FAST Search Authorization (FSA) の概要

適用先: FAST Search Server 2010

トピックの最終更新日: 2010-02-02

ほとんどの Microsoft FAST Search Server 2010 for SharePoint システムでは、さまざまなコンテンツが検索の対象となります。公的文書や機密/秘匿アイテムなども検索の対象に含まれます。FAST Search Server 2010 for SharePoint には FAST Search Authorization (FSA) という名前のセキュリティ モジュールがあり、これがアイテム レベルのセキュリティとセキュリティによるトリミングを備えた安全な検索システムの構築に寄与します。FSA は、検索結果に含まれるアイテムへのアクセスを、そのアイテムの参照が許可されたユーザーのみに制限します。

この記事の内容

• FSA の使用と利点

• FSA のコンポーネント

FSA の使用と利点

アイテム レベルのセキュリティは、次の 2 段階で動作します。

• フェーズ 1、インデックス作成: コンテンツ リポジトリがスキャンされ、インデックスが作成されます。承認情報が各アイテムの承認管理プロパティ (アイテムのアクセス制御リスト (ACL)) に追加され、アイテムへのアクセスが許可または拒否されるユーザーとグループが識別されます。

• フェーズ 2、検索: ユーザーがクエリを送信し、インデックスによって検索結果が検出されます。このフェーズでは、クエリ処理サービスがユーザーのクエリを変換して、閲覧が許可されたアイテムのみをユーザーに対して表示します。このセキュリティによるトリミングは、ユーザー検索セキュリティ フィルターを介して実行されます。このフィルターは、ユーザーに固有のコンテンツ アクセス許可に基づいて FSA によって作成されます。アイテム管理プロパティ (各アイテムの閲覧が許可されたユーザーを示すアイテム ACL) とユーザーの検索セキュリティ フィルターが照合され、不適切な検索結果がフィルター処理され、除外されます。

ユーザーのセキュリティ フィルターを生成するために、FSA ワーカー コンポーネントはユーザーのクレームに含まれる情報を使用します。クレームベース認証は、クレーム プロバイダーとアプリケーション間に信頼関係を確立する一連の操作です。SharePoint フロントエンドからクレームが提供されるときは、既にユーザーは認証済みであり、FSA はそのクレームに基づいてアクセス制御を決定します。詳細については、「クレーム認証を構成する (SharePoint Server 2010)」および「FAST Search センター サイトを作成する (FAST Search Server 2010 for SharePoint)」を参照してください。

FSA のコンポーネント

FSA を構成する 2 つのコンポーネントは、FSA マネージャー サービス (各 FAST Search Server 2010 for SharePoint システムに 1 つ) と FSA ワーカー (クエリを処理する各サーバーに 1 つ) です。

• FSA マネージャー サービスは、インデキシング コネクタからセキュリティの変更を受け取り、更新内容をシステム内のすべてのクエリ処理ノードに送信します。また、FSA マネージャーは、FSA ワーカーの管理とノード間での変更の同期を行うことで、セキュリティ関連の構成がすべてのノードで一致するようにします。

• FSA ワーカーは、Query and Result Service (クエリ処理ノード) の一部です。FSA ワーカーは、ユーザーの資格情報に基づいてユーザー検索セキュリティ フィルターを生成します。この作業を行うために、FSA ワーカーは、ユーザーのグループ メンバーシップ情報を FSA ユーザー ストアから取得し、プリンシパル エイリアスを使用してユーザー/グループを別のストアにマッピングします。

FAST Search Server 2010 for SharePoint をインストールすると、FSA マネージャー サービスとワーカー サービスが Windows サービスとして管理サーバーに自動的にインストールされます。

• FAST Search for SharePoint Sam Admin

• FAST Search for SharePoint Sam Worker

追加でクエリ処理ノードを構成すると、別の FSA ワーカー サービスが新しいノードで開始されます。