SSO をバックアップおよび復元する (Office SharePoint Server 2007)

Microsoft Office SharePoint Server 2007 の Microsoft Single Sign-on (SSO) 機能は、ユーザー資格情報がバックエンド データ システムにマップします。SSO は主に、ビジネス インテリジェンス シナリオで使用されます。

SSO 環境は、Microsoft Single Sign-on service、SSO データベース、および暗号化キーで構成されます。暗号化キーと SSO データベースの両方をバックアップおよび復元する必要があります。ただし、サービスをバックアップする必要はありません。SSO データベースは常に完全バックアップを実行する必要があります。

SSO の詳細については、「シングル サインオンを計画する」を参照してください。

SSO のバックアップ

SSO 環境のバックアップには、暗号化キーのバックアップと SSO データベースのバックアップが含まれます。

暗号化キーは 128 ビットのランダムに生成されたキーであり、データベースに格納されているユーザー資格情報を暗号化および解読するために使用されます。暗号化キーのバックアップは、SSO の初期設定後と、キーの再生成時に毎回行う必要があります。暗号化キーをリモートでバックアップすることはできません。暗号化キーは、リムーバブル記憶メディアにのみバックアップできます。暗号化キーをバックアップするには、SharePoint サーバーの全体管理 Web サイトを使用する必要があります。Stsadm コマンドライン ツールは使用できません。

SSO データベースには、ユーザー資格情報、SSO チケット、構成データ、および監査データが格納されています。SSO データベースは、最初に作成した後と、SSO の構成を変更した場合や資格情報を再暗号化した後に毎回バックアップする必要があります。資格情報は、新しいキーを再生成した後にだけ再暗号化できます。また、SSO データベースと暗号化キーのバックアップを、サーバー ファームの定期的にスケジュールされたデータベース バックアップに含めることができます。

暗号化キーとデータベースが同期していることの確認

SSO データベースに格納されている資格情報とバックアップされた暗号化キーは、以下の場合に同期しなくなるおそれがあります。

• 新しい暗号化キーを生成し、SSO データベースに格納されている資格情報を再暗号化せずに暗号化キーをバックアップした場合。その結果、資格情報は以前のキーで暗号化されます。

• 新しい暗号化キーを生成し、新しい暗号化キーをバックアップせずに、そのキーを使用して SSO データベースを再暗号化した場合。

• バックアップされた暗号化キー ファイルの名前を最初に変更しなかったため、Office SharePoint Server 2007 でバックアップ メディアの以前の暗号化キーが上書きされた場合。

以下の手順を実行することで、データベースと暗号化キーを確実に同期させることができます。

• 暗号化キーのバックアップと SSO データベースのバックアップは安全に保管します。

• 名前付け規則を使用します。たとえば、日付と時刻を暗号化キーとデータベースの .bak ファイル名やファイルを格納するフォルダ名の後ろに付加します。

データベースのバックアップと暗号化キーのバックアップを同期する必要があるのは、新しいキーを作成しデータベースを再暗号化した場合のみです。そのため、同期を維持するには、新しいキーを使用して SSO データベースに格納されている資格情報を再暗号化するたびに、必ず新しい暗号化キーをバックアップします。これに対し、定期的なバックアップ スケジュールの一部としてデータベースをバックアップしており、以前と同様に同じキーを使用してデータベースが暗号化される場合は、同期処理を実行する必要はありません。

たとえば、以下の操作を行うことができます。

1. 新しい暗号化キーを再生成し SSO データベースに格納されている資格情報を暗号化する前に、現在の暗号化キーを安全なフォルダにコピーします。

2. キー名に日付を付加します (たとえば BaseKey [04.10.2008].key)。

3. 現在の SSO データベースのバックアップ (.bak) ファイルを別の安全なフォルダにコピーします。

4. .bak ファイル名に日付を付加します (たとえば SSO [04.10.2008].bak)。

5. キーを再生成し、SSO データベースに格納されている資格情報を再暗号化し、新しいキーと SSO データベースをバックアップします。

SSO の復元

SSO 環境の復元が必要になることがあります。暗号化キーのみまたは SSO データベースのみを復元する必要がある場合もあります。以下の表では、さまざまな復元シナリオと復元対象について説明します。

タスク要件

このタスクの手順を実行するには、以下の条件を満たしている必要があります。

• これらの手順を完了するには、Farm Administrators SharePoint グループのメンバシップが最低限必要です。

• 暗号化キーをバックアップするには、暗号化キー サーバーにローカルにログオンしている必要があります。暗号化キー サーバーは、SSO サーバーを有効にする最初のサーバーです。暗号化キー サーバーは、SharePoint サーバーの全体管理 Web サイトを実行している必要があります。

• IT 環境によって、データベース管理者 (DBA) が SSO データベースをバックアップまたは復元する必要がある場合は、暗号化キーのバックアップを DBA と調整して、データベースに対する正しいキーがバックアップされるようにする必要があります。SSO データベースをバックアップするために使用するアカウントは、SQL Server の db_backupoperator 固定データベース ロールのメンバである必要があります。SSO データベースを復元するために使用するアカウントは、SQL Server の dbcreator 固定サーバー役割のメンバである必要があります。

• これらのタスクを完了するために、コンピュータを再起動する必要はありません。ただし、一部のタスクを完了するためには SSO サービスを停止し再起動する必要があります。再起動中は SSO サービスが利用できないため、ユーザーは各自が使用するそれぞれのサービスまたはアプリケーションにログオンする必要があります。

• このタスクの手順は、SharePoint サーバーの全体管理 Web サイトを使用して実行できます。SSO データベースのバックアップと復元は Stsadm コマンドライン ツールを使用して実行できます (暗号化キーのバックアップと復元はできません)。

SSO をバックアップおよび復元するには、次の手順を実行します。

• SSO をバックアップする (Office SharePoint Server 2007)

• SSO を復元する (Office SharePoint Server 2007)

関連項目

概念

ファームのバックアップと復元 (Office SharePoint Server 2007)
ファーム全体のバックアップおよび復元 (SharePoint Server 2007)
復元ファームを作成する (Office SharePoint Server 2007)
組み込みツールを使用して Web アプリケーションをバックアップおよび復元する (Office SharePoint Server 2007)
組み込みのツールを使用してサイト コレクションのバックアップと復元を行う (Office SharePoint Server 2007)
データベースをバックアップおよび復元する (Office SharePoint Server)
SSP のバックアップおよび復元 (Office SharePoint Server 2007)
組み込みツールを使用して個人用サイトをバックアップおよび復元する (Office SharePoint Server 2007)
組み込みツールを使用した InfoPath フォームのバックアップおよび復元 (Office SharePoint Server 2007)
DPM を使用してアイテムをバックアップおよび復元する (Office SharePoint Server)
DPM を使用してサイトをバックアップおよび復元する (Office SharePoint Server)