シングル サインオンを構成する (Office SharePoint Server)

  • [アーティクル]

シングル サインオン (SSO) は、アカウント名、パスワードなどの資格情報の保管とマッピングを行う Microsoft Office SharePoint Server の機能です。SSO を使用することで、ポータル サイト ベースのアプリケーションは、Enterprise Resource Planning (ERP)、Customer Relations Management (CRM) などのサードパーティ アプリケーションやバックエンド プラットフォームから情報を取得できます。

シングル サインオン機能を使用すると、ユーザーは、他のビジネス アプリケーションやシステムから情報を取得する必要のあるポータル サイト ベースのアプリケーションにアクセスするときに、認証が 1 回だけで済みます。

シングル サインオンの構成は、5 つのタスクで構成されます。

  • Microsoft Single Sign-On Service を構成して開始する

  • Office SharePoint Server 2007 のシングル サインオンを構成する

  • 暗号化キーを管理する

  • 企業アプリケーション定義を管理する

  • 企業アプリケーション定義に対するアカウント情報を管理する

Office SharePoint Server 2007 に対するシングル サインオン (SSO) を構成するには、ファーム サーバーの SharePoint サーバーの全体管理 Web サイトにログインする必要があります。ファーム サーバーではないワークステーションまたはコンピュータで SSO の構成を行おうとすると、"このサーバーからシングル サインオンを構成できません。シングル サインオンを構成するには、シングル サインオン サービスを実行しているコンピュータに移動し、これらの設定をローカルで指定しください。" というエラー メッセージが表示されます。

Office SharePoint Server 2007 環境に対する SSO を構成するには、以下の節の手順に従ってください。

Microsoft Single Sign-On Service を構成して開始する

シングル サインオンを使用するには、ファーム内のすべての Microsoft Windows フロントエンド Web サーバーに、Microsoft Single Sign-On Service (SSOSrv) がインストールされている必要があります。Excel Services を実行するすべてのサーバーにも SSOSrv をインストールする必要があります。ビジネス データ カタログ検索を使用する場合は、インデックス サーバーにも SSOSrv をインストールする必要があります。

SSOSrv は、[サービス] コンソールを使用して構成します。サービスを構成するときには、ログオン アカウントが必要です。ログオン アカウントは、次のすべての条件を満たしている必要があります。

  • ドメイン ユーザー アカウントである必要があります。グループ アカウントは使用できません。

  • Office SharePoint Server ファームのアカウントでなければなりません。

  • 暗号キー サーバーのローカル Administrators グループのメンバである必要があります。暗号キー サーバーは、SSOSrv を開始する最初のサーバーです。

  • Microsoft SQL Server を実行するコンピュータの Security Administrators ロールおよび db_creator ロールのメンバである必要があります。

  • シングル サインオン管理者アカウント、またはシングル サインオン管理者アカウントであるグループ アカウントのメンバと同じである必要があります。

Microsoft Single Sign-On Service を構成して開始する

  1. サーバーで、[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。次に、[管理ツール] をクリックし、[コンピュータの管理] をクリックします。

  2. [コンピュータの管理] コンソールで、[サービスとアプリケーション] を展開し、[サービス] をクリックします。

  3. [Microsoft Single Sign-On Service] を右クリックし、[プロパティ] をクリックします。

  4. [全般] タブで、[スタートアップの種類] を [自動] に変更します。

  5. [全般] タブの [サービスの状態] で、[開始] をクリックします。

  6. [OK] をクリックして、変更を保存し、[プロパティ] ウィンドウを閉じます。

  7. ファーム内のアプリケーション サーバーごとに、手順 1. ~ 6. を繰り返します。

Office SharePoint Server 2007 にシングル サインオンを構成する

シングル サインオンのためのサーバー設定の管理には、適切な管理者アカウント、シングル サインオン データベース サーバーとサーバー名、およびタイムアウトと監査ログの設定の指定が含まれます。

注意

シングル サインオン用のサーバー設定を管理するには、Office SharePoint Server 2007 を実行するコンピュータでサーバーの全体管理を開く必要があります。

Office SharePoint Server 2007 に SSO を構成する

  1. サーバーの全体管理の上部ナビゲーション バーで、[サーバー構成の管理] をクリックします。

  2. [サーバー構成の管理] ページの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] をクリックします。

  3. [シングル サインオン設定の管理] ページの [サーバーの設定] セクションで、[サーバー設定の管理] をクリックします。

  4. [シングル サインオン設定の管理] ページで、[シングル サインオンの管理者アカウント] セクションの [アカウント名] ボックスに、domain/group または domain/username の形式で、シングル サインオン管理者アカウントの名前を入力します。

    注意

    シングル サインオン管理者アカウントでは、アプリケーション定義を作成、削除、または変更できるユーザーのセットを指定します。管理者アカウントは、暗号化キーのバックアップも行うことができます。

    シングル サインオン管理者として指定するユーザーまたはグループは、以下のすべてを満たしている必要があります。

    • Windows グローバル グループまたは個別のユーザー アカウント。ドメイン ローカル グループ アカウントまたは配布リストは使用できません。

    • シングル サインオン サービス アカウントと同じアカウント (ユーザーが指定されている場合)。グループが指定されている場合は、シングル サインオン サービス アカウントはそのグループのメンバでなければなりません。

    • シングル サインオンに対する構成アカウントと同じアカウント (ユーザーが指定されている場合)。グループが指定されている場合は、シングル サインオンに対する構成アカウントはそのグループのメンバでなければなりません。

    • サーバーの全体管理でのファームの管理者グループのメンバ。

    グループを指定する場合は、シングル サインオンを管理するためにそのグループに追加するユーザーはすべて、暗号化キー サーバーのローカル Administrators グループのメンバである必要があります。このアカウントは、暗号キー サーバーのローカル Administrators グループのメンバにはしないでください。

  5. [企業アプリケーション定義の管理者アカウント] セクションで、[アカウント名] ボックスに、企業アプリケーション定義を設定して管理できるグループまたはユーザーのアカウント名を入力します。アカウント名の入力には、domain/group または domain/username の形式を使用します。

    企業アプリケーション定義管理者アカウントは、グループ企業アプリケーション定義のパスワードの変更、個人企業アプリケーション定義の資格情報の変更または削除など、企業アプリケーション定義の資格情報を管理できます。

    指定するユーザーまたはグループは、以下の条件を満たしている必要があります。

    • Windows グローバル グループまたは個別のユーザー アカウント。ドメイン ローカル グループ アカウントまたは配布リストは使用できません。

    • サーバーの全体管理での SharePoint 閲覧者グループのメンバ。

  6. [データベースの設定] セクションの [サーバー名] ボックスに、シングル サインオン データベース サーバーの NetBIOS 名を入力します (たとえば、computer_name または computer_name\SQL_Server_instance)。完全修飾ドメイン名は入力しないでください。

  7. [データベース名] ボックスに、シングル サインオン データベース サーバーの名前を入力します。

    注意

    事前にデータベースを作成しているのでない場合は、既定のデータベース サーバーとシングル サインオン データベース サーバーを使用することをお勧めします。

  8. [タイムアウト設定] セクションの [チケットのタイムアウト時間 (分単位)] ボックスに、シングル サインオン チケットの有効期限が切れるまでの時間 (分) を入力します。チケットのタイムアウトは、チケットが発行されてから、企業アプリケーションがチケットを返却するまでの時間を考慮して、十分に長く設定する必要があります。推奨される値は 2 分です。

  9. [次より古い査定ログの削除 (日単位)] ボックスに、記録を査定ログに保持する日数を入力します。

  10. [OK] をクリックします。

暗号化キーを管理する

SSOSrv が最初に有効になったサーバーが、暗号化キー サーバーになります。暗号化キー サーバーは、暗号化キーを生成して保管します。暗号化キーは、SSO データベースに格納されている資格情報の暗号化と解読に使用されます。

暗号化キーはセキュリティ資格情報を保護するものなので、定期的に新しい暗号化キーを作成することをお勧めします (たとえば、90 日ごと)。また、アカウント資格情報が漏洩したおそれがある場合も、直ちに新しい暗号化キーを作成することをお勧めします。

新しい暗号化キーを作成するたびに、キーをバックアップする必要があります。それ以外のときには、暗号化キーをバックアップする必要はありません (暗号化キー サーバー ロールを別のサーバーに移動する場合は除きます)。暗号化キーのバックアップは、暗号化キー サーバーからローカルに行う必要があります。キーをリモートでバックアップすることはできません。

また、暗号化キー サーバー ロールを別のサーバーに移動する場合も、暗号化キーのバックアップと復元を使用して行うことができます (暗号化キー サーバー ロールを移動するには、他のタスクも実行する必要があります)。

注意

暗号化キーを管理するには、Office SharePoint Server 2007 を実行するコンピュータでサーバーの全体管理を開く必要があります。

暗号化キーを管理する

  1. サーバーの全体管理の上部ナビゲーション バーで、[サーバー構成の管理] をクリックします。

  2. [サーバー構成の管理] ページの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] をクリックします。

  3. [シングル サインオン設定の管理] ページの [サーバーの設定] セクションで、[暗号化キーの管理] をクリックします。

[暗号化キーの管理] ページでは、3 つの管理タスクを実行できます。

  • 新しい暗号化キーを作成する

  • 暗号化キーをバックアップする

  • 暗号化キーを復元する

新しい暗号化キーを作成する

  1. [暗号化キーの管理] ページの [暗号化キー] セクションで、[暗号化キーの作成] をクリックします。

  2. [暗号化キーの作成] ページで、[すべての資格情報を新しい暗号化キーで再暗号化する] チェック ボックスをオンにします。

    重要

    新しい暗号化キーで既存の資格情報を再暗号化しない場合、ユーザーは個別のアプリケーション定義に対する資格情報を再入力する必要があり、管理者はグループ アプリケーション定義に対するグループ資格情報を再入力する必要があります。

  3. [OK] をクリックします。

暗号化キーをバックアップする

  1. [暗号化キーの管理] ページの、[暗号化キーのバックアップ] セクションの [ドライブ] ボックスの一覧で、暗号化キーのバックアップを格納するリムーバブル メディア ドライブをクリックします。

  2. [バックアップ] をクリックします。

暗号化キーを復元する

シングル サインオン データベースは暗号化キーがないと使用できないので、データベースをバックアップするときは常に暗号化キーもバックアップする必要があります。また、暗号化キー サーバーを交換する場合は、必ずその前に暗号化キーをバックアップし、新しい暗号化キー サーバーに暗号化キーを復元できるようにします。

  1. [暗号化キーの管理] ページの、[暗号化キーの復元] セクションの [ドライブ] ボックスの一覧で、復元する暗号化キーのバックアップが存在するリムーバブル メディア ドライブをクリックします。

  2. [復元] をクリックします。

企業アプリケーション定義を管理する

シングル サインオン環境では、バックエンドの外部データ ソースとシステムは、企業アプリケーションと呼ばれます。Office SharePoint Server 2007 が接続する企業アプリケーションごとに、対応する企業アプリケーション定義を構成する必要があります。

  1. サーバーの全体管理の上部ナビゲーション バーで、[サーバー構成の管理] をクリックします。

  2. [サーバー構成の管理] ページの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] をクリックします。

  3. [シングル サインオン設定の管理] ページで、[企業アプリケーション定義の設定の管理] をクリックします。

企業アプリケーション定義に対するアカウント情報を管理する

グループを使用して企業アプリケーションに接続している場合は、使用するグループに対するアカウント資格情報を指定する必要があります。個別のユーザーが企業アプリケーションに直接接続している場合は、パスワードをプリセットまたはリセットすることも、企業アプリケーション定義からユーザーを削除することもできます。

  1. サーバーの全体管理の上部ナビゲーション バーで、[サーバー構成の管理] をクリックします。

  2. [サーバー構成の管理] ページの [セキュリティの構成] セクションで、[シングル サインオン設定の管理] をクリックします。

  3. [シングル サインオン設定の管理] ページの [企業アプリケーション定義の設定] セクションで、[企業アプリケーション定義のアカウント情報の管理] をクリックします。

  4. [企業アプリケーション定義のアカウント情報の管理] ページで、[アカウント情報] セクションの [企業アプリケーション定義] ボックスの一覧から、アカウント情報を管理するアプリケーション定義をクリックします。

  5. [グループ アカウント名] ボックスに、企業アプリケーションへのアクセスを許可するグループの名前を入力します。

  6. [企業アプリケーション定義] セクションで、次のいずれかを選択します。

    オプション 目的

    アカウント情報の更新

    初めての場合は、資格情報を入力します。または、企業アプリケーションに接続するために使用する資格情報を更新します。

    このアカウントの資格情報を、この企業アプリケーション定義から削除する

    企業アプリケーションに接続するために現在使用している資格情報を削除します。

    このアカウントの資格情報を、すべての企業アプリケーション定義から削除する

    すべての企業アプリケーション定義から、選択した企業アプリケーションに接続するために現在使用している資格情報を削除します。格納されている資格情報を削除すると、個別のアカウントに対する資格情報だけが削除されます。グループ アカウントに対する資格情報は削除されません。

    [アカウント情報の更新] を選択した場合は、以下の手順を実行します。

    1. [設定] をクリックします。

    2. [アカウント情報の指定] ページの [ログオン情報] セクションで、企業アプリケーションに接続するために使用するアカウントのユーザー名とパスワードを入力します。

    3. [OK] をクリックします。

  7. [完了] をクリックします。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、Office SharePoint Server のテクニカル ライブラリを参照してください。