ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Exchange OWAへのシングルサインオンの設定 インターネットゾーンはIEの設定が必要

Exchange OWAへのシングルサインオンを実現したい場合は、インターネットゾーンはIEの設定が必要みたいです。IISシングルサインオンを利用する場合は、Windowsの統合認証を使う事になると思いますが、ブラウザ側でも気にする必要があるのが難しいですね。

 

以下は参考情報です。

social.technet.microsoft.com


以下は質問内容です。

<環境>
HUB/CAS、MBXが1台ずつの構成です。
バージョン:Exchange2010SP3
クライアント:Windows7、Outlook2010
<設定>
OWAの認証設定で、統合Windows認証、基本認証を有効化
IISマネージャーでDefault Web SiteのOWA、ECPの認証で、Windows認証、基本認証が有効になっていることを確認。
Windows認証のみ有効化でも現象変わりませんでした。)

<SSO可否>
HUB/CASサーバー上で
⇒ https://localhost/owa : ○
⇒ https://127.0.0.1/owa : ×
⇒ https://ServerIP/owa  : ×
⇒ https://ServerFQDN/owa : ×
クライアントのブラウザから
⇒ https://ServerIP/owa  : ×
⇒ https://ServerFQDN/owa : ×

 

回答内容です。

 

インターネット ゾーンで SSO を使用するためには、クライアントの IE のセキュリティの設定に以下のいずれかを設定する必要があります。

1. [ローカル イントラネット] ゾーンとして、FQDN や IP アドレスを設定
2. [インターネット] ゾーンで、[現在のユーザー名とパスワードで自動的にログオンする] を設定

localhost は自動的にイントラネットとして認識されるので SSO できているだけだと思われます。

 

[インターネット] ゾーンで、[現在のユーザー名とパスワードで自動的にログオンする] を設定はセキュリティ的に検討が必要なので、 [インターネット] ゾーンで、[現在のユーザー名とパスワードで自動的にログオンする] を設定がいいかもしれないですね。

 

IISでプロキシサーバーを作るとWindowsの資格情報を使えてシングルサインオンができるのが便利ですよね。