

  1. Adobe Connect ユーザーログインに、header_field_name ヘッダーフィールドの値を設定します。

  2. 次の URL で Adobe Connect に HTTP 要求を送信します。
    http://example.com/system/login

    Adobe Connect の Java フィルターが要求を傍受して、header_field_name ヘッダーを検索し、次にヘッダーに渡された ID を持つユーザーを検索します。ユーザーが見つかった場合、そのユーザーが認証され、応答が送信されます。

  3. Adobe Connect の応答の HTTP コンテンツを解析して、認証に成功したことを示す「OK」の文字列を探します。
  4. Adobe Connect の応答を解析して、BREEZESESSION Cookie を探します。
  5. Adobe Connect で要求された URL にユーザーをリダイレクトし、次に示すように BREEZESESSION Cookie を session パラメーターの値として渡します。
    http://example.com?session=BREEZESESSION

    注意:

    クライアントセッション中は、以降のすべての要求内の BREEZESESSION Cookie を Adobe Connect に渡す必要があります。

Apache で HTTP ヘッダー認証を設定する

次の手順は、認証エージェントとして Apache を使用した HTTP ヘッダー認証の実装例を示しています。

  1. Adobe Connect をホストしているコンピューターとは別のコンピューターに、Apache をリバースプロキシとしてインストールします。

  2. スタート/すべてのプログラム/Apache HTTP Server/Configure Apache Server/Edit the Apache httpd.conf Configuration file を選択し、次の手順を実行します。

    1. 次の行をコメント解除します。

      • LoadModule headers_module modules/mod_headers.so
      • LoadModule proxy_module modules/mod_proxy.so
      • LoadModule proxy_connect_module modules/mod_proxy_connect.so
      • LoadModule proxy_http_module modules/mod_proxy_http.so
    2. ファイルの終わりに次の行を追加します。

      RequestHeader append custom-auth "ext-login"
      ProxyRequests Off
      <Proxy *>
      Order deny,allow
      Allow from all
      </Proxy>
      ProxyPass / http://hostname:[port]/
      ProxyPassReverse / http://[hostname]:[port]/
      ProxyPreserveHost On
  3. Adobe Connect Central Application Server と Adobe Connect Meeting Server を停止します。

  4. custom.ini ファイルに次の行を追加します。HTTP_AUTH_HEADER パラメーターが、プロキシで設定された名前と一致する必要があります。このパラメーターは追加の HTTP ヘッダーです。

    HTTP_AUTH_HEADER=custom-auth
  5. custom.ini ファイルを保存し、Adobe Connect Meeting Server と Central Application Server を再起動します。

  6. [root_install_dir]\appserv\web\WEB-INF\web.xml ファイルを開いて、HeaderAuthenticationFilter フィルターと NtlmAuthenticationFilter フィルターをすべてコメント解除します。

NTLM 認証の設定

NTLMv1 は、Microsoft Windows ネットワークの SMB ネットワークプロトコルで使用される認証プロトコルです。NTLM を使用すると、ユーザーは Windows ドメインに対して自身の ID を一旦証明すると、それ以降、Adobe Connect など、別のネットワークリソースへのアクセスが許可されます。ユーザーの資格情報を確立するために、ユーザーの Web ブラウザーは Adobe Connect を介してドメインコントローラーとのチャレンジと応答認証を自動的に実行します。このメカニズムが失敗した場合、ユーザーは Adobe Connect に直接ログインできます。Windows の Internet Explorer のみが NTLMv1 認証によるシングルサインオンをサポートします。

注意:

Adobe Connect は NTLM v1 をサポートしているため、Windows 2003 に Adobe Connect と NTLMを設定します。また、Windows 7 以降では、NTLM v1 SSO をサポートしていません。

注意:

デフォルトでは、Windows Server 2003 ドメインコントローラーは SMB 署名というセキュリティ機能を必要とします。NTLM 認証フィルターのデフォルト設定では SMB 署名をサポートしていません。この要件内で機能するようにフィルターを設定することができます。この設定とその他の詳細設定オプションについては、JCIFS NTLM HTTP 認証に関するドキュメントを参照してください。

設定パラメーターを追加する

Adobe Connect クラスターのホストごとに次の手順を実行します。

  1. 8510 管理コンソールを介して、Adobe Connect のドメインからの LDAP ユーザーを同期します。Adobe Connect と LDAP を統合するには、「Adobe Connect と LDAP ディレクトリの統合」を参照してください。

    注意:

    Adobe Connect で LDAP を同期した後、LDAP データをフィルタリングして、Adobe Connect データベースに NTLM ドメインユーザー名が表示されるようにします。そうしない場合、NTLM SSO のログインが機能しないため、debug.log にログオンのエラーが記録されます。

  2. DOMAIN ユーザー名のログインを変更するには、Adobe Connect のログインポリシーを編集します。デフォルトで電子メールが設定されていますが、NTLM では電子メールは許可されていません。

  3. テキストエディターで root_install_dir¥custom.ini ファイルを開き、次のパラメーターを追加します。

    NTLM_DOMAIN=[domain]
    NTLM_SERVER=[WINS_server_IP_address]

    値 [domain] は Windows ドメインの名前です(ユーザーは認証を受ける CORPNET のメンバーなど)。必要に応じて、この値をドメイン名の Windows 2000 以前の互換バージョンに設定します。詳しくは、テクニカルノート 27e73404 を参照してください。この値は、フィルタープロパティ jcifs.smb.client.domain にマッピングされます。web.xml ファイルで値を直接設定すると、custom.ini ファイルの値は無視されます。

    値 [WINS_server_IP_address] は、WINS サーバーの IP アドレスまたは IP アドレスのカンマ区切りのリストです。IP アドレスを使用すると、ホスト名は機能しません。WINS サーバーは、指定された順序でクエリされ、NTLM_DOMAIN パラメーターで指定されたドメインのドメインコントローラーの IP アドレスを解決します(ドメインコントローラーはユーザーを認証します。)また、ドメインコントローラー自体の IP アドレスを指定することもできます(例、10.169.10.77, 10.169.10.66)。この値は、フィルタープロパティ jcifs.netbios.wins にマッピングされます。web.xml ファイルで値を設定すると、custom.ini ファイルの値は無視されます。

  4. custom.ini ファイルを保存します。 

  5. テキストエディターで、[root_install_dir]\appserv\web\WEB-INF\web.xml ファイルを開き、以下をコメント解除します。

    • NtlmAuthenticationFilter フィルターすべてとフィルターマッピング要素
    • HeaderAuthenticationFilter フィルターすべてとフィルターマッピング要素
  6. web.xml·ファイルを保存して、Adobe Connect Server を再起動します。

ログインポリシーを調整する

Adobe Connect と NTLM とでは、ユーザーの認証に関するログインポリシーが異なります。シングルログインを使用する前に、これらのポリシーを調整します。

NTLM プロトコルでは、ポリシーや組織に応じて、ユーザー名(jdoe)、従業員 ID 番号(1234)、または暗号化した名前がログイン ID として使用されます。Adobe Connect では、デフォルトで電子メールアドレス(jdoe@mycompany.com)がログイン ID として使用されます。Adobe Connect で一意の ID を NTLM と共有できるように、Adobe Connect ログインポリシーを変更します。

  1. Adobe Connect Central を開きます。

    Adobe Connect Central を開くには、ブラウザーウィンドウを開き、Adobe Connect ホストの FQDN(例えば、http://connect.mycompany.com )を入力します。Adobe Connect ホストの値は、アプリケーション管理コンソールのサーバーの設定画面で入力しています。

  2. 「管理」タブを選択します。「ユーザーとグループ」をクリックします。「ログインおよびパスワードポリシーを編集」をクリックします。
  3. 「ログインポリシー」セクションで、「電子メールアドレスをログインとして使用」に「いいえ」を選択します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

リーガルノーティス   |   プライバシーポリシー