サービス プリンシパル名

サービス プリンシパル名 (SPN) は、サービス インスタンスの一意の識別子です。 Kerberos 認証 では、SPN を使用してサービス インスタンスをサービス サインイン アカウントに関連付けます。 これにより、クライアント アプリケーションは、クライアントにアカウント名がない場合でも、アカウントのサービス認証を要求できます。

フォレストの複数のコンピューターに 1 つのサービスの複数のインスタンスをインストールする場合、各インスタンスには独自の SPN が必要です。 クライアントが認証に使用できる名前が複数ある場合、サービス インスタンスは複数の SPN を持つことができます。 たとえば、SPN には常にサービス インスタンスが実行されているホスト コンピューターの名前が含まれているため、サービス インスタンスは、ホストの名前またはエイリアスごとに 1 つずつ、複数の SPN を登録する場合があります。 SPN 形式と一意の SPN の作成の詳細については、「一意の SPN の名前形式」を参照してください。

Kerberos 認証サービスが SPN を使用してサービスを認証できるようにするには、サービス インスタンスがサインインに使用するアカウント オブジェクトに SPN を登録する必要があります。 特定の SPN は、1 つのアカウントでのみ登録できます。 Win32 サービスの場合、サービス インストーラーは、サービスのインスタンスがインストールされるときにサインイン アカウントを指定します。 その後、インストーラーによって SPN が作成され、Active Directory ドメイン Services のアカウント オブジェクトのプロパティとして書き込まれます。 サービス インスタンスのサインイン アカウントが変更された場合は、新しいアカウントで SPN を再登録する必要があります。 詳細については、「サービスが SPN を登録する方法」を参照してください。

クライアントがサービスに接続するときに、サービスのインスタンスが検索され、そのインスタンスの SPN が構成されます。次に、サービスに接続され、認証のためにサービスの SPN が提示されます。 詳細については、「クライアントがサービスの SPN を作成する方法」を参照してください。

このセクションの内容

このセクションには、次の記事が含まれます。

• 一意の SPN の名前形式
• サービスが SPN を構成する方法
• サービスが SPN を登録する方法
• クライアントがサービスの SPN を構成する方法

関連項目

• SPN とは何か、なぜ気にする必要がありますか?
• Kerberos を使用した相互認証