none
Web Apps上のサイトをAzure ADで認証かけるようにしたが、サインイン済みになってしまい認証画面が出てこない RRS feed

  • 質問

  • お世話になります。

    先日Azure Web Apps上にWebアプリを開発。認証機能としてAzure ADを使う形で構築しましたが、
    Windows10のログインユーザーをMicrosoftアカウントで作成していると、
    Webアプリにアクセスした際にパスワード入力画面が出ずに自動的にサインインされてしまいました。

    Windows7や、Windows10でもローカルユーザーとしてユーザー作成している場合には、
    きちんと認証画面が出てきます。

    これはOSに既にMicrosoftアカウントでサインインしているから、
    自動的にそのアカウントが認証に使われているという解釈でよろしいでしょうか。
    (ちなみにOSに作ったMicrosoftアカウントはAzure ADにも登録しているアカウントでした)

    また、そうだとした場合に、
    そこをあえて、WebアプリにはOSとは違うMicrosoftアカウントでサインインしたい
    と考えているのですが、認証画面が出てくるように設定変更などで対応することは可能でしょうか。

    私の会社では、運営している店舗にあるパソコンには
    「店舗名@outlook.jp」のようなMicrosoftアカウントを使って、
    スタッフは同じユーザー名で利用しています。
    ただ、今回のWebアプリに関しては、限られた人間だけのアクセスにしたいため、
    「個人名@outlook.jp」のようなMicrosoftアカウントでサインインさせたいのです。

    よろしくお願いいたします。


    2016年7月9日 7:44

回答

  • inohnxさん、SurferOnWwwさん、こんにちは。

    SurferOnWwwさんの回答に補足と言うか、追記になりますが、
    クライアント側での解決策にInternet ExplorerのInPrivateブラウズモードを使ってブラウザーを起動するという方法があります。この方法は、WindowsのサインインにMicrosoftアカウントや組織アカウントを利用していてもシングルサインオンすることはありません。

    参考になれば幸いです。

    • 回答の候補に設定 星 睦美 2016年7月21日 4:23
    • 回答としてマーク inohnx 2016年9月1日 1:37
    2016年7月18日 15:46

すべての返信

  • Azure は触ったこともない自分がレスするのもなんですが・・・

    質問者さんの言う「Webアプリ」とは ASP.NET Web アプリと想像してレスします。違ったら以下のレスはスルーしてください。

    > これはOSに既にMicrosoftアカウントでサインインしているから、
    > 自動的にそのアカウントが認証に使われているという解釈でよろしいでしょうか。
    > (ちなみにOSに作ったMicrosoftアカウントはAzure ADにも登録しているアカウントでした)

    自分は Azure の環境は分かりませんが、Web などの記事を見るとシングルサインオンが実現できるそうなので、質問者さんの環境もそうなっているのではないでしょうか?

    Azure Active Directory のアプリケーション アクセスとシングル サインオンとは
    https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-appssoaccess-whatis/

    普通のイントラネット内に Active Directory ドメイン環境が構築されていて、Web サーバーがドメインに属しており、全てのクライアントがドメインユーザーで、統合 Windows 認証が有効になっていれば、クライアントは自分の PC を立ち上げる時にログインすれば、その後 Web サーバーにアクセスするときにはログイン不要になります。

    それと同じ話だと想像して(クラウド上で実現する仕組みは違うでしょうが)・・・

    > そこをあえて、WebアプリにはOSとは違うMicrosoftアカウントでサインインしたい
    > と考えているのですが、認証画面が出てくるように設定変更などで対応することは可能でしょうか。

    以下の手段があると思います。

    (1) Web アプリは Windows 認証ではなくフォーム認証を使う。

    ASP.NET フォーム認証の概要
    https://msdn.microsoft.com/ja-jp/library/7t6b43z4(v=vs.100).aspx

    (2) ドメインユーザーをグループ別に分けることができるなら、ロールによるアクセス制限を行う。

    Windows 認証でのロール
    http://surferonwww.info/BlogEngine/post/2011/02/05/Role-in-Windows-Authentication.aspx

    • 回答の候補に設定 星 睦美 2016年7月21日 4:23
    2016年7月10日 2:16
  • inohnxさん、SurferOnWwwさん、こんにちは。

    SurferOnWwwさんの回答に補足と言うか、追記になりますが、
    クライアント側での解決策にInternet ExplorerのInPrivateブラウズモードを使ってブラウザーを起動するという方法があります。この方法は、WindowsのサインインにMicrosoftアカウントや組織アカウントを利用していてもシングルサインオンすることはありません。

    参考になれば幸いです。

    • 回答の候補に設定 星 睦美 2016年7月21日 4:23
    • 回答としてマーク inohnx 2016年9月1日 1:37
    2016年7月18日 15:46