フォームベース認証を構成する (Windows SharePoint Services)
この記事の内容 :
フォームベースの認証について
複数の領域にまたがるフォームベースの認証を構成する
Windows SharePoint Services 3.0 の認証は、使用できる認証プロバイダのいずれかがサポートする認証機構によって実行されます。**プロバイダは、要求者の資格情報を認証するために必要なコードを含むモジュールです。Windows SharePoint Services 3.0 の認証には ASP.NET 認証モデルに基づく次の 3 つの認証プロバイダがあります。
Windows 認証プロバイダ
フォームベースの認証プロバイダ
Web シングル サインオン (SSO) 認証プロバイダ
また、ASP.NET ではプラグ可能な認証プロバイダの使用もサポートされます。つまり、使用する資格情報ストアをサポートする認証プロバイダを作成できます。
フォームベースの認証について
フォームベースの認証プロバイダは、Active Directory 内に格納されている資格情報、SQL Server データベースなどのデータベースに格納されている資格情報、または Novell eDirectory、Novell Directory Services (NDS)、Sun ONE など、LDAP (ライトウェイト ディレクトリ アクセス プロトコル) データ ストア内に格納されている資格情報との照合による認証をサポートします。フォームベースの認証では、ログオン フォームに入力された資格情報の検証に基づいてユーザー認証を行うことができます。認証されていない要求はログオン ページにリダイレクトされ、このページでユーザーは有効な資格情報の入力とフォームの送信を求められます。要求が認証されると、その後の要求で使用する ID を再確立するためのキーを含む Cookie が発行されます。
フォームベースの認証プロバイダでは、次のいずれかに格納されている資格情報との照合による認証がサポートされます。
Active Directory ディレクトリ サービス
データベース
LDAP データ ストア
Windows SharePoint Services 3.0 Web サイトでフォームベースの認証を有効にし、ユーザーをユーザー アカウント データベースに追加するには、次の手順を実行します。
新しいサイトを作成する
SharePoint サーバーの全体管理 Web サイトのホーム ページで、[アプリケーション構成の管理] をクリックします。
[アプリケーション構成の管理] ページで、[SharePoint Web アプリケーション構成の管理] セクションの [Web アプリケーションの作成または拡張] をクリックします。
[Web アプリケーションの作成または拡張] ページで [新しい Web アプリケーションの作成] をクリックします。
[新しい Web アプリケーションの作成] ページの [セキュリティの構成] セクションにある [認証プロバイダ] で、[NTLM] が選択されていることを確認します。また、[匿名アクセスを許可する] で [はい] を選択します。
既定のエントリを使用して、新しい Web アプリケーションの作成手順を実行し、[OK ] をクリックします。
この時点で、新しいサイトのプレースホルダが作成されました。次の手順を使用して、サイト コレクションを作成します。
サイト コレクションを作成する
トップ リンク バーの [アプリケーション構成の管理] をクリックします。
[アプリケーション構成の管理] ページで、[SharePoint サイトの管理] セクションの [サイト コレクションの作成] をクリックします。
[サイト コレクションの作成] ページの [Web アプリケーション] セクションで、サイト コレクションを作成する Web アプリケーションが選択されていることを確認します。
選択されていない場合は、[Web アプリケーション] メニューの [Web アプリケーションの変更] をクリックします。次に、[Web アプリケーションの選択] ページで、サイト コレクションを作成する Web アプリケーションをクリックします。
[タイトルと説明] セクションで、サイト コレクションのタイトルと説明を入力します。
[Web サイトのアドレス] セクションの [URL] で、URL に使用するパスを選択します。
注意
ワイルド カードを含むパスを選択する場合は、サイトの URL で使用するサイト名も入力する必要があります。URL オプションに使用可能なパスは、ワイルド カードを使用した管理対象パスであると定義されている管理パスの一覧から取得されます。
[テンプレートの選択] セクションの [テンプレートの選択] 一覧で、サイト コレクションのトップレベル サイトに使用するテンプレートを選択します。
[サイト コレクションの管理者] セクションで、サイト コレクション管理者となるユーザーのユーザー名 (domain\username の形式) を入力します。
新しいトップレベル Web サイトの代理所有者として別のユーザーを識別する場合は (推奨)、[サイト コレクションの代理の管理者] セクションにサイト コレクションの代理の管理者のユーザー名を入力します。
クォータを使用してサイト コレクションのリソース使用を制限する場合は、[クォータ テンプレート] セクションの [クォータ テンプレートの選択] 一覧でテンプレートをクリックします。
[OK] をクリックします。
これで、新しいサイト コレクションが作成されました。次の手順を使用して、フォームベースの認証プロバイダを構成します。
フォームベースの認証プロバイダを構成する
SharePoint サーバーの全体管理 Web サイトのホーム ページで、[アプリケーション構成の管理] をクリックします。
[アプリケーション構成の管理] ページで、[SharePoint Web アプリケーション構成の管理] セクションの [Web アプリケーションのリスト] をクリックします。
[Web アプリケーションのリスト] ページで、前の手順で作成した新しい Web アプリケーションをダブルクリックします。
[アプリケーション構成の管理] ページの [アプリケーション セキュリティ] セクションで、[認証プロバイダ] をクリックします。
[認証プロバイダ] ページで、構成する設定がある認証プロバイダの領域名をクリックします。
[認証の編集] ページの [認証の種類] セクションで、[フォーム] を選択します。
サイト コレクションへの匿名アクセスを明示的に付与する必要がある場合、[匿名アクセス] セクションで、Web アプリケーション内のすべてのサイトの [匿名アクセスの有効化] チェック ボックスをオンにします。Web アプリケーション内のすべてのサイトで匿名アクセスを無効にするには、[匿名アクセスの有効化] チェック ボックスをオフにします。
注意
ここで匿名アクセスを有効にしても、サイト コレクション レベルまたはサイト レベルで匿名アクセスを拒否できます。一方、ここで匿名アクセスを無効にすると、Web アプリケーション内のすべてのレベルで匿名アクセスが無効になります。
[メンバシップ プロバイダ名] セクションの [メンバシップ プロバイダ名] ボックスに、使用するメンバシップ プロバイダの名前を入力します。
注意
Web アプリケーションでフォームベースの認証をサポートするには、各 Web サーバーの SharePoint コンテンツをホストする IIS Web アプリケーションの Web.config ファイルに、メンバシップ プロバイダが正しく構成されている必要があります。また、サーバーの全体管理をホストする IIS Web アプリケーションの Web.config ファイルにも、メンバシップ プロバイダを追加する必要があります。
[クライアント統合] セクションの [クライアント統合を有効にする] で、[いいえ] が選択されていることを確認し、[保存] をクリックします。
[はい] を選択すると、ドキュメントの種類に従ってクライアント アプリケーションを起動する機能が有効になります。このオプションは、一部の種類のフォームベース認証では正常に機能しません。
[いいえ] を選択すると、ドキュメントの種類に従ってクライアント アプリケーションを起動する機能が無効になります。ユーザーがドキュメントをダウンロードし、変更してからアップロードする必要があります。
Windows SharePoint Services 3.0 Service Pack 2 (SP2) がインストールされていない場合、フォーム ベースの認証を使用するときは、クライアント統合は既定で無効になっています。これは、クライアント統合が、Windows SharePoint Services 3.0 SP2 より前のフォーム ベース認証をネイティブにはサポートしないからです。クライアント統合が無効な場合、クライアント アプリケーションへのリンクが表示されないので、クライアント アプリケーションでドキュメントを開くことはできません。Web ブラウザでのみドキュメントを開くことができます。ただし、ユーザーは、ドキュメントをダウンロードし、クライアント アプリケーションでローカルに編集して、サイトにアップロードできます。
Windows SharePoint Services 3.0 SP2 がインストールされている場合、クライアント統合は、Word、Excel、PowerPoint、および SharePoint Designer の作成でサポートされます。
ユーザーが資格情報を送信すると、ユーザーを識別する Cookie がシステムによって発行されます。この後の要求では、システムは最初に Cookie を調べてユーザーが既に認証されているかどうかを確認するため、ユーザーが資格情報を再度入力する必要がありません。
ユーザーがログオン ページの [資格情報を記憶する] ボックスを選択しなかった場合、資格情報はクライアント コンピュータにキャッシュされず、そのセッションの間のみ有効になります。これは、ユーザーの資格情報がキャッシュされるべきでない公共のコンピュータや端末からユーザーが接続している状況では特に重要です。ブラウザを閉じたり、セッションからログオフしたり、別の Web サイトに移動したりすると、ユーザーは再認証を要求されます。また、アイドル状態でのセッション タイムアウトの最大値を構成して、ユーザーがセッション中に長時間にわたってアイドル状態になった場合に、再認証を強制することもできます。
複数の領域にまたがるフォームベースの認証を構成する
フォームベースの認証を実装すると、検索機能の妨げになる可能性があります。カスタム認証機構を使用して認証されたコンテンツ間での検索を有効にするには、NTLM 認証をサポートするように既定の領域を構成する必要があります。Windows SharePoint Services 3.0 クローラは、次の順序で領域をポーリングします。
既定の領域
イントラネット領域
インターネット領域
ユーザー設定領域
エクストラネット領域
注意
フォームベースの認証を使用する場合に、Windows SharePoint Services 3.0 クローラが Kerberos 認証をサポートするように構成された領域をポーリングすると、Windows SharePoint Services 3.0 クローラのポーリングが失敗します。
Windows SharePoint Services 3.0 では、Web アプリケーションが複数の領域にわたって同じプロバイダ名を使用することが許可されません。各領域で同じプロバイダを使用するように Web.config ファイルを構成できますが、プロバイダ名は領域ごとに一意である必要があります。
認証機構の詳細と、フォームベースの認証を複数プロバイダで構成する例については、「認証を計画する (Windows SharePoint Services)」を参照してください。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収録されています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 のダウンロード可能なコンテンツ」を参照してください。