統合Windows認証【Integrated Windows Authentication】IWA

概要

Windows Server標準のWebサーバソフトウェアであるInternet Information Servicesと、Windows標準のWebブラウザであるInternet ExplorerあるいはMicrosoft Edgeの間でHTTP通信を行う際に利用者の認証を行うことができる。

サーバとクライアントが同一のWindowsネットワークに参加している場合はWindowsのアカウント情報を流用することができ、ブラウザを使用中のユーザーの情報を自動的に送受信してWebサーバにログインすることができるため、あらためてユーザー登録や認証情報の入力を行う必要がない。通常の認証方式と同じように常に明示的に認証情報の入力を求めるよう設定することもできる。

HTTPの基本認証では暗号化などされていない平文でそのままパスワードなどを送受信するが、統合Windows認証ではチャレンジ/ハンドシェイク認証と呼ばれる方式を用い、認証データに一定の手順で計算を施し、攻撃者に傍受されても秘密の情報を割り出すことができないように保護する。ソフトウェアのバージョン次第ではより安全なKerberos認証を利用できる場合もある。

統合Windows認証はMicrosoft社のソフトウェア間でしか利用できず、他の開発元のWebサーバやWebブラウザが混在する環境では使用できない。また、通信経路上にHTTPプロキシがある場合、これを通過して認証することはできないという制約がある。