Microsoft SharePoint Server からのクエリを有効にする (FAST Search Server 2010 for SharePoint)

  • [アーティクル]

 

適用先: FAST Search Server 2010

トピックの最終更新日: 2016-11-29

ここでは、FAST Search Server 2010 for SharePoint で Microsoft SharePoint Server 2010 からクエリを有効にする方法について説明します。それには、クレーム認証を構成する必要があります。これは SharePoint Server 2010 から証明書をエクスポートし、FAST Search Server 2010 for SharePoint のすべてのクエリ サーバーにインポートすることを意味します。HTTPS を有効にしてクエリ トラフィックをセキュリティで保護する場合は (オプション)、追加の手順を実行します。

この記事の説明に従ってクエリを有効にする前に、「Query Search Service アプリケーションを作成してセット アップする (FAST Search Server 2010 for SharePoint)」の手順を実行してください。

この記事の内容:

  • クレーム認証を構成する

  • HTTPS を有効にする (オプション)

クレーム認証を構成する

このセクションでは、Microsoft SharePoint Server 2010 の STS 証明書 (MOSS_STS) を SharePoint Server 2010 からすべての FAST Search Server 2010 for SharePoint クエリ サーバーに転送して、セキュリティによってトリミングされたクエリを提供する方法について説明します。

セキュリティによるトリミング、すなわちアイテムごとのセキュリティでは、検索結果内のアイテムへのアクセスが、クエリを送信したユーザーが参照を承認されているアイテムのみに制限されます。

SharePoint Server 2010 で、次のようにして SharePoint の STS 証明書をエクスポートします。

  1. [スタート] メニューの [すべてのプログラム] をクリックします。

  2. [Microsoft SharePoint 2010 製品] をクリックします。

  3. [SharePoint 2010 管理シェル] を右クリックし、[管理者として実行] を選択します。

  4. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
$stsCert.Export("cert") | Set-Content  -encoding byte MOSS_STS.cer

    コマンドを実行したディレクトリに MOSS_STS.cer というファイルが作成されます。

  5. MOSS_STS.cer を FAST Search Server 2010 for SharePoint クエリ サービスで利用できる場所にコピーします。

各 FAST Search Server 2010 for SharePoint クエリ サーバーで、次のようにして SharePoint の STS 証明書をインポートします。

  1. [スタート] メニューの [すべてのプログラム] をクリックします。

  2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックします。

  3. [Microsoft FAST Search Server 2010 for SharePoint shell] を右クリックし、[管理者として実行] を選択します。

  4. Windows PowerShell コマンド プロンプトで <FASTSearchFolder>\installer\scripts\ に移動します。ここで、<FASTSearchFolder> は FAST Search Server 2010 for SharePoint がインストールされているフォルダーのパスです (例: C:\FASTSearch)。次のコマンドを入力します。

    .\InstallSTSCertificateForClaims.ps1 -certPath <"full path of MOSS STS certificate">

    ここで、

    • <"full path of MOSS STS certificate"> は MOSS_STS.cer ファイルをコピーした場所のパスです。

以上の手順が終われば、FAST Search Server 2010 for SharePoint クエリ サーバーの構成は完了です。クエリ サーバーが複数ある場合は、すべてについて以上の手順を繰り返します。

HTTPS を有効にする (オプション)

HTTPS を使用してクエリ トラフィックをセキュリティ保護する場合は、追加のオプション手順を実行する必要があります。FAST Search Server 2010 for SharePoint では、クエリ トラフィックに HTTP および HTTPS を選択できます。既定では HTTP が使用されます。

  • HTTP: SharePoint Server 2010 検索アプリケーションから FAST Search Server 2010 for SharePoint へのすべてのクエリ トラフィックが、HTTP 要求を使用して送信されます。情報は暗号化されません。ただし、この通信チャネルの方が HTTPS より高速です。ドキュメントに機密性の高い情報が含まれない場合、またはクエリのパフォーマンスを最大にする必要がある場合は、HTTP を使用してください。これが既定の方式です。

  • HTTPS: SharePoint Server 2010 検索アプリケーションから FAST Search Server 2010 for SharePoint へのすべてのクエリ トラフィックが、セキュリティで保護された要求を使用して送信されます。情報は暗号化されるので、クエリ トラフィックに含まれる機密情報にはだれもアクセスできません。ドキュメントに機密性の高い情報が含まれる場合は、HTTPS を使用してください。

注意

この構成手順はオプションです。FAST Search Server 2010 for SharePoint と SharePoint Server 2010 の間のクエリに HTTPS を使用する場合にのみ、この手順に従ってください。

クエリ トラフィックに HTTPS を使用する場合は、サーバー固有の SSL 証明書が必要です。FAST Search Server 2010 for SharePoint 内のクエリ サーバーごとに、次のどちらかを満たす証明書が必要になります。

  • 証明書のサブジェクト プロパティが、サーバーの FQDN に設定されている。

  • サブジェクト代替名 (SAN) プロパティにサーバーの FQDN が含まれる。

会社の既存の公開キー基盤 (PKI) を使用してこれらの SSL 証明書を生成することをお勧めします。

FAST Search Server 2010 for SharePoint の各クエリ サーバーで、次の手順を実行します。

  1. サーバー固有の SSL 証明書を証明書ストアにインポートします。証明書は Certificates(Local Computer)\Personal に保存する必要があります。

    winhttpcertcfg または Microsoft 管理コンソール (MMC) の証明書スナップインを使用して、FASTSearchAdministrators グループに証明書への完全なアクセス権を付与します。

    MMC スナップインを使用してアクセス権を付与するには:

    1. [スタート] ボタンをクリックし、[プログラムとファイルの検索] ボックスに「mmc」と入力して、 Enter キーを押します。

    2. 証明書を右クリックし、[すべてのタスク]、[秘密キーの管理] の順にクリックします。

    3. [追加] をクリックし、「FastSearchAdministrators」というグループを追加して、[フル コントロール] を選択します。

  2. ベース ポート + 286 で証明書を使用するように、クエリ サーバーを構成します。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft FAST Search Server 2010 for SharePoint] をクリックします。

    3. [Microsoft FAST Search Server 2010 for SharePoint shell] を右クリックし、[管理者として実行] を選択します。

    4. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

      netsh http add sslcert ipport=0.0.0.0:<baseport+286> appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumbprint>

      ここで、

      • <baseport+286> は実際のポート番号です。たとえば、ベース ポートが 13000 の場合、実際のポート番号は 13286 (ipport=0.0.0.0:13286) になります。

      • <Cert_Thumbprint> は証明書の拇印です。

SharePoint Server 2010 サーバーで次の手順を実行します。

  1. 各クエリ サーバーに作成した SSL 証明書に対して、SharePoint Server 2010 で信頼関係を有効にします。そのためには、SSL 証明書の署名機関のパブリック証明書を SharePoint Server 2010 にインポートします。

    1. [スタート] メニューの [すべてのプログラム] をクリックします。

    2. [Microsoft SharePoint 2010 製品] をクリックします。

    3. [SharePoint 2010 管理シェル] を右クリックし、[管理者として実行] を選択します。

    4. Windows PowerShell コマンド プロンプトで、以下のコマンドを入力します。

      $trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cer'
New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert

      ここで、

      • <SSL_CA_Public_Cert> は、SSL 証明書の署名機関からの証明書の名前です。

      通常は、クエリ サーバーの信頼されたルート ストアからこの証明書をエクスポートします。

  2. Query Search Service アプリケーション (SSA) の [クエリ サービスの場所] 構成設定を、HTTPS エンドポイントを使用するように変更します。詳細については、「Query Search Service アプリケーションを作成してセット アップする (FAST Search Server 2010 for SharePoint)」を参照してください。

次の手順

クレーム認証を構成し、オプションで HTTPS を有効にしたら、「FAST Search センター サイトを作成する (FAST Search Server 2010 for SharePoint)」の手順を実行してください。

See Also

Concepts

FAST Search Server 2010 for SharePoint の展開
FAST Search Authorization (FSA) の概要
証明書を管理する (FAST Search Server 2010 for SharePoint)

Other Resources

証明書スナップインを MMC に追加する