ログオン ページまたはエラー ページにリダイレクトされるか、Office ドキュメント内の SSO Web サイトへのハイパーリンクをクリックすると認証情報の入力を求められます

  • [アーティクル]
  • 適用対象:
    Microsoft Office

現象

Microsoft Office ドキュメント内のハイパーリンクをクリックすると、要求したページを開く前に、次の動作が発生することがあります。

  • ログオン ページまたはエラー ページにリダイレクトされます
  • 認証情報の入力を求められます。

通常、この動作は、次の条件に該当する場合に発生します。

  • Web ブラウザーの外部で編集モードで Office ドキュメントを開きます。
  • ハイパーリンク内の Web サイトでは、クライアント識別に HTTP セッション Cookie に依存するシングル Sign-On (SSO) 認証システムが使用されます。 ユーザー資格情報を既に指定している場合でも、ユーザー資格情報をもう一度指定するように求められます。

原因

サーバーが Web の作成とコラボレーションをサポートしている場合、Office では、Web サイト上のドキュメントを編集および作成できます。 最初に、Office は Web サーバーとの通信を試みます。 その後、Office は、Microsoft ハイパーリンク ライブラリ (Hlink.dll) と URLMON API を使用して、リソースに直接バインドしようとします。

Office が Web ページ要求を送信すると、SSO システムの Web サイト ログオン ページにリダイレクトされる場合があります。 この動作は、Office セッションが、ユーザーの資格情報を既に提供している可能性がある Web ブラウザー セッションとは独立しているために発生します。

セッションは独立しているため、セッション Cookie は共有されません。 SSO システムがセッション Cookie 情報のみに依存している場合、同じユーザーが複数のセッションから移動するため、SSO システムが機能しない可能性があります。 この動作は、SSO システムがクライアント デスクトップ上の複数のブラウザーまたは Web 対応アプリケーションで SSO 認証をサポートするように設計されていない場合の、SSO システムの基本的な設計上の制限です。 Office は完全に Web 対応のアプリケーションであるため、クライアントによってインストールされる唯一の Web 対応クライアントである場合、Office アプリケーションに固有の問題が発生する可能性があります。 ただし、この問題の根本原因は Microsoft Office に限定されるものではなく、サード パーティ製ソフトウェアを使用する場合にこの問題が発生する可能性があります。

回避策

この問題は、Web サーバーで使用される SSO システムの制限です。 ただし、次のいずれかの方法を使用して、SSO で保護された Web サイトの現在の効果を減らすことができます。

Web ページ上のハイパーリンクが Office ファイルを開き、Web ページがインターネット エクスプローラーでホストされている場合、この問題を回避するには、コンテンツをインライン ナビゲーションではなく読み取り専用ダウンロードとして明示的にマークします。

これを行うには、Office ファイルの内容の GET 応答にカスタム HTTP ヘッダーを追加します。 "Content-Disposition: Attachment" ヘッダーを追加します。 GET 応答にこのヘッダーが含まれている場合、インターネット エクスプローラーは、ダウンロードを開くか保存するようにユーザーに求めます。 ユーザーがダウンロードを開くと、インターネットからファイルが開き、一時ファイル キャッシュエクスプローラー読み取り専用になります。 ユーザーは、ファイルを変更してローカルに保存することを選択できます。 ただし、ユーザーはファイルをサーバーに保存したり、Web サイトの Web サービスと共同作業したりすることはできません。 したがって、このソリューションは、ファイルを読み取り専用にする場合にのみ機能します。

"Content-Disposition" ヘッダーは、Microsoft Active Server Pages (ASP)、Microsoft ASP.NET、または動的に生成されたコンテンツを操作するときに ISAPI でコードを使用して設定できます。 コンテンツが静的な場合は、IIS マネージャーと IIS メタベースを使用して、特定のファイルまたはフォルダーのヘッダーを構成できます。 Content-Disposition HTTP ヘッダーの詳細については、「 既知の MIME の種類に対して [ファイルのダウンロード] ダイアログ ボックスを生成する方法」を参照してください。

この問題が発生した場合は、HTML Web コンテンツを直接開くか、HTML コンテンツにリダイレクトする Office ドキュメント内のハイパーリンクをクリックすると、クライアント ユーザーは、レジストリ キーを有効にして、Office からのハイパーリンクに直接バインドするのではなく、ブラウザーにハイパーリンク ナビゲーションを送信することで問題を回避できます。 詳細については、「 Office でハイパーリンクをクリックするときのエラー メッセージ: "インターネット サーバーまたはプロキシ サーバーを見つけることができません"」を参照してください。

注:

インストールした Office のバージョンに関係なく、Office でハイパーリンクをクリックしたときにエラー メッセージで指定されている正確な場所にレジストリ キーを追加します。 "インターネット サーバーまたはプロキシ サーバーが見つかりません"

このレジストリ設定を使用すると、Office で使用される HLINK コンポーネントによって、既定の Web ブラウザーでハイパーリンクが開きます。 このレジストリ設定は、Office だけでなく、すべての HLINK クライアントに影響します。 そのため、このレジストリ キーは慎重に使用してください。

詳細情報

この問題を完全に解決するために、SSO プロバイダーには、Web 作成を可能にするシステムと、複数のセッションを使用するクライアントを開発することをお勧めします。 この構成により、SSO システムが複雑になります。 ただし、この構成では、クライアントに最も使いやすさのオプションも提供されます。 Microsoft は現在、長期的なソリューションの主要な SSO プロバイダーと連携しています。

さらに、Microsoft では、エンド ユーザーが Office を使用して、次のシナリオをより適切に予測および管理する方法について調査しています。

  • ユーザーは、読み取り専用モードでハイパーリンクを開く予定です。 このシナリオでは、ハイパーリンクがブラウズ モードで開かれます。
  • ユーザーはコンテンツを変更する必要があります。 このシナリオでは、作成とコラボレーションに新しいセッションが必要です。

これらの構成の変更により、「現象」セクションに記載されている問題の影響が軽減される場合があります。 これらの変更により、ユーザーが複数セッション クライアントを含む構成をサポートしていない SSO サイトにアクセスしたときに、ユーザーの柔軟性が高まる場合もあります。

SSO デザイナーまたは開発者の場合は、複数セッション クライアントのサポートを追加できます。 たとえば、次のメソッドを使用できます。

  • 永続的な Cookie 情報とセッション Cookie 情報を使用して、1 つのクライアントがデスクトップ上のアプリケーション間でセッションを通過したタイミングを特定します。 次に、クライアントを単一セッションに転送するか、新しいセッションを認証するために Web 応答を指定します。

  • 統合認証システムを作成するには、クライアント側コンポーネントを使用します。 この統合認証システムを使用して、同じユーザー認証トークンで開始されたすべてのプロセスを認証します。

  • 証明書またはその他のセキュリティ強化されたが永続的な識別方法を使用して、クライアントを認証します。

  • 複数セッションのクライアント要求である可能性がある HTTP 要求の場合は、サーバー側のリダイレクト応答ではなくクライアント側のリダイレクト応答を発行します。 たとえば、HTTP 302 応答の代わりに HTTP スクリプトまたは META REFRESH タグを送信します。 この変更により、クライアントはユーザーの既定の Web ブラウザーに強制的に戻されます。 そのため、既定のブラウザー セッションは呼び出しを処理でき、呼び出しを単一の読み取り専用セッションに保持できます。

    このメソッドでは、オーサリングは許可されません。 ただし、この方法では、SSO システムが複数セッションのクライアントを処理せず、クライアントが既定のブラウザー セッションのみに留まる必要があることを明確にします。

この構成の変更に対する正確なアプローチは、設計目標と、クライアント デスクトップとの統合のレベルによって異なります。