Web アプリケーションの認証設定を計画する (Windows SharePoint Services)
この記事の内容 :
認証設定を計画する
認証除外を計画する
ワークシート
ここでは、Windows SharePoint Services 3.0 内の Web アプリケーションごとに計画する必要がある認証構成の設定について説明します。この記事は、「Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート」(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411) と共に使用します。Windows SharePoint Services 3.0 のソリューション設計に含まれる以下の要素ごとに 1 つのワークシート作成してください。
Windows SharePoint Services 3.0 の新規または拡張 Web アプリケーション。
Web アプリケーション内の追加の領域 (既定領域以外)。検索アカウント用に作成される領域も含まれます。
記入が完了したワークシートは「SharePoint サイトを展開および構成する (Windows SharePoint Services)」で使用します。
認証設定を計画する
ここでは、SharePoint サーバーの全体管理 Web サイトにある [認証の編集] ページの各設定について説明します。このページを表示するには、[アプリケーション構成の管理] ページの [アプリケーション セキュリティ] セクションで、[認証プロバイダ] をクリックし、認証設定を変更する領域をクリックします。[認証の編集] ページが開きます。
選択する認証オプションによっては、Windows SharePoint Services 3.0 で Web アプリケーションを作成または拡張するときに、認証設定を直接指定できる場合があります。ただし、Web アプリケーションを初めて作成または拡張するときには、すべてのオプションが使用できるわけではありません。Web アプリケーションの作成時または拡張時に認証を構成できない場合は、既定の認証設定を受け入れ、後で [認証の編集] ページで編集を行うことができます。
認証の種類
使用する方法を選択します。このセクションにリストされている認証方法を実装せずに、匿名アクセスを許可する場合は、Windows 認証を選択してください。
[Windows] を選択した場合は、[認証の編集] ページの [IIS 認証の設定] セクションで Windows 認証方法を指定します。[フォーム] または [Web シングル サインオン] を選択すると、[認証の編集] ページのオプションが変更され、メンバシップ プロバイダ名やロール マネージャ名を入力できるようになります。
証明書認証または Kerberos 認証を使用する場合は、以下の表を参照して、これらの方法を構成するのに必要な追加の構成手順を確認してください。
| 認証方法 | 追加構成 | 特別なロール |
|---|---|---|
証明書 |
|
証明書の取得と構成を行う Microsoft Windows Server 2003 管理者 |
Kerberos (統合 Windows) |
|
IIS 管理者 |
| ワークシートでの作業 |
|---|
必要となる追加の構成手順を、「Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート」(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411) の「追加構成」セクションに記入してください。 |
匿名アクセス
匿名アクセスが許可されているかどうかを示します。[認証の種類] セクションで [フォーム] や [Web シングル サインオン] を選択した場合は、[匿名アクセスの有効化] チェック ボックスをオンにします。
クライアント統合
クライアント統合を無効にすると、クライアント アプリケーションを起動する機能を削除できます。これは、匿名アクセス向けに読み取り専用のコンテンツを Web に発行する場合など、一部のシナリオにとっては、最適な構成となります。なお、ASP.NET フォーム認証や Web シングル サインオン (SSO) 認証を選択すると、クライアント統合は既定で「いいえ」に設定されます。
Windows SharePoint Services 3.0 Service Pack 2 (SP2) がインストールされている場合、Outlook 統合を除くクライアント統合がサポートされます。SharePoint Designer の作成など、Outlook 統合以外のクライアント統合はすべてサポートされます。
注意
Windows SharePoint Services 3.0 SP2 がインストールされていない場合、フォーム ベース認証を使用するときには、クライアント統合は既定で無効になっています。これは、クライアント統合が、Windows SharePoint Services 3.0 SP2 より前のフォーム ベース認証をネイティブにはサポートしないからです。
クライアント統合を無効にした場合に予想される動作
クライアント統合を無効にすると、サイトは以下のように動作します。
クライアント アプリケーションを起動するリンクは非表示になります。
ドキュメントは、ブラウザで開かれます。クライアント アプリケーションから開くことはできません。
ユーザーは、クライアント アプリケーションから直接サイト上でドキュメントを編集することはできません。ただし、ドキュメントをダウンロードし、ローカル コンピュータ上で編集してから、アップロードすることはできます。
以下の表に、クライアント統合を無効にすると使用できなくなるメニュー コマンドおよび機能を示します。
| カテゴリ | 利用できなくなるコマンドまたは機能 |
|---|---|
ツール バー |
新しいドキュメント Microsoft Office Outlook での作業 Windows エクスプローラで開く スプレッドシートにエクスポート データベース プログラムで開く |
ドキュメントの編集 |
Word、Excel など、Microsoft Office アプリケーションでの編集 |
ビュー |
エクスプローラ ビュー アクセス ビューの作成 |
画像ライブラリ |
複数のアップロード 画像の編集 ダウンロード 送る |
スライド ライブラリ |
スライドの発行 Microsoft Office PowerPoint に送信 |
その他 |
ディスカッション Office Outlook への接続 |
特定の認証方法の動作
展開シナリオ (読み取り専用コンテンツの発行など) に加えて、認証方法の選択もクライアント統合の構成方法に影響を与えます。一部の認証方法では、クライアント アプリケーションによって動作が異なります。また、クライアント ブラウザが永続的な Cookie を使用するか、セッション Cookie を使用するかによっても動作が変化する場合があります。
以下の表に、特定の認証方法で予想されるクライアント統合の動作をまとめています。
| 認証方法 | 動作 |
|---|---|
基本 |
ユーザーは、ドキュメントにアクセスするたびに資格情報の入力を求められます。その他の機能でも、資格情報の入力を再度求められる可能性があります。 |
ASP.NET フォームと Web SSO |
以下の条件が満たされると、永続的な Cookie が作成されます。
永続的な Cookie は、同じ Cookie ストアを使用するすべてのアプリケーションによって共有されるため、ユーザーはクライアント アプリケーションでドキュメントを開くことができます。永続的な Cookie の既定のタイムアウト値は、30 分です。この既定値は、Web.config ファイルで forms ノードのタイムアウト パラメータを追加または更新することにより変更できます。たとえば、次のように変更できます。
Cookie の期限が切れると、クライアント統合は機能を停止します。ユーザーがブラウザを開いている場合は、資格情報の再入力を求めるメッセージが表示されます。 認証プロバイダが永続的な Cookie をサポートしていないか、ユーザーがログイン時に [自動的にサインインする] をクリックしなかった場合は、セッション Cookie が使用されます。セッション Cookie にアクセスできるのは、ブラウザのみです。したがって、ユーザーは、クライアント アプリケーションから直接ドキュメントを開くことはできません。 認証プロバイダが永続的な Cookie をサポートしていないか、使用環境で永続的な Cookie が許可されていない場合は、クライアント統合を無効にしてください。たとえば、Active Directory フェデレーション サービス (AD FS) は、永続的な Cookie をサポートしていません。 |
匿名 |
ドキュメントを開くとき、ユーザーには資格情報の入力を求めるメッセージが繰り返し表示されます。認証ダイアログ ボックスで 10 回 [キャンセル] をクリックすると、クライアント アプリケーションでドキュメントが開く場合があります。このように、質の悪いユーザー エクスペリエンスを提供することになるため、匿名アクセス シナリオでは、クライアント統合を無効にすることをお勧めします。 |
Windows Vista オペレーティング システムで Internet Explorer 7 を使用する
Windows Vista では、Internet Explorer 7 に保護モードと呼ばれるセキュリティ機能が追加されています。既定では、保護モードはインターネット、イントラネット、制限付きサイトの各領域に対して有効になっています。このモードでは、永続的な Cookie がアプリケーション間で共有できない場所に保存されるため、クライアント統合は意図したとおりに動作しなくなります。
クライアント統合と連携するように Internet Explorer 7 を構成するには、次のどちらかの操作を行います。
保護モードを無効にします。
保護モードが有効になっている場合は、Internet Explorer で信頼済みサイトの領域に SharePoint サイトを追加します。
保護モードを無効にする方法については、「保護モードの Internet Explorer の理解と機能」(https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x411) の「保護モードの設定」を参照してください。
クライアント統合の設定をテストする
クライアント統合設定の構成方法がよくわからない場合は、サイトを運用環境で展開する前に、テスト環境でテストしてください。適用後に設定を変更すると、サイトやクライアント アプリケーションは異常な動作を示す可能性があります。
| ワークシートでの作業 |
|---|
「Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート」(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411) の「クライアント統合を可能にする」セクションで、[はい] または [いいえ] を選択してください。 |
ASP.NET フォーム認証と Web SSO を設定する
ASP.NET フォーム認証または Web SSO を実装する場合は、構成設定を作成して、適切な Web.config ファイルに挿入する必要があります。一般的ないくつかのシナリオ用に適切に構成された文字列の例については、「認証サンプル (Windows SharePoint Services)」を参照してください。
| ワークシートでの作業 |
|---|
「Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート」(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411) に、次の 2 種類の情報を記入してください。
|
Web.config ファイルに登録した MembershipProvider 名と RoleManager 名がサーバーの全体管理の authentication.aspx ページで入力した名前と同じであることを確認してください。Web.config ファイルでロール マネージャを入力していない場合は、machine.config ファイルで指定されている既定のプロバイダが使用される可能性があります。
たとえば、Web.config ファイルの以下の文字列は、SQL メンバシップ プロバイダを指定しています。
<membership defaultProvider="AspNetSqlMembershipProvider">
メンバシップ プロバイダやロール マネージャの要件の詳細については、「認証方法を計画する (Windows SharePoint Services)」の「外部の ID 管理システムまたは Windows に基づかない ID 管理システムに接続する」を参照してください。
認証除外を計画する
ASP.NET フォーム認証または Web SSO を実装する場合は、認証の除外を計画する必要があります。Windows 認証を実装する場合、このセクションを読む必要はありません。
Web アプリケーションを作成または拡張するとき、あるいは Web アプリケーションに領域を追加するときには、IIS によって新しい Web サイトが作成されます。Web.config ファイルに登録されている Web アプリケーションの認証設定は、Web サイトの下位にある仮想ディレクトリに継承されます。Windows SharePoint Services 3.0 の Web アプリケーションの下に追加される仮想ディレクトリは Windows SharePoint Services 3.0 によって管理されず、除外された仮想ディレクトリとして認識されます。
ASP.NET フォーム認証や Web SSO を実装し、これらの Web サイトの下に仮想ディレクトリを追加する場合は、それらの除外された仮想ディレクトリに ASP.NET フォーム認証や Web SSO の設定を継承させるかどうか決定しなければなりません。
| ワークシートでの作業 |
|---|
「Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート」(https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411) に、除外された仮想ディレクトリを、IIS で Windows SharePoint Services 3.0 の Web アプリケーションに対応する Web サイトの下に追加するかどうかを記入してください。除外された仮想ディレクトリを追加する場合は、認証設定を継承するかどうかも指定してください。 |
認証設定が継承されないよう IIS を構成するには、以下の手順を実行します。
認証設定が継承されないように IIS を構成する
Windows SharePoint Services 3.0 の Web アプリケーションまたは領域に対応する IIS Web サイトの下に新しい IIS 仮想ディレクトリを追加します。
IIS Manager で、新しい仮想ディレクトリを右クリックし、[プロパティ] をクリックします。
[仮想ディレクトリ] タブをクリックします。
[作成] をクリックします (仮想ディレクトリがアプリケーションになります)。
[構成] をクリックします。
ワイルドカード アプリケーション マップを選択し、[削除] をクリックします。
[はい] をクリックしてから、[OK] をクリックします。
新しい仮想ディレクトリのファイル システム パスのルートに新しい Web.config ファイルを作成し、次のエントリを追加します。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
ワークシート
次のワークシートを使用して、Windows SharePoint Services 3.0 の 各 Web アプリケーションの構成設定を計画し、記録してください。
- Microsoft® Office SharePoint® Server 2007 Web アプリケーション認証設定ワークシート (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x411)
このブックのダウンロード
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収録されています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services」を参照してください。