認証を構成する (Windows SharePoint Services)
この記事の内容 :
認証とは、クライアント ID を検証するプロセスのことであり、通常、指定された機関が行います。Web サイト認証によって、Web サイト リソースへのアクセスを試みるユーザーが認証済みエンティティであることを確認できます。認証アプリケーションは、Web サイト アクセスを要求しているユーザーから資格情報を取得します。資格情報は、ユーザー名、パスワードなど、ID のさまざまなフォームで作成できます。認証アプリケーションは、認証機関に確認して資格情報を検証することを試みます。資格情報が有効な場合、資格情報を送信したユーザーは認証済み ID であると見なされます。
Windows SharePoint Services 認証
使用する最適な Windows SharePoint Services 3.0 認証機構を設定する際には、以下の点を考慮してください。
Windows 認証機構を使用するには、信頼できる機関によって認証されるユーザー アカウントがサポートされる環境が必要です。
Windows 認証機構を使用する場合は、オペレーティング システムによりユーザー資格情報管理タスクが実行されます。フォーム認証など、Windows 以外の認証プロバイダを使用する場合は、資格情報管理システムを計画して実装し、ユーザー資格情報を格納する場所を設定する必要があります。
Windows SharePoint Services 3.0 認証が、ASP.NET 認証モデルに構築されます。その認証には、以下の 3 つの認証プロバイダが含まれます。
Windows 認証プロバイダ
フォーム認証プロバイダ
Web SSO 認証プロバイダ
認証に Active Directory ディレクトリ サービスを使用したり、Microsoft SQL Server データベース、Lightweight Directory Access Protocol (LDAP) ディレクトリ、ASP.NET 2.0 メンバシップ プロバイダが含まれる他のディレクトリなど、他のデータ ストアに確認してユーザー資格情報を検証する環境を設計したりできます。メンバシップ プロバイダにより、使用するデータ ストアの種類が指定されます。既定の ASP.NET 2.0 メンバシップ プロバイダでは、SQL Server データベースが使用されます。ASP.NET 2.0 には、SQL Server メンバシップ プロバイダが含まれます。
認証プロバイダは、Active Directory、SQL Server データベース、または Active Directory 以外の LDAP ディレクトリ サービス (NDS など) に格納されているユーザーとグループの資格情報に対して認証する際に使用されます。ASP.NET メンバシップ プロバイダの詳細については、「ASP.NET アプリケーションの設定によるメンバシップの使用」(https://go.microsoft.com/fwlink/?linkid=87014&clcid=0x411) を参照してください。
Windows 認証プロバイダ
Windows 認証プロバイダでは、以下の認証方法がサポートされます。
匿名認証
匿名認証では、ユーザーは、認証資格情報を入力しなくても Web サイトの公開エリアにあるリソースを参照することができます。インターネット インフォメーション サービス (IIS) は、IUSR_computername アカウントを作成し、Web コンテンツ要求を行う匿名ユーザーを認証します。IUSR_computername アカウント (computername は IIS を実行しているサーバーの名前) は、IUSR アカウントのコンテキストでリソースへの匿名ユーザー アクセスを許可します。有効な Windows アカウントを使用するように匿名ユーザー アクセスを設定し直すこともできます。 スタンドアロン環境では、IUSR_computername アカウントはローカル サーバー上に作成されます。このサーバーがドメイン コントローラである場合、IUSR_computername アカウントは、そのドメインのアカウントとして定義されます。 既定では、匿名アクセスは Web アプリケーションの新規作成時に無効化されます。匿名アクセスの無効化により、IIS は匿名アクセス要求が処理される前に要求を拒否するようになるので、セキュリティのレイヤが追加されます。
基本認証
基本認証を使用する場合、既に割り当てられている Windows アカウントの資格情報が、ユーザー アクセスに必要です。基本認証では、HTTP トランザクション中に要求を作成すると、Web ブラウザが資格情報を提供します。ユーザー資格情報はネットワーク転送時に暗号化されず、プレーンテキストでネットワークに送信されるので、セキュリティで保護されていない HTTP 接続で基本認証を使用することはお勧めできません。基本認証を使用するには、SSL (Secure Sockets Layer) 暗号化を有効にする必要があります。
ダイジェスト認証
ダイジェスト認証の機能は基本認証と同じですが、セキュリティが強化されています。ユーザー資格情報はプレーンテキストではなく暗号化されてネットワークに送信されます。ユーザー資格情報は MD5 メッセージ ダイジェストとして送信され、元のユーザー名とパスワードは解読できません。ダイジェスト認証ではチャレンジ/レスポンス プロトコルが使用され、認証の要求者は、サーバーからのチャレンジに応じて有効な資格情報を提示するように求められます。クライアントがサーバーから認証されるには、共有シークレット パスワード文字列を含んだ MD5 メッセージ ダイジェストをレスポンスで返す必要があります。MD5 メッセージ ダイジェスト アルゴリズムは、インターネット技術標準化委員会 (IETF) RFC 1321 (http://www.ietf.org) で詳しく説明されています。
ダイジェスト認証を使用するには、以下の必要条件に注意してください。
ユーザーと IIS サーバーは、同じドメインのメンバであるか、同じドメインによって信頼されている必要があります。
ユーザーには、ドメイン コントローラの Active Directory に格納されている有効な Windows ユーザー アカウントが必要です。
ドメインは、Microsoft Windows Server 2003 ドメイン コントローラを使用する必要があります。
ドメイン コントローラに IISSuba.dll ファイルをインストールする必要があります。このファイルは Windows Server 2003 セットアップ中に自動的にコピーされます。
NTLM を使用した統合 Windows 認証
この方法は、ドメイン コントローラ上で Active Directory を実行していない Windows サーバー用です。NTLM は、ユーザー資格情報の暗号化とネットワークでの送信をサポートするセキュリティ プロトコルです。NTLM では、ユーザー名とパスワードを暗号化してからネットワークに送信します。NTLM は、Windows NT Server、Windows 2000 Server ワークグループ環境、および多数の Active Directory 展開で使用される認証プロトコルです。NTLM は、Windows NT システムを認証する必要がある、混在した Windows 2000 Active Directory ドメイン環境で使用されます。
フォーム認証プロバイダ
フォーム認証プロバイダにより、Active Directory 内、SQL Server データベースのようなデータベース内、あるいは Novell eDirectory、Novell Directory Services (NDS)、または Sun ONE のような LDAP 内に格納されている資格情報に対する認証がサポートされます。フォーム認証により、ログオン フォームからの資格情報入力の検証に基づくユーザー認証が有効になります。認証されていない要求はログオン ページにリダイレクトされ、そこではユーザーは有効な資格情報を提供し、フォームを送信する必要があります。要求が認証されると、システムは後続の要求 ID を再確立するためのキーを含む Cookie を発行します。
Web シングル サインオン (SSO) 認証プロバイダ
Web SSO は、ネットワーク境界全体でセキュリティ保護された通信をサポートすることから、フェデレーション認証や委任認証とも呼ばれます。
SSO は、ユーザー資格情報の認証が 1 回成功した後に、複数の保護リソースへのアクセスを可能にする認証方法です。SSO 認証には複数の異なる実装があります。Web SSO 認証では、ある組織で認証されているユーザーが別の組織内の Web アプリケーションにアクセスできるようにすることで、ネットワーク境界全体でセキュリティ保護された通信がサポートされます。Active Directory フェデレーション サービス (ADFS) では、Web SSO がサポートされます。ADFS シナリオでは、2 つの組織間で、一方の組織のユーザーが、別の組織が管理する Web ベースのアプリケーションにアクセスできるようにするフェデレーション信頼関係を築くことができます。ADFS を使用した Web SSO 認証の構成の詳細については、「ADFS を使用して Web SSO 認証を構成する (Windows SharePoint Services)」を参照してください。