PerformancePoint Services のセキュリティを計画する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Server 2010 Enterprise

トピックの最終更新日: 2017-01-18

Microsoft SharePoint Server 2010 の PerformancePoint Services では、リストおよびドキュメント ライブラリに保存されているオブジェクトは、Microsoft SharePoint Server 2010 セキュリティ モデルによってセキュリティ保護されます。そのモデルに加えて、PerformancePoint Services では、追加の製品機能を基本の SharePoint Server 2010 フレームワークに追加して、データ ソースとダッシュボード コンテンツをセキュリティ保護し、承認されていないアクセスから守ります。PerformancePoint Services は SharePoint Server 2010 セキュリティ モデルに依存していますが、計画や管理を行ううえで検討すべきセキュリティ上の特別な考慮事項があります。共有リソースとユーザー アクセスの管理を容易にするため、サービスベースのセキュリティ設定はすべて、SharePoint サーバーの全体管理 Web サイトで行います。

この記事では、認証、承認、およびデータ ソース認証の計画について説明します。

認証

PerformancePoint Services では、データソース認証の方法を 3 種類の中から選択できます。

  • ユーザー ID: ユーザーのアカウントを使用して各データ ソースにアクセスします。この方法では Kerberos 委任が必要です。ドメイン管理者が PerformancePoint Services とデータソース間の Kerberos 委任を構成する必要があります。

    注意

    外部データソースは、SharePoint Server 2010 ファームと同じドメイン内に存在する必要があります。外部データソースが同じドメイン内に存在しない場合は、外部データソースに対する認証が失敗します。詳細については、「サービス アーキテクチャの計画」の「外部データ ソースにアクセスするサービスに対する考慮を計画する」を参照してください。

  • 無人サービス アカウント: 単一の共有ユーザー アカウントを使用して各データ ソースにアクセスします。このアカウントは低い特権のドメイン アカウントであり、Secure Store Service に格納されます。無人サービス アカウントを作成する場合は、最初に、このアカウントが、ダッシュボードで必要となるデータ ソースへの適切なアクセス許可を持っているかどうかを確認します。

  • カスタム データ: カスタム データを使用すると、SQL Server Analysis Services で、現在認証されているユーザー名を Analysis Services 接続文字列のカスタム データ フィールドにパラメーターとして含めることができます。カスタム データは、Analysis Services 2006 サーバーおよび 2008 サーバーに対して、Analysis Services のデータ ソースでのみ使用できます。

信頼できる場所

PerformancePoint Services では、データ ソース接続はドキュメント ライブラリに含まれ、データ コンテンツ (KPI、フィルター、スコアカードなど) はドキュメント リストに含まれます。コンテンツをセキュリティ保護し、クエリ内のオブジェクトが信頼されていないときにはユーザーがデータ ソースに対してクエリを実行することを防ぐために、リストやライブラリは、"信頼できる" 場所として設定する必要があります。ファーム管理者は、"信頼できる" 場所として、ファーム内のすべての場所を設定することも、特定の場所を設定することもできます。信頼できる場所としてファーム内の特定の場所を簡単に設定できるので、ファーム管理者は、ファーム全体をセキュリティ保護する作業から解放されます。

信頼できる場所は、追加のセキュリティ層として働き、信頼できる場所にないデータ ソースに依存するオブジェクトやデータ ソースのクエリの実行は制限されます。Web アプリケーションに追加されるドキュメント ライブラリまたは親オブジェクトは、信頼できる場所として定義できます。PerformancePoint Services では、信頼できる場所の設定の構成を、サーバーの全体管理で一元的に管理します。構成は、Windows PowerShell 2.0 コマンドレットを使用して管理することもできます。PerformancePoint Services のセキュリティを計画する際には、Web アプリケーション全体をセキュリティ保護するか、セキュリティで保護されたデータの場所をより詳細に管理するかについて、組織のニーズを検討してください。

たとえば、"信頼できる" 場所として個別にマークされているファーム内の場所に、データ コンテンツまたはデータ ソース用に、次の SharePoint Server 2010 の階層を構成します。

  1. ファーム全体のコンテンツとデータ ソースのどちらか一方または両方の信頼できる場所の使用を無効にします。

  2. Web アプリケーション内のリストとドキュメント ライブラリのどちらか一方または両方を信頼します。

  3. 子サイトを含んでいるサイト コレクション内のリストとドキュメント ライブラリのどちらか一方または両方を信頼します。

  4. サイト内のリストとドキュメント ライブラリのどちらか一方または両方を信頼します。

  5. ファーム内の個々のリストとドキュメント ライブラリのどちらか一方または両方を信頼します。

信頼できる場所かどうかを検証する際、サーバーによって、信頼できる場所が有効かどうかが確認されます。このプロパティが有効な場合、信頼できる場所のリストが、サイト コレクションから始まって階層の各下位レベルへとチェックされ、コンテンツが信頼できるかどうかが調べられます。

データ ソースを使用しないアイテムは、表示場所が信頼できる場所である必要はありません。これには、Web ページ、静的 KPI、ダッシュボード、インジケーター アイコンが含まれます。

注意

信頼できるデータ ソースの場所をリスト上に定義することはできません。また、信頼できるコンテンツの場所をドキュメント ライブラリ上に定義することはできません。

信頼できるデータ コンテンツ ライブラリ

信頼できるデータ コンテンツ ライブラリは、SharePoint Server 2010 ドキュメント ライブライブラリであり、PerformancePoint Services データ接続 (.ppsdc) ファイルを含めることができます。.ppsdc ファイルは、SQL Server データベース、OLAP キューブ、リレーショナル データベース、Excel Services スプレッドシートなどのデータ ソースへの接続を一元的に管理するために使用します。

データ ソースは、ダッシュボード デザイナーで定義され、SharePoint Server 2010 上の信頼できるデータ接続ライブラリに格納されます。信頼できるデータ接続ライブラリは、安全であることを確認済みのドキュメント ライブラリです。データ ソース ファイルの使用は制限されますが、読み取りは許可されます。ドキュメント ライブラリは PerformancePoint Services を準備する際に既定で作成されますが、管理者は、複数のデータ接続ライブラリを作成することによって、サーバー上のデータ接続を管理できます。ユーザーがドキュメント ライブラリのデータ ソース接続を更新すると、その情報は共有され、ダッシュボード デザイナーでワークスペース ファイルが開かれたときに更新されます。

ダッシュボード コンテンツの信頼できるリスト

レポート、スコアカード、KPI、およびフィルターはすべて、信頼できる SharePoint Server 2010 リストに格納する必要があります。サイト コレクションに追加される親オブジェクトまたはリストは、初期構成時に、または後でサーバーの全体管理から、信頼できる場所として定義できます。

データ ソースのセキュリティ

PerformancePoint Services では、データ ソースのセキュリティ設定は各データ ソースに格納されます。サーバーが、現在認証されているユーザー、無人ユーザー アカウント、またはカスタム データを使用する無人ユーザー アカウントを使用するかどうかを指定する設定は、個々のデータ ソースに対して個別に構成されます。

Secure Store Service と無人サービス アカウント

SharePoint Server 2010 の Secure Store Service によって、資格情報などのデータをセキュリティで保護して保管し、それらを特定の ID や ID のグループに関連付けることができます。Secure Store Service は、すべての SharePoint Server 2010 ファームにあります。

PerformancePoint Services では、各データ ソースを、現在認証されているユーザーの資格情報や "無人サービス アカウント" を使用するように構成できます。無人サービス アカウントは、データ ソースへの接続時に偽装されるドメイン資格情報のセットです。サーバーは、クエリの実行中に PerformancePoint Services プロセスがコンテンツ データベースにアクセスするのを防ぐため、データ ソース クエリに対して管理アカウントではなく無人サービス アカウントを使用します。

PerformancePoint Services は、Secure Store Service で無人サービス アカウントの資格情報を格納および取得します。サーバーは、ユーザーの偽装にユーザー名とパスワード両方を必要とするため、無人サービス アカウントのパスワードは Secure Store Service に格納します。ユーザー名は PerformancePoint Services データベースに格納して、設定ページに表示できるようにします。

無人サービス アカウントを作成する場合は、そのアカウントに、必要となるデータ ソースへの適切なアクセス許可を設定するようにします。

無人サービス アカウントの資格情報は、グローバルにキャッシュされないことを認識しておくことが重要です。必要なときにだけ、Secure Store Service から取得されます。ダッシュボード デザイナーで、無人サービス オプションを使用して、その接続の資格情報がまだキャッシュされていないデータ ソースのワークスペース ファイルを開く場合、無人サービス アカウント パスワードが Secure Store Service から取得され、対象のデータ ソースが使用されます。

クレーム ベース認証

SharePoint Server 2010 のクレーム ベース認証は、1 つの Web アプリケーションでの複数の認証プロバイダーをサポートしており、フロントエンド Web サーバーとアプリケーション サーバー間でユーザー ID を受け渡すために使用されます。 PerformancePoint Services が複数の認証プロバイダーをサポートするのは、ユーザーが Web ブラウザーからダッシュボード コンテンツを使用するときだけです。複数の認証プロバイダーを使用する Web アプリケーションの URL に直接アクセスするときは、ダッシュボード デザイナーはサポートされません。このような構成で ダッシュボード デザイナーを使用するには、Windows 認証プロバイダーに限定される新しい URL へのアクセスを構成するように、Web アプリケーションを拡張する必要があります。

See Also

Concepts

PerformancePoint Services 用に無人サービス アカウントを構成する
クレーム認証を構成する (SharePoint Server 2010)
認証方法を計画する (SharePoint Server 2010)
PerformancePoint Server 2007 から SharePoint Server 2010 へのダッシュボードの内容のインポートを計画する (SharePoint Server 2010)