Microsoft UAG 2010 使用時のクレーム ベース認証 (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2016-11-30

Microsoft Unified Access Gateway (UAG) 2010 Service Pack 1 (SP1) では、Active Directory フェデレーション サービス バージョン 2.0 (ADFS 2.0) のサポートが追加されています。UAG はクレームに対応する証明書利用者であり、クレーム ベース認証を使用する Microsoft SharePoint Server 2010 アプリケーションの発行をサポートするようになっています (クレームに対応していないアプリケーションまたは SharePoint Server 2010 を実行するサーバーへのシングル サインオンを使用するパートナー アクセスもまだサポートされています)。

以下の手順では、パートナー組織から UAG を実行するサーバー経由で SharePoint Server 2010 を実行するサーバーにアクセスするユーザーを認証するためのプロセス フローを詳細に説明します。

  1. パートナー ユーザーは、発行された SharePoint Server アプリケーションにクレーム ベース認証を使用してアクセスするために、Forefront UAG ポータルにアクセスしてから発行された SharePoint Server アプリケーションをクリックするか、または SharePoint Server の代替アクセス マッピング名を使用して発行された SharePoint Server アプリケーションに直接アクセスします。

  2. Forefront UAG は Web ブラウザー要求をリソース フェデレーション サーバーにリダイレクトしてユーザーを認証します。

  3. リソース フェデレーション サーバーによって表示されるホーム領域検出ページで、ユーザーは所属している組織 (この場合はパートナー組織) を選択する必要があります。

  4. リソース フェデレーション サーバーによって Web ブラウザーはアカウント フェデレーション サーバーにリダイレクトされ、ユーザーはそこで自分の資格情報を使用して認証を行った後、セキュリティ トークンを受け取ります。一部の認証スキームでは資格情報を要求されます。

  5. ユーザーは、予告なしに何回かリダイレクトされ、アカウント フェデレーション サーバーによって作成されたセキュリティ トークンを使用して、リソース フェデレーション サーバーおよび Forefront UAG で自動的に認証されます。ユーザーは、発行された SharePoint Server アプリケーションに直接アクセスを試みると、予告なしに SharePoint Server サイトにリダイレクトされた後、SharePoint Server サイトが表示されます。最初に Forefront UAG ポータルにアクセスした場合は、SharePoint Server アプリケーションをクリックして SharePoint Server サイトを表示する必要があります。

  6. SharePoint Server サイトへの接続に初めて成功すると、リソース フェデレーション サーバーはユーザーのコンピューターに Cookie を格納します。既定では Cookie は 30 日間格納されます。この期間は、リソース フェデレーション サーバーの web.config ファイルで構成できます。この期間中、ユーザーはホーム領域検出ページに表示される身元確認の質問に答える必要がありません。つまり、所属している組織を選択する必要はありません。

画像

警告

UAG サーバーでリモート クライアントのセッションの有効期限が切れた場合、このシナリオでは Office 統合は失敗します。

注意

クレームと Microsoft UAG を使用したリモート ユーザー アクセスの詳細については、「Plan employee access using claims」を参照してください。

UAG SP1 では、クレーム ベース認証も追加されています。たとえば、ユーザーがロールのクレームを持っている場合、UAG はそのクレームの値を基にして、ユーザーのアクセスを許可または拒否できます。これらのルールは UAG でポリシーによって設定され、ADFS のロールにマップされます。

注意

クレーム ベース認証ルールは、UAG が ADFS の証明書利用者である場合にのみ使用できます。

UAG SP1 では、シングル サインアウト機能も追加されています。サインアウトしたユーザーは、認証を行うフェデレーション サーバーに依存しているすべてのアプリケーションからもサインアウトされます。複数の方法でクライアントは (を) サインアウトできます。

  • ユーザーは UAG ポータルからサインアウトできます。

  • 一定の時間何も行っていないユーザーをサインアウトさせることができます。

  • UAG のスケジュールされたサインアウト時間でユーザーをサインアウトさせることができます。

シングル サインアウトの詳細については、「Overview of AD FS 2.0 (英語)」(https://go.microsoft.com/fwlink/?linkid=207207&clcid=0x411) (英語) を参照してください。

アプリケーションが NTLM 認証または Kerberos 認証を使用していて、UAG がクライアントの Kerberos 変換を実行する場合、UAG はまだシングル サインオン (SSO) アクセスを提供できます。詳細については、「Configuring single sign-on with Kerberos constrained delegation to non-claims-aware applications (英語)」(https://go.microsoft.com/fwlink/?linkid=207208&clcid=0x411) (英語) を参照してください。

See Also

Other Resources

Plan employee access using claims
Overview of AD FS 2.0 (英語)
Configuring single sign-on with Kerberos constrained delegation to non-claims-aware applications (英語)