Kerberos 認証を計画する (SharePoint Server 2010)
適用先: SharePoint Foundation 2010, SharePoint Server 2010
トピックの最終更新日: 2016-11-30
Microsoft SharePoint Server 2010 は、複数の認証方法をサポートしています。安全な認証、クライアント ID 委任、および低いネットワーク トラフィックを必要とする展開では、Kerberos 認証が使われます。詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。
この記事の内容
Kerberos 認証と SharePoint 2010
Kerberos 認証とクレームベース認証
Kerberos 認証と Microsoft SharePoint Server 2010
| Kerberos 認証を検討する理由 | Kerberos 認証が適さない展開シナリオ |
|---|---|
Kerberos は最も安全な統合 Windows 認証プロトコルであり、高度暗号化標準 (AES) 暗号や相互認証などの高度なセキュリティ機能をサポートしています。 |
Kerberos 認証を有効に機能させるためにはインフラおよび環境の追加的な構成が必要です。多くの場合、Kerberos を構成するにはドメイン管理者の権限が必要とされます。Kerberos 認証は、セットアップや管理が難しい面があります。Kerberos を誤って構成すると、サイトへの認証がうまく行われません。 |
Kerberos では、クライアントの資格情報の委任を行えます。 |
Kerberos 認証では、クライアント コンピューターがキー配布センター (KDC) に接続されていることと、クライアント コンピューターが Active Directory ドメイン サービス (AD DS) ドメイン コントローラーに接続されていることが必要です。Windows 展開では、AD DS ドメイン コントローラーが KDC となります。これは企業環境では一般的なネットワーク構成ですが、インターネットと対面する展開は、通常、この構成を取りません。 |
Kerberos は、クライアントとサーバーの相互認証をサポートしています。 |
|
安全な認証方法の中でも Kerberos はドメイン コントローラーへのトラフィックが最も少なくて済む方法です。Kerberos では、特定のシナリオでページの遅延を減らすことができ、状況によってはフロントエンド Web サーバーの処理ペース数を増やすことができます。Kerberos はドメイン コントローラーへの負荷を減らすこともできます。 |
|
Kerberos は、多くのプラットフォームやベンダーがサポートしているオープン プロトコルです。 |
Kerberos は、信頼できるソースから提供されたチケットを使用する認証方法をサポートする安全なプロトコルです。Kerberos チケットは、特定のクライアント コンピューターに関連付けられたユーザーのネットワーク資格情報を表します。Kerberos プロトコルは、ユーザーがネットワーク認証サービスと相互にやり取りしてネットワーク リソースにアクセスするまでの手順を定義しています。Kerberos KDC は、ユーザーのためにクライアント コンピューターに対してチケットを発行します。クライアント コンピューターは、サーバーとのネットワーク接続を確立すると、Kerberos 認証チケットをサーバーに提示してネットワーク アクセスを要求します。要求に含まれているユーザー資格情報が条件を満たしていれば、KDC は要求を許可します。サービス アプリケーションの場合には、認証チケットに適切なサービス プリンシパル名 (SPN) も含まれていなければなりません。Kerberos 認証を有効にするためには、クライアント コンピューターとサーバー コンピューターが KDC との間に信頼できる接続を確立していることが必要です。さらに、クライアント コンピューターとサーバー コンピューターは、Active Directory ドメイン サービス (AD DS) にアクセスできる必要があります。
Kerberos 委任
Kerberos 認証は、クライアント ID の委任をサポートしています。これは、サービスが認証対象クライアントの ID を偽装できることを意味します。偽装により、サービスはクライアントのために認証対象の ID を他のネットワーク サービスに渡すことが可能になります。クレームベース認証もクライアント資格情報の委任に使用できますが、バックエンドのアプリケーションがクレーム対応である必要があります。現在のところ、複数の重要なサービスがまだクレーム対応になっていません。
Microsoft SharePoint Server 2010 と共に使用することで Kerberos 委任では、フロントエンド サービスがクライアントを認証し、さらにクライアントの ID を使用してバックエンド システムを認証できます。その後、バックエンド システムはそれ独自の認証を行います。クライアントが Kerberos 認証を使用してフロントエンド サービスとの認証を行うとき、Kerberos 委任を使用すれば、クライアントの ID をバックエンド システムに渡すことができます。Kerberos プロトコルは次の 2 種類の委任をサポートしています。
基本 Kerberos 委任 (制約なし)
Kerberos の制限付き委任
基本 Kerberos 委任と Kerberos の制限付き委任
基本 Kerberos 委任は、同じフォレスト内のドメイン境界を越えることができますが、フォレスト境界を越えることはできません。Kerberos の制限付き委任はドメイン境界もフォレスト境界も越えることができません。SharePoint Server 2010 展開の一部であるサービス アプリケーションによっては、SharePoint Server 2010 で Kerberos 認証を実装するために Kerberos の制限付き委任が必要になることがあります。そのため、Kerberos 認証を以下のいずれかのサービス アプリケーションで展開する場合は、SharePoint Server 2010 とすべての外部データ ソースを同じ Windows ドメインに置いておく必要があります。
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
Kerberos 認証を以下のいずれかのサービス アプリケーションで展開するためには、SharePoint Server 2010 が基本 Kerberos 委任または Kerberos の制限付き委任を使用できる必要があります。
Business Data Connectivity Service と Microsoft Business Connectivity Services
Access Services
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
Kerberos 認証に対応したサービスでは、ID を複数回委任できます。ID がサービスからサービスへと伝えられていくと、委任方法が基本 Kerberos から Kerberos の制限付きに変更されることがあります。ただし、逆方向の変更はできません。委任方法を Kerberos の制限付きから基本 Kerberos に変更することはできません。そのため、基本 Kerberos 委任を必要とするようなバックエンド サービスが存在しないか事前に確認しておくことが重要です。これはドメイン境界の計画と設計に影響することがあります。
Kerberos 対応サービスでは、プロトコル遷移を使用して非 Kerberos ID を、他の Kerberos 対応 サービスに委任できる Kerberos ID に変換できます。たとえば、この機能を利用すると、非 Kerberos ID をフロントエンド サービスからバックエンド サービスの Kerberos ID に委任できます。
重要
プロトコル遷移には Kerberos の制限付き委任が必要です。そのため、プロトコル遷移による ID はドメイン境界を通過できません。
クレームベース認証を Kerberos 委任の代替方法として使用することもできます。クレームベース認証では、クライアントの認証クレームが 2 つの異なるサービスの間で引き渡されます。ただし、これらのサービスは以下の条件をすべて満たしている必要があります。
これらのサービスの間に信頼関係が存在すること。
両方のサービスがクレーム対応であること。
Kerberos 認証の詳細については、以下のリソースを参照してください。
How the Kerberos Version 5 Authentication Protocol Works (英語) (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x411) (英語)
Microsoft Kerberos (英語) (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x411) (英語)
Kerberos 認証とクレームベース認証
SharePoint Server 2010 はクレームベース認証をサポートしています。クレームベース認証は、クレームベースの ID を実装するために使用される一連の .NET Framework クラスである Windows Identity Foundation (WIF) に基づいています。クレームベース認証では、WS-Federation、WS-Trust などの標準が利用されます。クレームベース認証の詳細については、以下を参照してください。
Claims-based Identity for Windows: An Introduction to Active Directory Federation Services 2.0, Windows CardSpace 2.0, and Windows Identity Foundation (ホワイト ペーパー) (英語) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x411) (英語)
Windows Identity Foundation ホーム ページ (英語) (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x411) (英語)
An Introduction to Claims (英語) (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x411) (英語)
SharePoint クレームベース ID (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x411)
SharePoint Server 2010 Web アプリケーションを作成するとき、クレームベースとクラシック モード認証のどちらかの認証モードを選択できます。SharePoint Server 2010 を新しく実装する場合は、クレームベース認証の使用を検討してください。クレームベース認証を使用すると、サポートされているすべての種類の認証を Web アプリケーションで使用できます。
以下のサービス アプリケーションでは、クレームベースの資格情報を Windows 資格情報に変換する必要があります。この変換プロセスでは Claims to Windows Token Service (C2WTS) が使用されます。
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
C2WTS を必要とするこれらのサービス アプリケーションでは、Kerberos の制限付き委任を使用しなければなりません。これは、C2WTS でプロトコル遷移が必要で、プロトコル遷移は Kerberos の制限付き委任でのみサポートされているからです。前出のサービス アプリケーションの場合、C2WTS は送信認証のためにファーム内のクレームを Windows 資格情報に変換します。これらのサービス アプリケーションが C2WTS を利用できるのは、受信認証方法がクレームベースかクラシック モードの場合に限られることに注意してください。サービス アプリケーションが Web アプリケーション経由でアクセスされる場合と、SAML クレームまたはフォームベース認証クレームを使用する場合は、C2WTS を使用しないので、クレームを Windows 資格情報に変換することはできません。
Kerberos を 9 種類のシナリオ、すなわちコア展開と 3 つの Microsoft SQL Server ソリューションと、Excel Services、PowerPivot for SharePoint、Visio Services、PerformancePoint Services、Business Connectivity Services をそれぞれ使用する各シナリオに合わせて構成するときの指針を「Configuring Kerberos authentication for SharePoint 2010 Products (英語)」(https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x411) (英語) で詳しく説明しています。