ユーザー選択ウィンドウの概要 (SharePoint Server 2010)
適用先: SharePoint Foundation 2010, SharePoint Server 2010
トピックの最終更新日: 2016-11-30
ユーザー選択ウィンドウ コントロールは、Microsoft SharePoint Server 2010 のサイト、リスト、またはライブラリの所有者がアクセス許可を与える際、ユーザー、グループ、およびクレームを検索して選択するために使用します。この記事では、ユーザー選択ウィンドウ コントロールとその動作、認証プロバイダーやクレーム プロバイダーとの関係、およびユーザー選択ウィンドウの計画方法について説明します。ユーザー選択ウィンドウの構成方法の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Server 2010)」を参照してください。
この記事を読む前に、「認証方法を計画する (SharePoint Server 2010)」および「The Role of Claims (英語)」(https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x411) (英語) で説明している概念を理解しておく必要があります。クレーム ベース認証の詳細については、「SharePoint クレームベース ID」(https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x411) を参照してください。
この記事の内容
用途と利点
アーキテクチャ
ユーザー選択ウィンドウ コントロールについて
ユーザー選択ウィンドウと認証
ユーザー選択ウィンドウとクレーム プロバイダー
ユーザー選択ウィンドウの構成
複数のフォレストやドメインに対するユーザー選択ウィンドウの使用
ユーザー選択ウィンドウに関する考慮事項
用途と利点
ユーザー選択ウィンドウ コントロールは、ユーザー、グループ、およびクレームを選択して、リスト、ライブラリ、サイトなどのアイテムに対するアクセス許可を与えるために使用します。たとえば、特定のユーザーのリストにのみアクセスさせる必要があるドキュメント ライブラリがサイトにあるとします。ライブラリの権限ページを使用してライブラリに対するアクセス許可レベルをユーザーに与えるときに、ユーザー選択ウィンドウ コントロールで、ユーザー名を入力してユーザー アカウントが有効であることを確認するか、名前または一部の文字列を検索して、入力した値に一致するユーザー、グループ、またはクレームのリストを取得します。アクセス許可の詳細については、「サイトの権限を計画する (SharePoint Server 2010)」を参照してください。
アーキテクチャ
ユーザー選択ウィンドウ コントロールは、SharePoint Server 2010 の中心的コンポーネントです。このコントロールは、サイトのアクセス許可を割り当てるユーザー、グループ、およびクレームを検索して選択する基本機能を提供します。実際に使用できるユーザー、グループ、およびクレームは、サイト コレクションが含まれている Web アプリケーションで使用している認証方法によって異なります。認証方法の詳細については、この記事の「ユーザー選択ウィンドウと認証」を参照してください。
ユーザー選択ウィンドウは、Stsadm の setproperty 操作を使用して、ファームに対してゾーン レベルで構成します。このコントロールの設定を構成することにより、ユーザー、グループ、またはクレームをユーザーが検索した際に表示される結果をフィルター処理して制限できます。これらの設定は、特定のサイト コレクション内のすべてのサイトに適用されます。ユーザー選択ウィンドウの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Server 2010)」を参照してください。
注意
ユーザー選択ウィンドウを構成するための Windows PowerShell コマンドはありません。
クレーム ベース認証を使用するように Web アプリケーションが構成されている場合、ユーザー選択ウィンドウは、[ユーザーとグループの選択] ダイアログ ボックスでのユーザー、グループ、およびクレームの解決と表示にクレーム プロバイダーを使用します。[ユーザーとグループの選択] ダイアログ ボックスに表示される情報は、Web アプリケーションに対して構成された認証方法で使用されるクレーム プロバイダーによって異なります。クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウのカスタム クレーム プロバイダー (SharePoint Server 2010)」を参照してください。
ユーザー選択ウィンドウ コントロールについて
ユーザー選択ウィンドウ コントロールには、1 つのテキスト ボックスと、[名前の確認] および [参照] の 2 つのボタンがあります。次の図は、ユーザー選択ウィンドウ コントロールの例を示しています。
.jpg "ユーザー選択エディター")
ユーザー名、グループ名、またはクレーム (電子メール アドレスなど) をユーザーがテキスト ボックスに入力し、[名前の確認] ボタンをクリックすると、入力したとおりの検索アイテムの解決が試みられます。ユーザー選択ウィンドウで検索アイテムを解決できる場合、名前が解決済みの ID に置換されます。入力したとおりの検索アイテムを解決できない場合、ユーザー選択ウィンドウで検索が実行されます。一致するものがないか、複数の一致が見つかった場合、検索アイテムの下に赤い下線が表示され、"完全一致はありませんでした。解決しなかったアイテムをクリックして、他のオプションを選択してください。" というエラー メッセージが表示されます。アイテムをクリックすると、該当する場合は、クエリに一致する使用可能なユーザー、グループ、またはクレームのリストがポップアップ メニューに表示されます。このメニューには、解決されたユーザー、グループ、またはクレームをテキスト ボックスから削除する [削除] ボタンと、[ユーザーとグループの選択] ダイアログ ボックスを開く [その他の名前] ボタンも含まれています。
ユーザーが [参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスが表示されます。ユーザーは、完全または部分的なユーザー名、グループ名、またはクレームをテキスト ボックスに入力し、Enter キーを押します。クエリの結果がダイアログ ボックスに表示されます。ユーザー選択ウィンドウが使用するクレーム プロバイダーによって、クエリ結果と、ダイアログ ボックスへの結果の表示形式が決まります。ユーザーは、解決済みの ID を選択し、[追加] ボタン、[OK] の順にクリックします。選択したユーザー、グループ、またはクレームが、ユーザー選択ウィンドウ コントロールのテキスト ボックスに追加されます。
Windows 認証を使用するように Web アプリケーションが構成されている場合、Stsadm の setproperty 操作を使用してユーザー選択ウィンドウ コントロールの設定を変更すると、[ユーザーとグループの選択] ダイアログ ボックスでユーザーに対して表示される結果を制限できます。たとえば、特定の Active Directory ドメインに所属するか、特定のサイト コレクションのメンバーであるユーザー、グループ、およびクレームのみが返されるように、ユーザー選択ウィンドウを構成できます。ユーザー選択ウィンドウ コントロールの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Server 2010)」を参照してください。
ユーザー選択ウィンドウと認証
ユーザー選択ウィンドウでは、クエリ元のサイト コレクションが含まれている Web アプリケーションで使用される認証方法によって、ユーザーに表示される結果が決まります。クラシック モードの Windows 認証を使用するように Web アプリケーションが構成されている場合、SharePoint Server 2010 は、ユーザー アカウントを Active Directory ドメイン サービス (AD DS) アカウントとして扱います。クレーム ベース認証を使用するように Web アプリケーションが構成されている場合、Windows 認証、フォーム ベース認証 (FBA)、SAML (Security Assertion Markup Language) トークン ベース認証のいずれを使用するかを指定できます。クレーム モードの場合、ユーザー選択ウィンドウは、Web アプリケーションとゾーンで使用される認証方法に対して指定されたクレーム プロバイダーに基づいて、クエリの検索と解決を実行します。以下のセクションでは、クラシック モード認証とクレーム ベース認証の両方に関するユーザー選択ウィンドウの動作を説明します。ゾーンと認証の詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。
クラシック モード認証
Windows クラシック モード認証を使用すると、ユーザー選択ウィンドウ コントロールは Active Directory にクエリを実行して、テキスト ボックスに入力された検索アイテムに一致するユーザー、グループ、またはクレームのリストを取得します。Active Directory のクエリにライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを使用するように、ユーザー選択ウィンドウを構成することもできます。こうすると、カスタム Active Directory フィルターの適用、検索クエリの範囲の制限、および複数のフォレストやドメインにわたる検索が可能になります。
既定では、[参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスに次のフィールドが表示されます。
表示名
役職
部署
電子メール
携帯電話番号
アカウント名
次の図は、Web アプリケーションでクラシック モードの Windows 認証が使用されている場合の [ユーザーとグループの選択] ダイアログ ボックスを示しています。
.jpg "ユーザーとグループの選択 - クラシック モード")
クラシック モード認証の詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。クラシック モード認証を使用する Web アプリケーションの作成方法については、「Windows クラシック認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)」を参照してください。
クレーム ベース認証
クレーム ベース認証を使用すると、ユーザー選択ウィンドウは、Web アプリケーションとゾーンで使用される認証方法に対して指定されたクレーム プロバイダーを使用して、テキスト ボックスに入力された検索アイテムに一致するユーザー、グループ、またはクレームのリストを取得します。クレーム モード認証とゾーンの詳細については、「認証方法を計画する (SharePoint Server 2010)」を参照してください。
既定では、[参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスの左側に、ユーザー選択ウィンドウがクエリを実行するクレーム プロバイダーのリストがツリー表示されます。ダイアログ ボックスの右側は、クエリ結果が表示される領域です。クレーム ベース認証を使用した場合、[詳細ビュー] と [リスト ビュー] のいずれかで結果が表示されます。既定では、[詳細ビュー] が表示されます。
次の図は、Web アプリケーションでクレーム モードの Windows 認証が使用されている場合の [ユーザーとグループの選択] ダイアログ ボックスを示しています。
.jpg "ユーザーとグループの選択 - Windows クレーム モード")
[詳細ビュー] では、クエリ結果が、見つかったソースごとにグループ化されます。たとえば、検索アイテムが SharePoint グループと Active Directory で見つかった場合、結果には、SharePoint グループのリストの後に、Active Directory ユーザーとグループのリストが表示されます。
[リスト ビュー] では、返されるクエリ結果のリストに次のフィールドが含まれます。
表示名
電子メール アドレス
役職
部署
プレゼンス
勤務先の電話番号
勤務地
カスタム クレーム プロバイダーを記述すると、表示される情報や、ユーザー選択ウィンドウ コントロールから返されるクエリ結果を制御できます。クレーム プロバイダーをサーバーに登録するとき、特定の Web アプリケーションやゾーンで使用するように構成することもできます。つまり、1 つのゾーンに対してのみ構成したカスタム クレーム プロバイダーは、そのゾーン内の Web サイトの [ユーザーとグループの選択] ダイアログ ボックスにのみ表示されます。カスタム クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウのカスタム クレーム プロバイダー (SharePoint Server 2010)」を参照してください。
注意
サーバーの全体管理 Web サイトでは、クレーム プロバイダーを構成した Web アプリケーションやゾーンにかかわらず、ファーム内のすべての Web アプリケーションで使用されるすべてのクレーム プロバイダーから、ユーザー、グループ、およびクレームがユーザー選択ウィンドウに返されます。
既定では、SAML トークン ベース認証を使用すると、テキスト ボックスに入力したすべてのクエリが、有効なユーザーやグループであるかどうかにかかわらず自動的に、解決済みであるかのように表示されます。SharePoint Server 2010 ソリューションで SAML トークン ベース認証を使用する場合、独自の検索、名前解決、およびリスト機能を実装するカスタム クレーム プロバイダーの作成を計画してください。カスタム クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウのカスタム クレーム プロバイダー (SharePoint Server 2010)」を参照してください。
クレーム モード認証を使用する Web アプリケーションの作成方法については、「Windows クレーム認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)」を参照してください。Web アプリケーションに対するクレーム ベース認証の構成については、「クレーム認証を構成する (SharePoint Server 2010)」を参照してください。
ユーザー選択ウィンドウとクレーム プロバイダー
クレーム ベース認証が使用されている場合、ユーザー選択ウィンドウにおけるユーザー、グループ、およびクレームの一覧表示、解決、検索、および "わかりやすい" 表示の決定を、クレーム プロバイダーが行います。Web アプリケーションでクレーム ベース認証を使用している場合、既定のクレーム プロバイダーのいずれかを使用するか、組織の業務ニーズに合わせたカスタム クレーム プロバイダーを作成するかを決定する必要があります。
クレーム プロバイダーとユーザー選択ウィンドウ コントロールの関係の詳細については、「ユーザー選択ウィンドウのカスタム クレーム プロバイダー (SharePoint Server 2010)」を参照してください。
ユーザー選択ウィンドウの構成
このセクションの情報は、クラシック モードまたはクレーム モードの Windows 認証を使用する Web アプリケーションにのみ適用されます。
Stsadm setproperty 操作のプロパティ名を使用することにより、ユーザー選択ウィンドウを構成して、クエリ結果をフィルター処理したり、ユーザー選択ウィンドウが結果のソースとして使用するディレクトリを制限したりできます。構成済みのプロパティ設定を確認するには、Stsadm getproperty 操作を使用します。詳細については、「Peoplepicker : Stsadm プロパティ (Office SharePoint Server)」を参照してください。ユーザー選択ウィンドウの設定は、Web アプリケーションの URL ゾーンごとに適用されます。
注意
ユーザー選択ウィンドウを構成するための Windows PowerShell コマンドはありません。
次の表では、ユーザー選択ウィンドウの構成に使用できるプロパティについて説明します。
| プロパティ名 | 説明 |
|---|---|
Peoplepicker-activedirectorysearchtimeout |
クエリが Active Directory に発行されるときのタイムアウトを設定します。既定のタイムアウト値は 30 秒です。詳細については、「Peoplepicker-activedirectorysearchtimeout」を参照してください。 |
Peoplepicker-distributionlistsearchdomains |
配布リストの検索対象を、指定したサブセットのドメインのみに制限します。詳細については、「Peoplepicker-distributionlistsearchdomains」を参照してください。 |
Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode |
現在のポートでフォーム ベース認証が使用されている場合に、Active Directory を検索しないように指定します。詳細については、「Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode」を参照してください。 |
Peoplepicker-onlysearchwithinsitecollection |
[ユーザーとグループの選択] ダイアログ ボックスの使用時に、サイト コレクションのメンバーであるユーザーのみを表示します。詳細については、「Peoplepicker-onlysearchwithinsitecollection」を参照してください。 |
Peoplepicker-peopleeditoronlyresolvewithinsitecollection |
[名前の確認] ボタンをクリックしたときに、現在のサイト コレクションのメンバーであるユーザーのみを表示します。詳細については、「Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm プロパティ (SharePoint Server 2010)」を参照してください。 |
Peoplepicker-searchadcustomfilter |
ファーム管理者が独自の検索クエリを指定できます。詳細については、「Peoplepicker-searchadcustomfilter」を参照してください。 |
Peoplepicker-searchadcustomquery |
管理者が、Active Directory に送信されるカスタム クエリを設定できるようにします。詳細については、「Peoplepicker-searchadcustomquery」を参照してください。 |
Peoplepicker-searchadforests |
一方向の信頼の 2 番目のフォレストまたはドメインからユーザーが検索することを許可します。詳細については、「Peoplepicker-searchadforests」を参照してください。 |
Peoplepicker-serviceaccountdirectorypaths |
ファーム管理者が、Setsiteuseraccountdirectorypath 特定の組織単位 (OU) 設定を含むサイト コレクションを管理できるようにします。詳細については、「Peoplepicker-serviceaccountdirectorypaths」を参照してください。 |
ユーザー選択ウィンドウの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Server 2010)」を参照してください。
複数のフォレストやドメインに対するユーザー選択ウィンドウの使用
既定では、ユーザー選択ウィンドウは、SharePoint Server 2010 がインストールされているドメインからのみ、ユーザー、グループ、およびクレームを返します。複数のフォレストまたはドメインからのクエリ結果をユーザー選択ウィンドウに返すには、複数のフォレストまたはドメイン間に双方向の信頼が存在するか、フォレストまたはドメイン間に一方向の信頼が存在する場合は暗号化されたアカウントとパスワードを使用するようにユーザー選択ウィンドウを構成する必要があります。信頼の詳細については、「信頼を管理する」(https://go.microsoft.com/fwlink/?linkid=207573&clcid=0x411) を参照してください。
一方向の信頼に対応するようにユーザー選択ウィンドウを構成するには、まず Stsadm setapppassword 操作を使用して、信頼されたフォレストまたはドメインで使用するパスワードを設定する必要があります。次に、setproperty 操作の Peoplepicker-searchadforests プロパティを使用して、検索するフォレストまたはドメインを指定します。ユーザー選択ウィンドウの設定は、Web アプリケーションのゾーンごとに構成されるので、ファーム内に複数のフォレストまたはドメインがある場合は、複数のアカウントとパスワードを組み合わせて setproperty 操作に対する 1 つのコマンドにする必要があります。詳細については、「Peoplepicker-searchadforests : Stsadm プロパティ (Office SharePoint Server)」を参照してください。
ユーザー選択ウィンドウに関する考慮事項
ユーザー選択ウィンドウの計画は、主に、どのフォレストやドメインにユーザーがクエリを実行できるようにするかと、クエリ結果にどのユーザー、グループ、およびクレームを表示するかに依存します。ユーザーがクエリを実行できるフォレストやドメインを計画する際は、以下の点を考慮してください。
ユーザーが 1 つのフォレストまたはドメイン全体にクエリを実行する必要があるか。
ユーザーがクエリを実行する各フォレストまたはドメインの DNS 名は何か。
使用しているフォレストまたはドメインに、他のフォレストまたはドメインに対する一方向または双方向の信頼があるか。
一方向の信頼を使用する場合、他のファームまたはドメインにクエリを実行するために使用する資格情報はどれか。
ユーザー選択ウィンドウのクエリ結果に表示するユーザー、グループ、およびクレームの計画は、クレーム プロバイダーから結果を返して表示するためのユーザー選択ウィンドウの構成を決定するのに役立ちます。クエリ結果に表示するユーザー、グループ、およびクレームを計画する際は、以下の点を考慮してください。
クエリ結果に適用する LDAP フィルターがあるか。
クエリ結果を、特定のサイト コレクション内のユーザー、グループ、またはクレームに限定するか。
クエリ結果を、特定の Active Directory 組織単位 (OU) 内のユーザー、グループ、またはクレームに限定するか。
See Also
Concepts
認証方法を計画する (SharePoint Server 2010)
ユーザー選択ウィンドウのカスタム クレーム プロバイダー (SharePoint Server 2010)
ユーザー選択ウィンドウを構成する (SharePoint Server 2010)