Secure Store Service を構成する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Server 2010

トピックの最終更新日: 2017-01-19

ここでは、Microsoft SharePoint Server 2010 Secure Store Service の操作について説明します。ソリューション設計者は、これらの操作を使用して、ユーザーやグループの資格情報を外部データ ソースの資格情報にマッピングするターゲット アプリケーションを作成できます。これらのターゲット アプリケーションを使用することによって、Business Data Connectivity Service 内の外部コンテンツ タイプと、対応する外部データ ソースとの間でやり取りを行い、外部データ ソース内に保存されているデータの読み取り、書き込み、作成、編集を行うことができるようになります。Secure Store Service の概要については、「Secure Store Service を計画する (SharePoint Server 2010)」を参照してください。

Secure Store Service を使用してターゲット アプリケーションを作成する前に、パス フレーズを指定する必要があります。このパス フレーズは、Secure Store Service データベース内に保存されている資格情報を暗号化および解読するときに使用されるキーを生成するために使用されます。初期パス フレーズを指定する必要がある場合は、Secure Store Service アプリケーションのインスタンスを開いたときに、"この Secure Store Service アプリケーションの新しいキーを生成してください" というメッセージが表示されます。

この記事の内容

  • Secure Store Service アプリケーションのインスタンスを初期化する

  • 暗号化キーを更新する

  • 新しい暗号化キーを生成する

  • ターゲット アプリケーションを作成する

  • ターゲット アプリケーションの資格情報を設定する

  • 監査ログを有効にする

注意

サーバーの全体管理を使用して次の手順を実行します。Windows PowerShell を使用する場合は、スクリプト センターの「Configure Secure Store Service using PowerShell (英語)」(https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x411) (英語) と、Todd Carter 氏のブログ投稿「The Wizard Likes His GUIDs (英語)」(https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x411) (英語) にある "Creating Secure Store Service and Proxy" の行を参照してください。また、監査ログを使用する場合は、New-SPSecureStoreServiceApplication コマンドレットまたは Set-SPSecureStoreServiceApplication コマンドレットのいずれかの AuditingEnabled および AuditlogMaxSize パラメーターを使用する必要があります。

Secure Store Service アプリケーションのインスタンスを初期化する

リボンの [編集] グループ内にあるコマンドを使用して、Secure Store Service アプリケーションのインスタンスを初期化できます。

Secure Store Service アプリケーションのインスタンスを初期化するには

  1. 次の管理者の資格情報を持つことを確認します。

    • Secure Store Service のインスタンスの Service Application Administrator である必要があります。

  2. Secure Store Service アプリケーションのインスタンスで、[管理] タブをクリックします。

  3. [キーの管理] グループで、[新しいキーの生成] をクリックします。

  4. [新しいキーの生成] ページで、[パス フレーズ] ボックスにパス フレーズ文字列を入力し、[パス フレーズの確認入力] ボックスに同じ文字列を入力します。

    重要

    パス フレーズ文字列は、8 文字以上で、次の 4 つの要素のうち 3 つ以上が含まれている必要があります。

    • 大文字

    • 小文字

    • 数字

    • 次のいずれかの特殊文字

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    ヒント

    入力するパス フレーズは保存されません。パス フレーズをメモしておき、安全な場所に保管してください。このパス フレーズは、サーバー ファームに新しいアプリケーション サーバーを追加するときなど、キーを更新する場合に必要になります。

  5. [OK] をクリックします。

次の場合には、暗号化キーを更新するように要求されることがあります。

  • サーバー ファームに新しいアプリケーション サーバーを追加した場合。

  • 以前にバックアップした Secure Store Service データベースを復元する場合で、かつバックアップ後に暗号化キーを変更した場合。

  • "マスター キーを取得できない" という内容のエラー メッセージが表示された場合。

暗号化キーを更新する

リボンの [キーの管理] グループにあるコマンドを使用して、暗号化キーを更新できます。

暗号化キーを更新するには

  1. 次の管理者の資格情報を持つことを確認します。

    • Secure Store Service のインスタンスの Service Application Administrator である必要があります。

  2. Secure Store Service アプリケーションのインスタンスで、[管理] タブをクリックします。

  3. [キーの管理] グループで、[キーの更新] をクリックします。

  4. [パス フレーズ] ボックスに、最初に暗号化キーを生成するときに使用したパス フレーズを入力します。

    ここで入力するパス フレーズは、Secure Store Service アプリケーションを初期化したときに使用したパス フレーズか、または [新しいキーの生成] コマンドを使用して新しいキーを作成したときに使用したパス フレーズです。

  5. [OK] をクリックします。

新しい暗号化キーを生成する

セキュリティ上の予防措置として、または定期的なメンテナンスの一環として、新しい暗号化キーを生成し、必要に応じて Secure Store Service をその新しいキーに基づいて強制的に再暗号化することができます。

警告

新しいキーを生成する前に、Secure Store Service アプリケーションのデータベースをバックアップする必要があります。

新しい暗号化キーを生成するには

  1. 次の管理者の資格情報を持つことを確認します。

    • Secure Store Service のインスタンスの Service Application Administrator である必要があります。

  2. Secure Store Service アプリケーションのインスタンスで、[管理] タブをクリックします。

  3. [キーの管理] グループで、[新しいキーの生成] をクリックします。

  4. [新しいキーの生成] ページで、[パス フレーズ] ボックスにパス フレーズ文字列を入力し、[パス フレーズの確認入力] ボックスに同じ文字列を入力します。

    重要

    パス フレーズ文字列は、8 文字以上で、次の 4 つの要素のうち 3 つ以上が含まれている必要があります。

    • 大文字

    • 小文字

    • 数字

    • 次のいずれかの特殊文字

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    ヒント

    入力するパス フレーズは保存されません。パス フレーズをメモしておき、安全な場所に保管してください。このパス フレーズは、サーバー ファームに新しいアプリケーション サーバーを追加するときなど、キーを更新する場合に必要になります。

  5. Secure Store Service データベースを強制的に再暗号化するには、[新しいキーを使用してデータベースを再暗号化します] をクリックします。

  6. [OK] をクリックします。

ターゲット アプリケーションを作成する

ターゲット アプリケーションを作成するには、Secure Store Service を使用します。ターゲット アプリケーションによって、ユーザー、グループ、または要求の資格情報が、SQL Server データベース、Web サービスなど、外部データ ソース上の一連の資格情報にマッピングされます。ターゲット アプリケーションの作成後、このアプリケーションを外部コンテンツ タイプやアプリケーション モデルに関連付けて、外部データ ソースへのアクセスを提供できます。

ターゲット アプリケーションを作成するには

  1. 次の管理者の資格情報を持つことを確認します。

    • Secure Store Service のインスタンスの Service Application Administrator である必要があります。

  2. Secure Store Service アプリケーションのインスタンスで、[管理] タブをクリックします。

  3. [ターゲット アプリケーションの管理] グループで、[新規作成] をクリックします。

  4. [ターゲット アプリケーション ID] ボックスに、テキスト文字列を入力します。

    これは、このターゲット アプリケーションを識別するために Secure Store Service アプリケーション内部で使用される一意の文字列です。

  5. [表示名] ボックスに、ターゲット アプリケーションの識別子をユーザー インターフェイスに表示する場合に使用されるテキスト文字列を入力します。

  6. [連絡先の電子メール] ボックスに、このターゲット アプリケーションの主要な担当者の電子メール アドレスを入力します。

    ここには、任意の有効な電子メール アドレスを指定できます。Secure Store Service アプリケーションの管理者の ID である必要はありません。

  7. 種類が [個別] (下記参照) のターゲット アプリケーションを作成すると、アクセス先データ ソースの個別の資格情報をユーザーが追加できるカスタム Web ページを実装できます。この場合は、ターゲット アプリケーションに資格情報を渡すためのカスタム コードが必要になります。このようなページを実装した場合は、このページの完全な URL を [ターゲット アプリケーション ページの URL] フィールドに入力します。2 つのオプションがあります。

    • [既定のページを使用]: ターゲット アプリケーションを使用して外部データにアクセスするすべての Web サイトには、個別のサインアップ ページが自動的に追加されます。このページの URL は、http:/<サンプル サイト>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<ターゲット アプリケーション ID> となります。<ターゲット アプリケーション ID> は、[ターゲット アプリケーション ID] ボックスに入力した文字列です。このページの場所を公開することによって、外部データ ソースに対する各自の資格情報をユーザーが追加できるようになります。

    • [カスタム ページを使用]: ユーザーが個別の資格情報を指定できるカスタム Web ページを提供します。カスタム ページの URL をこのフィールドに入力します。

    • [なし]: サインアップ ページはありません。個別の資格情報は、Secure Store Service 管理者のみが Secure Store Service アプリケーションを使用して追加します。

  8. [ターゲット アプリケーションの種類] ボックスに、ターゲット アプリケーションの種類を入力します。グループ資格情報を使用する場合は「グループ」を、外部データ ソース上のユーザーごとに一意の資格情報セットに各個人をマッピングする場合は「個別」を入力します。

    注意

    主に次の 2 つの種類のターゲット アプリケーションを作成できます。

    • グループ。外部データ ソース上の単一の資格情報セットに、1 つ以上のグループのすべてのメンバーをマッピングします。

    • 個別。外部データ ソース上のユーザーごとに一意の資格情報セットに各個人をマッピングします。

  9. 外部データ ソースの資格情報が Windows 資格情報である場合には、[Windows] チェック ボックスをオンにします。

    外部データ ソースの資格情報が Windows 資格情報でない場合には、このチェック ボックスをオフにします。

  10. [次へ] をクリックして、資格情報を外部データ ソースに送信するために使用するフィールドを構成します。

  11. [Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページを使用して、外部データ ソースに資格情報を提供する際に必要となるさまざまなフィールドを構成します。既定では、[ユーザー名] と [パスワード] の 2 つのフィールドが指定されています。

    外部データ ソースに資格情報を提供するためのフィールドをさらに追加するには、[Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページで [フィールドの追加] をクリックします。

    既定では、新しいフィールドの種類は [汎用] です。次のフィールドの種類を使用できます。

    フィールド 説明

    ジェネリック

    他のいずれのカテゴリにも属さない値です。

    ユーザー名

    ユーザーを識別するユーザー アカウントです。

    パスワード

    秘密の単語または語句です。

    暗証番号 (PIN)

    個人を識別する番号です。

    キー

    暗号化アルゴリズムの機能的出力、つまり暗号を決定するパラメーターです。

    Windows ユーザー名

    ユーザーを識別する Windows ユーザー アカウントです。

    Windows パスワード

    Windows アカウントの秘密の単語または語句です。

    • 新しいフィールドまたは既存のフィールドの種類を変更するには、フィールドの種類の横に表示される矢印をクリックして、フィールドの新しい種類を選択します。

      注意

      資格情報を設定するためにこれらのフィールドを送信する場合は、追加したすべてのフィールドにデータが入力されている必要があります。

    • ユーザーがフィールドに入力する際に表示される名前を変更できます。[Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページの [フィールド名] 列で、現在のテキストを選択して新しいテキストを入力すると、フィールド名を変更できます。

    • フィールドがマスクされている場合は、ユーザーが入力する文字は表示されず、アスタリスク "*" などのマスク文字に置換されます。フィールドをマスクするには、ページの [マスクされています] 列で、対応するフィールドのチェック ボックスをオンにします。

    • フィールドを削除するには、ページの [削除] 列で、対応するフィールドの削除アイコンをクリックします。

    資格情報フィールドの編集が終了したら、[次へ] をクリックします。

  12. [メンバーシップの設定を指定します] ページの [ターゲット アプリケーションの管理者] フィールドに、ターゲット アプリケーション設定を管理するためのアクセス権を持っているすべてのユーザーを指定します。

  13. ターゲット アプリケーションの種類が [グループ] である場合は、[メンバー] フィールドに、このターゲット アプリケーションで資格情報セットにマッピングするユーザー グループを指定します。

  14. [OK] をクリックして、ターゲット アプリケーションの構成を完了します。

ターゲット アプリケーションの資格情報を設定する

ターゲット アプリケーションを作成した後、そのターゲット アプリケーションの管理者は、ターゲット アプリケーションに資格情報を設定できます。これらの資格情報は、Microsoft Business Connectivity Servicesなどのサービスによって、外部データ ソースへのアクセスを提供するために使用されます。ターゲット アプリケーションの種類が [個別] である場合は、各個人が各自の資格情報を指定できるようにすることもできます。

ターゲット アプリケーションの資格情報を設定するには

  1. 次の管理者の資格情報を持つことを確認します。

    • Secure Store Service のインスタンスの Service Application Administrator である必要があります。

  2. Secure Store Service アプリケーションのインスタンスで、ターゲット アプリケーション識別子をポイントし、表示される矢印をクリックして、メニューで [資格情報の設定] をクリックします。

    ターゲット アプリケーションの種類が [グループ] である場合は、外部データ ソースの資格情報を入力します。資格情報を設定するためのフィールドは、外部データ ソースが要求する情報に応じて異なります。

    ターゲット アプリケーションの種類が [個別] である場合は、外部データ ソース上の資格情報セットにマッピングされる個人のユーザー名を入力して、外部データ ソースの資格情報を入力します。資格情報を設定するためのフィールドは、外部データ ソースが要求する情報に応じて異なります。

監査ログを有効にする

Secure Store Service の監査エントリは、Secure Store Service データベースに保管されます。既定では、監査ログ ファイルは無効になっています。

監査ログ エントリには、Secure Store Service の操作に関する情報が記録されます。これには、操作が実行された日時、操作が成功したかどうか、操作が失敗した場合にはその理由、操作を実行した Secure Store Service ユーザーなどが含まれます。また、必要に応じて、どの Secure Store Service ユーザーの代わりに操作が実行されたかが記録されることもあります。したがって、監査ログ ファイルを有効にする正当な理由は、認証の問題をトラブルシューティングすることです。

注意

Secure Store Service データベースが読み取り専用に設定されている場合は、監査ログ ファイルを無効にする必要があります。そうしないと、認証時に "Secure Store Shared Service が応答していないため、このアクションを完了できません。管理者に問い合わせてください。" というエラー メッセージが表示されます。

サーバーの全体管理を使用して監査ログを有効にするには

  1. この処理を実行しているユーザー アカウントが Farm Administrators SharePoint グループのメンバーであることを確認します。

  2. サーバーの全体管理のホーム ページで、[アプリケーション構成の管理] をクリックします。

  3. [アプリケーション構成の管理] ページの [サービス アプリケーション] セクションで、[サービス アプリケーションの管理] をクリックします。

  4. [サービス アプリケーション] タブで [Secure Store] をクリックします (種類は Secure Store Service アプリケーションに関連付けられている必要があります)。

  5. リボンの [プロパティ] をクリックします。

  6. [監査の有効化] セクションで、[監査ログ有効] チェック ボックスをオンにします。

  7. 監査ログ ファイルからエントリを削除するまでの日数を変更するには、[削除までの日数] フィールドで日数を指定します。既定値は 30 日です。

  8. [OK] をクリックします。