Business Connectivity Services のセキュリティの操作 (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ここでは、Business Data Connectivity Service アプリケーションのセキュリティ関連の管理タスクについて説明します。

この記事の内容

  • Business Data Connectivity Service アプリケーションに管理を割り当てる

  • メタデータ ストアに対するアクセス許可を設定する

  • RevertToSelf 認証モード

  • ワークフローおよび外部リスト

  • 使用側ファームに展開パッケージを生成するアクセス許可を設定する

Business Data Connectivity Service アプリケーションに管理を割り当てる

ファーム管理者は、特定の Business Data Connectivity Service アプリケーションの管理をサービス アプリケーション管理者に委任できます。委任された管理者は、サーバーの全体管理 Web サイトにアクセスし、その Business Data Connectivity Service アプリケーションに関連する管理タスクを実行できます。

ヒント

委任された管理者に、メタデータ ストアに対するアクセス許可が付与されることはありません。

Business Data Connectivity Service アプリケーションに管理を割り当てるには

  1. 次に示す管理者の資格情報があることを確認します。

    • ファーム管理者である必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  3. サービス アプリケーションの一覧で、Business Data Connectivity Service アプリケーションが含まれる行をクリックします。

  4. [サービス アプリケーション] タブの [操作] セクションで、[管理者] をクリックします。

  5. テキスト ボックスで、ユーザー アカウントまたはグループ アカウントを入力または選択し、[追加] をクリックします。

  6. [権限] ボックスで、[フル コントロール] をクリックし、[OK] をクリックします。

メタデータ ストアに対するアクセス許可を設定する

各 Business Data Connectivity Service アプリケーションには、保管のために定義されたすべてのモデル、外部システム、外部コンテンツ タイプ、メソッド、およびメソッド インスタンスを格納するメタデータ ストアがあります。メタデータ ストアに対するアクセス許可を設定し、そのメタデータ ストアのアイテムを誰が編集できるようにするかを指定できます。また、誰がメタデータ ストアに対するアクセス許可を設定できるようにするかを指定することもできます。

必須タスクの実行に必要となる最小限のアクセス許可が資格情報によって与えられるように、ユーザーまたはグループごとに必要となる特定のアクセス許可を与えることをお勧めします。アクセス許可の設定に関する詳細については、「Business Connectivity Services のセキュリティの概要 (SharePoint Server 2010)」の「Business Connectivity Services のアクセス許可の概要」を参照してください。

メタデータ ストアに対するアクセス許可を設定するには

  1. 管理者としての次のどちらかの資格情報を持っていることを確認します。

    • ファーム管理者である必要があります。

    • Business Data Connectivity Service アプリケーションの管理者であり、メタデータ ストアに対する権限の設定アクセス許可が付与されている必要があります。

  2. サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  3. サービス アプリケーションの一覧で、Business Data Connectivity Service アプリケーションが含まれる行をクリックします。

  4. [サービス アプリケーション] タブの [操作] セクションで、[管理] をクリックします。

  5. [編集] タブの [権限] グループで、[Metadata Store の権限の設定] をクリックします。

  6. テキスト ボックスに、アクセス許可を付与するユーザー アカウント、グループ、または要求を入力し、[追加] をクリックします。

    注意

    ユーザー アカウント、グループ、または要求の名前では縦棒 (|) を使用できません。

  7. アカウント、グループ、または要求に対するアクセス許可として、次のいずれかを設定します。

    注意

    メタデータ オブジェクトのアクセス制御リストにある 1 つ以上のユーザー、グループ、または要求に [権限の設定] アクセス許可が必要です。

    • ユーザー、グループ、または要求が、外部システムやモデルを作成したり、モデルをインポート/エクスポートしたりできるようにする場合は、[編集] をクリックします。

      セキュリティ メモSecurity Note
      編集アクセス許可は高い特権であることを考慮するようにしてください。編集アクセス許可が付与された悪意のあるユーザーは資格情報を盗んだりサーバー ファームを破壊したりすることがあります。安全なソリューションを確実なものにするには、編集アクセス許可を自由に開発者やソリューション設計者に割り当てられるテスト環境を使用することをお勧めします。編集アクセス許可は、テスト済みソリューションを運用環境に展開するときに削除します。

    • ユーザー、グループ、または要求が外部コンテンツ タイプに対して操作 (作成、読み取り、更新、削除、または照会) を実行できるようにする場合は、[実行] をクリックします。

      ヒント

      実行アクセス許可はメタデータ ストア自体には適用されません。この設定は、実行アクセス許可をメタデータ ストアの子オブジェクトに適用するときに使用します。

    • ユーザー、グループ、または要求が外部コンテンツ タイプの外部リストを作成し、外部アイテム選択で外部コンテンツ タイプを表示できるようにする場合は、[クライアントで選択可能] をクリックします。

      ヒント

      クライアントで選択可能アクセス許可はメタデータ ストア自体には適用されません。この設定は、クライアントで選択可能アクセス許可をメタデータ ストアの子オブジェクトに適用するときに使用します。

    • ユーザー、グループ、または要求がメタデータ ストアに対するアクセス許可を設定できるようにする場合は、[権限の設定] をクリックします。

      セキュリティ メモSecurity Note
      権限の設定アクセス許可は高い特権であることを考慮するようにしてください。権限の設定アクセス許可が付与されているユーザーは、メタデータ ストアに対する編集アクセス許可を付与することができます。

  8. メタデータ ストアのすべてのアイテムにアクセス許可を適用する場合は、[BDC Metadata Store 内のすべての BDC モデル、外部システム、および外部コンテンツ タイプにアクセス許可を伝達する (これにより、既存のアクセス許可が上書きされます)] をクリックします。

RevertToSelf 認証モード

各外部コンテンツ タイプには関連する認証モードがあります。認証モードは、ユーザーから受信した認証要求を処理する方法に関する情報を Business Connectivity Services に提供し、外部システムに渡すことができる資格情報セットにその要求をマッピングします。既定では、RevertToSelf 認証モード (BDC ID 認証モードとも呼ばれます) は有効になっていません。RevertToSelf 認証モードが無効の場合、RevertToSelf を使用するモデルを作成またはインポートできません。

RevertToSelf 認証モードでは、アプリケーション プール アカウントが使用されます。Business Connectivity Services はこのアカウントで実行され、外部システムに対するログオン ユーザーの認証を行います。たとえば、ユーザーが外部リストを開くときは、その外部リストが存在するフロントエンド Web サーバーのアプリケーション プール アカウントが認証に使用されます。アプリケーション プール アカウントは高い特権を持つアカウントです。既定では、アプリケーション プール アカウントには、ファーム構成データベースに対する書き込みアクセス許可があります。RevertToSelf モードを使用すると、RevertToSelf モードを使用するモデルを作成または編集できるすべてのユーザーが、SharePoint ファームの管理者になることができます。

RevertToSelf 認証モードを運用環境で使用することはお勧めしません。Secure Store Service を使用することをお勧めします。

RevertToSelf 認証モードを運用環境で使用する場合は、以下の点を考慮してください。

  • セキュリティの観点から考えた場合、SharePoint Designer ユーザーを含め、モデルを作成または編集できるユーザーはファーム管理者と同等であると考える必要があります。このユーザーは、ファーム管理者として信頼できる人物でなければなりません。

  • アプリケーション プール アカウントはできる限りロックします。これにより、SharePoint ファームおよび外部システムに対する悪意のあるユーザーによる被害を最小限に抑えることができます。

RevertToSelf 認証モードを有効にする

RevertToSelf 認証モードを有効にすると、RevertToSelf を使用する新しいモデルを作成およびインポートできます。

セキュリティ メモSecurity Note
RevertToSelf 認証モードを運用環境で使用することはお勧めしません。RevertToSelf 認証モードを有効にする場合は必ず、RevertToSelf 認証モードを有効にした場合の影響を事前に読み、理解するようにしてください。

注意

RevertToSelf は、ホストされている環境では使用できません。

RevertToSelf 認証モードを有効にするには

  1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。

  2. [スタート] メニューの [すべてのプログラム] をクリックします。

  3. [Microsoft SharePoint 2010 製品] をクリックします。

  4. [SharePoint 2010 管理シェル] をクリックします。

  5. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

    1. Business Data Connectivity Service アプリケーション オブジェクトが含まれる変数を作成するには、以下のコマンドを入力します。

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      ここで、<ServiceName> は Business Data Connectivity Service アプリケーションの名前です。正規表現の場合もあります ("BDC" など)。

      注意

      Business Data Connectivity Service アプリケーションが共有サービス アプリケーションの場合、このコマンドは、サービス アプリケーションが発行されているファームで実行する必要があります。

    2. RevertToSelf 認証モードを有効にするには、以下のコマンドを入力します。

      $bdc.RevertToSelfAllowed = $true

RevertToSelf 認証モードを無効にする

RevertToSelf 認証モードが無効の場合、RevertToSelf を使用する新しいモデルを作成またはインポートできません。

注意

RevertToSelf を使用する既存のモデルがある場合、そのモデルは引き続き動作します。ファームから RevertToSelf 認証のすべてのインスタンスを削除する必要がある場合は、既存のモデルも削除します。

RevertToSelf 認証モードを無効にするには

  1. 次の最小要件を満たしていることを確認します。Add-SPShellAdmin を参照してください。

  2. [スタート] メニューの [すべてのプログラム] をクリックします。

  3. [Microsoft SharePoint 2010 製品] をクリックします。

  4. [SharePoint 2010 管理シェル] をクリックします。

  5. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

    1. Business Data Connectivity Service アプリケーションが含まれる変数を作成するには、以下のコマンドを入力します。

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      ここで、<ServiceName> は Business Data Connectivity Service アプリケーションの名前です。正規表現の場合もあります ("BDC" など)。

      注意

      Business Data Connectivity Service アプリケーションが共有サービス アプリケーションの場合、このコマンドは、サービス アプリケーションが発行されているファームで実行する必要があります。

    2. RevertToSelf 認証モードを無効にするには、以下のコマンドを入力します。

      $bdc.RevertToSelfAllowed = $false

ワークフローおよび外部リスト

外部リストと対話するワークフローを開発するには追加の構成が必要です。次のセクションでは、ワークフローの動作に影響を与える可能性のある要件について説明します。

注意

ホストされている環境では、ワークフローと外部リストは対話できません。

ワークフローと外部リストは直接関連付けられない

外部データは SharePoint Server に格納されていないので、外部リストのアイテムが変更されてもワークフローには通知されません。代わりに、サイト ワークフローまたはリスト ワークフローを作成し、そのワークフローによって外部リストを読み取ったり更新したりできます。また、外部リスト アイテムを SharePoint Designer のタスク プロセスのターゲットとして使用することもできます。ただし、タスクへのリンクには、外部リスト アイテムのタイトルは表示されません。

ワークフローがサービス アカウントとして実行されることがある

次のシナリオで、ワークフローはサービス アカウント (通常はアプリケーション プール アカウント) として実行されます。

  • Visual Studio ワークフロー。

  • 外部リストと対話し自動的に開始される宣言型ワークフロー。これは、ワークフローの偽装ステップを使用するときにも当てはまります。

この場合、サービス アカウントに、外部リストが関連付けられている外部コンテンツ タイプに対する実行アクセス許可を付与し、サービス アカウントが外部システムにアクセスするのに必要なアクセス許可を保有していることを確認します。

ワークフローと認証

ワークフロー アクティビティをサポートするには、外部リストが関連付けられている外部コンテンツ タイプが RevertToSelf 認証または Secure Store Service 認証を使用する必要があります。

注意

これらの認証モードの制限は, .NET アセンブリ コネクタまたはカスタム コネクタを使用している場合は適用されません。

  • RevertToSelf による認証

    RevertToSelf 認証モード (BDC ID 認証モードとも呼ばれます) では、外部リストが存在するフロントエンド Web サーバーのアプリケーション プール アカウントを使用して、外部システムを認証します。つまり、アプリケーション プール アカウントには、外部システムにアクセスするためのアクセス許可が必要です。既定では、RevertToSelf 認証は無効です。RevertToSelf 認証を使用するモデルを作成またはインポートするには、RevertToSelf 認証モードを有効にしておく必要があります。

    セキュリティ メモSecurity Note
    RevertToSelf 認証を運用環境で使用することはお勧めしません。

    RevertToSelf 認証の詳細については、「RevertToSelf 認証モード」を参照してください。

  • Secure Store Service による認証

    Secure Store Service を使用すると、必要な資格情報を提供するデータをセキュリティで保護された状態で保存し、外部システムに接続して、これらの資格情報を特定の ID または ID グループに関連付けることができます。外部コンテンツ タイプで Secure Store Service 認証モードの 1 つが使用されていることを確認する必要があります。

    セキュリティ メモSecurity Note
    ワークフローがサービス アカウントとして実行されている場合は、より低い権限のアカウントにサービス アカウントをマッピングすることをお勧めします。たとえば、セキュリティで保護されたターゲット アプリケーション ID を作成することで最小限のアクセス許可のアカウントにサービス アカウントをマッピングして、必要な外部システムにのみアクセスできます。

認証モードの詳細については、「Business Connectivity Services のセキュリティの概要 (SharePoint Server 2010)」の「Business Connectivity Services の認証の概要」を参照してください。

使用側ファームに展開パッケージを生成するアクセス許可を設定する

Business Data Connectivity Service アプリケーションは、複数のサーバー ファームで共有できます。Business Data Connectivity Service アプリケーションを含み、その Business Data Connectivity Service アプリケーションを発行するファームは発行側ファームと呼ばれます。使用側ファームは、リモートの場所に接続して、Business Data Connectivity Service アプリケーションを使用するファームです。

ユーザーが外部リストをオフラインにすると、外部リストが存在するフロントエンド Web サーバーによって使用されるアプリケーション プール アカウントが展開パッケージを生成します。この展開パッケージがクライアント コンピューターにインストールされます。発行側ファームでは、展開パッケージを生成できるように、メタデータ ストアに対するすべてのアクセス許可がフロントエンド サーバーのアプリケーション プール アカウントに付与されています。使用側ファームで展開パッケージを生成できるようにするには、メタデータ ストアに対する編集アクセス許可および権限の設定アクセス許可を、使用側ファームのフロントエンド サーバーによって使用されるアプリケーション プール アカウントに付与する必要があります。この追加のアクセス許可をアプリケーション プール アカウントに付与しないと、使用側ファームに存在する外部リストはオフラインにできません。

セキュリティ メモSecurity Note
メタデータ ストアに対する編集アクセス許可および権限の設定アクセス許可を使用側ファームのアプリケーション プール アカウントに付与すると、そのアカウントを発行側ファームのファーム管理者にできます。

注意

このセクションは、構内 SharePoint Server 展開にのみ適用されます。

外部リストの展開の詳細については、「Business Connectivity Services クライアント統合の計画 (SharePoint Server 2010)」を参照してください。

使用側ファームのアプリケーション プール アカウントにアクセス許可を割り当てるには

  1. 管理者としての次のどちらかの資格情報を持っていることを確認します。

    • 発行側ファームのファーム管理者である必要があります。

    • Business Data Connectivity Service アプリケーションの管理者であり、メタデータ ストアに対する権限の設定アクセス許可が付与されている必要があります。

  2. 発行側ファームのサーバーの全体管理サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  3. Business Data Connectivity Service アプリケーションのインスタンスをクリックします。

  4. [編集] タブの [権限] グループで、[Metadata Store の権限の設定] をクリックします。

  5. テキスト ボックスに、使用側ファームのフロントエンド Web サーバーによって使用されるアプリケーション プール アカウントを入力し、[追加] をクリックします。

  6. [権限] ボックスの [編集] をクリックし、[権限の設定] をクリックします。

  7. [OK] をクリックします。

共有サービス アプリケーションの詳細については、「ファーム間でサービス アプリケーションを共有する (SharePoint Server 2010)」を参照してください。

See Also

Concepts

Business Connectivity Services のセキュリティの概要 (SharePoint Server 2010)