コンピューターアカウントのプロパティを属性エディタで見てみると、以下のような SPN が登録されていることがわかります。 SPN はサービスを一意に識別するために使用することは既に書いた通りですが、それでは、SPN を使用してサービスがどのように認証されるのかについてみてみます。 以下の図を見てください。面倒くささが倍増しますよね。。。でも苦労してまとめてみたんです。。。以降、図とにらめっこしながら読んでくださいね。 既にユーザーはログオンして、TGT(Ticket Granting Ticket)が発行されていると思ってください。ユーザーがログオンすると、Kerberos の KDC(キー配布サービス)から TGT と ”Session Key” が発行されます。TGT はドメイン内のサービスにアクセスするための ”Service Ticket” を発行してもらうための予約券みたいなもの
Azure アプリケーションプロキシーや Windows Server Web Application Proxy では、KCD(Kerberos Constrained Delegation)という機能を使用して、オンプレミス Active Directory との SSO を実現しています。 KDC(Key Destribution Center:キー配布センター)ではありません。KCD です。3文字略語が多くてイヤになりますね。 で、KCD ってなんのこっちゃわかります? あらためて聞かれると、「とあるサービスに、特定の別のサービスに対するアクセス権限を委任してごにょごにょ。まぁ、細かいことは気にすんな。」な感じになってしまって、きっちり説明する自信がありません。 そんな中、以下のホワイトペーパーがリリースされました。 Understanding Kerberos Constrain
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く