Share via

SharePoint 2013 で AD インポートを使用して SAML ユーザーのユーザー プロファイルをマップする

  • Article

原文の記事の投稿日: 2012 年 8 月 8 日 (水曜日)

これは SharePoint 2013 で非常に重要になるトピックで、これによって完全に読み込み済みのユーザー プロファイル アプリケーションが実現します。SharePoint 2013 では、ユーザー プロファイル システムが OAuth インフラストラクチャで重要な役割を果たします。このインフラストラクチャは、他のアプリケーションがユーザーの代理として動作できるようにして、特定の信頼されたアプリケーションのシナリオを成功に導くものです。ただし、ユーザーが実行できる操作をアプリケーションで認識できるようにするには、そのユーザーの属性の一覧をキャプチャして、適切なセキュリティによるトリミングのルールを適用できるようにする必要があります。これが大まかな概要で、以降ではユーザー プロファイル、同期、およびさまざまな認証の選択への影響について詳しく説明します。

今のところ、上記のことが非常に重要で実行の必要があるということを知っているだけで十分です。この重要性と、SharePoint 2010 からこのトピックについて Bryan Porter が公開していた画期的な投稿がブログの移転のため消えてしまったことを受けて、私はこのトピックをもう一度取り上げることにしました。幸い、このトピックは、この投稿で取り上げる Active Directory からのインポートに慣れている方にとってはそれほど複雑な内容ではありません。 

最初に行う必要があるのは、SPTrustedIdentityTokenIssuer の作成です。これは、プロファイルのインポートについて構成する前に行う必要があります。作成したら、ブラウザーを開いて UPA 管理ページに移動します。[同期接続の構成] リンクをクリックし、[新しい接続を作成します。] リンクをクリックします。AD への他のプロファイル接続と比べて異なる点は、[認証プロバイダーの種類] (Authentication Provider Type) ボックスだけです。そのボックスで、[信頼できるクレーム プロバイダー認証] (Trusted Claims Provider Authentication) を選択します。このとき、その下にある [認証プロバイダー インスタンス] (Authentication Provider Instance) ボックスに、作成したすべての SPTrustedIdentityTokenProviders の一覧が読み込まれます。このプロファイル接続で使用するものを選択し、他のすべての接続プロパティを AD からのインポートのために通常行うとおりに入力して、保存します。私の画面のスクリーンショットを次に示します。

 

完了したら、次はプロパティ マッピングを更新して、ユーザーが ID クレームとして使用する値がインポート対象のどのフィールドに含まれているかが SharePoint で認識されるようにする必要があります。そのためには、UPA 管理ページに戻って [ユーザー プロパティの管理] リンクをクリックします。下にスクロールし、[クレーム ユーザー ID] プロパティを見つけて編集します。[同期のためのプロパティ マッピング] (Property Mapping for Synchronization) に既に値がある場合は、削除します。AD からインポートするプロパティを ID クレーム値としてマップする新しい値を追加します。私の場合は、電子メール アドレスを ID クレームとして使用しており、AD ではユーザーの電子メール アドレスは "mail" という AD 属性に格納されています。したがって、前に作成したプロファイル接続を選択し、[属性] (Attribute) 編集ボックスに「mail」と入力して、[追加] (Add) をクリックします。次のようになります。

完了したら、次のようになります。

[クレーム プロバイダー ID] (Claim Provider Identifier) と [クレーム プロバイダーの種類] (Claim Provider Type) は、プロファイル インポート接続の構成時に自動的に設定されます。

以上です。これでプロファイルのインポートを実行でき、その ID クレーム値がプロファイル システムのアカウント名プロパティに自動的にマップされるようになります。プロファイルのインポートの実行後は、次の例のようになります。アカウント名にドメイン\ユーザーが使用されておらず、アカウント名の電子メール アドレスを含む SAML クレーム形式が表示されている点に注目してください。

これはローカライズされたブログ投稿です。原文の記事は、「Mapping User Profiles for SAML Users with an AD Import in SharePoint 2013」をご覧ください。