シングル サインオンを計画する
この記事の内容 :
シングル サインオンについて
一般的な SSO シナリオ
Office SharePoint Server の SSO アーキテクチャ
ファームレベルの SSO 設定を計画する
企業アプリケーション定義の設定を計画する
SSO の操作を計画する
ワークシート
この記事は、Microsoft Office SharePoint Server 2007 でシングル サインオン (SSO) を計画するのに使用します。ここでは、安全な環境で SSO を構成する方法 (SSO を使用してバックエンド データ システムに接続する方法を含む) について説明します。
シングル サインオンについて
Office SharePoint Server 2007 の SSO 機能では、ユーザー資格情報がバックエンド データ システムにマップされます。SSO を使用すると、サーバー コンピュータからのデータおよび Office SharePoint Server 2007 の外部のサービスにアクセスすることができます。Office SharePoint Server 2007 の Web パーツ内から、このデータを表示、作成、および変更することができます。SSO 機能を使用してできることを以下に示します。
ユーザー資格情報を安全に管理します。
外部データ ソースで構成されているユーザー アクセス許可レベルを適用します。
ユーザーが Office SharePoint Server 2007 内で外部データ ソースからのデータを表示するときに、資格情報の再入力を求めません。
Office SharePoint Server 2007 は、プラットフォームおよび認証の要件にかかわらず、複数の外部データ システムに接続できます。
SSO ではユーザー アカウントに対して Windows 資格情報を使用する必要があります。ユーザー アカウントの認証に Web SSO が使用されている環境では、SSO アプリケーション プログラミング インターフェイス (API) を起動する現在のスレッドに Windows ID が関連付けられている場合にのみ、SSO を使用できます。
一般的な SSO シナリオ
SSO は主に、ビジネス インテリジェンス シナリオで使用されます。Office SharePoint Server 2007 では、以下を含む多くの機能が SSO に依存しています。
ビジネス データ カタログ
Excel Services
InfoPath Forms Services
ビジネス データ Web パーツ
KPI Web パーツ
Microsoft Office SharePoint Designer データ フォーム Web パーツ
ビジネス データ検索
リスト内のビジネス データ
また、外部データ ソースに接続するカスタム Web パーツ (Windows 以外のオペレーシング システムに基づくものを含む) を導入することができます。たとえば、以下の企業アプリケーションに接続できます。
SAP Business Information Warehouse
Siebel eBusiness Applications
Microsoft BizTalk Server
ビジネス インテリジェンス シナリオの詳細については、「ビジネス インテリジェンスを計画する」を参照してください。
Office SharePoint Server の SSO アーキテクチャ
ここでは、Office SharePoint Server 2007 で SSO を実装する方法について説明します。
Microsoft シングル サインオン サービス
Office SharePoint Server 2007 の SSO 機能では、Microsoft シングル サインオン サービス (SSOSrv) を使用します。以下の図に、Office SharePoint Server 2007 サーバー ファームでシングル サインオン サービスを実装する方法を示します。
.gif "サーバー ファーム内のシングル サインオン サービス")
SSO 暗号化キー サーバー シングル サインオン サービスが有効な 1 つ目のサーバー コンピュータが、暗号化キー サーバーになります。暗号化キー サーバーは、暗号化キーを生成して保管します。暗号化キーは、SSO データベースに格納されている資格情報の暗号化と解読に使用されます。暗号化キー サーバーは、インデックス サーバーなどのアプリケーション サーバー コンピュータである必要があります。
シングル サインオン サービス このサービスは、サーバー ファーム内のすべての Web サーバー コンピュータにインストールされている必要があります。また、このサービスは、Excel Services アプリケーション サーバー ロールをホストする任意のコンピュータにもインストールされている必要があります。ビジネス データ カタログの検索を使用する場合は、このサービスがインデックス サーバーにもインストールされている必要があります。
SSO データベース サーバーの全体管理サイトで SSO サーバーを構成すると、Office SharePoint Server 2007 によって、構成データベースをホストするデータベース サーバー コンピュータ上に SSO データベースが作成されます。Microsoft SQL Server がインストールされている場合は、SSO データベースは SQL Server データベースです。SQL Server がインストールされていない場合は、シングル サインオン サービスで SQL Server 2005 Express Edition が使用されます。SSO データベースには暗号化された資格情報が保存されます。
注意
以前のバージョンの SharePoint Portal Server からアップグレードする場合は、SSO 環境の再作成 (SSO データベースの新規作成を含む) を行う必要があります。SSO を Office SharePoint Server 2007 に移行またはアップグレードすることはできません。
企業アプリケーション定義
SSO 環境では、バックエンドの外部データ ソースおよびシステムは、企業アプリケーションと呼ばれます。SSO 環境を構成した後で、企業アプリケーション定義を作成することができます。Office SharePoint Server 2007 が接続する企業アプリケーションごとに、管理者によって構成された対応する企業アプリケーション定義が存在します。または、物理的に同じ企業アプリケーションで複数の企業アプリケーション定義を構成して、アクセス権を持つ異なるグループをセキュリティ保護することができます。
企業アプリケーション定義では、以下が定義されます。
企業アプリケーションの ID (表示名、プログラム上の名前、および人事担当者の電子メール アドレス)。
企業アプリケーションにマップされるユーザー アカウントの種類。これは、企業アプリケーション (場合によっては Web パーツ) で、個々のアカウントとグループ アカウントのどちらに基づくアクセス許可を適用するかによって異なります。
ユーザーから収集される資格情報の種類 (ユーザー名、パスワード、またはスマート カードなどのその他の資格情報)。
企業アプリケーションに接続するために Office SharePoint Server 2007 の Web パーツによって使用されるアカウント。
シングル サインオン機能により、複数の Web パーツから異なる企業アプリケーションにアクセスするシナリオが可能になります。異なる企業アプリケーションで、それぞれ種類の異なる認証を使用できます。企業アプリケーションは、Windows 以外のオペレーティング システムを基にすることもできます。
SSO チケット
ユーザーがさまざまなシステムおよびアプリケーションと通信する企業環境では、複数の処理、製品、およびコンピュータからのユーザー コンテキストが保持されない場合があります。このユーザー コンテキストは、だれが元の要求を開始したのかを確認するために必要なので、シングル サインオン機能の提供が不可欠です。複数のサーバーが暗号化サーバーから企業アプリケーションに資格情報を渡すシナリオでは、シングル サインオン サービスによって SSO チケット (Kerberos チケットではありません) が提供されます。これらのサーバーではこのチケットを使用して、元の要求を行ったユーザーに対応する資格情報を取得します。
たとえば、給与支払い環境が、BizTalk Server を介して SAP システム内のデータにアクセスするように構成されている場合があります。Web パーツが SAP システムに接続する場合、資格情報が BizTalk Server コンピュータを経由して転送されます。SSO 環境では、Web パーツは、SAP システムに接続する BizTalk Server コンピュータ上のサービスに SSO チケットを送信します。ユーザーが企業アプリケーション定義で指定されているアカウントまたはアカウント グループに属している場合、サービスは SAP システムに対して資格情報の SSO チケットを引き換えます。BizTalk Server コンピュータ上のサービスが SSO チケットを引き換えるには、サービスによって使用されるアカウントが SSO Administrators グループに追加されている必要があります。
シングル サインオン サービスでは、Windows ユーザーがチケットを要求した場合や、アプリケーションがユーザーに代わってチケットを要求した場合にチケットが発行されます。シングル サインオン サービスでは、要求を行うユーザーのチケットのみを発行できます (他のユーザーのチケットは要求できません)。チケットには、現在のユーザーの暗号化されたドメインおよびユーザー名と、チケットの有効期限が含まれています。
企業アプリケーションが元のリクエスト者の ID を確認すると、アプリケーションはチケットを引き換えて、要求を開始したユーザーの資格情報を取得します。チケットは、既定では 2 分で期限切れになります。SSO 管理者はチケットの有効期限を変更することができます。チケットのタイムアウト値は、チケットが発行されてから引き換えられるまでの十分な長さである必要があります。
SSO の管理
SSO の管理には、以下の 2 種類の管理者を必要とします。
SSO 管理者 この管理者は、SSO の設定と構成、SSO アカウントの管理、暗号化キーのバックアップ、および暗号化キーの作成と変更を行います。セキュリティ上の理由から、SSO を設定、構成、および管理するには、SSO 管理者は暗号化キー サーバーにローカルにログオンする必要があります。SSO 管理者は、リモート サーバー コンピュータから SSO サーバーの設定を管理することはできません。
企業アプリケーション定義管理者 この管理者は、企業アプリケーション定義を作成および管理し、企業アプリケーションへのアクセスに使用されるアカウントおよび資格情報を更新します。企業アプリケーション定義管理者は、企業アプリケーション定義をリモートで管理することができます。
SSO 管理者の特定のアカウントおよびアクセス許可については、後述します。
ネットワークの依存関係
Office SharePoint Server 2007 サーバー ファーム内では、シングル サインオン サービスは、暗号化キー サーバーとデータベース サーバー コンピュータの間の通信を NetBIOS 名に依存しています。データベース サーバー コンピュータで NetBIOS 名を解決できない場合、SSO の構成は失敗します。
ファームレベルの SSO 設定を計画する
ここでは、ファームレベルの設定における計画の選択肢について説明します。これらの計画の選択肢には、以下が含まれます。
SSO 暗号化キー サーバー ロールをホストするサーバー コンピュータを決定します。
SSO アカウントを設定し、これらのアカウントが適切なアクセス許可で作成されていることを確認します。
サーバーの全体管理の [シングル サインオンのサーバー設定の管理] ページで構成されたファームレベルの設定について、決定事項を記録します。
|
|---|
|
SSO 暗号化キー サーバー
ファーム内のどのコンピュータで、SSO 暗号化キー サーバー ロールをホストするか決定します。以下の理由から、インデックス サーバーなどのアプリケーション サーバー コンピュータを選択して構成することが推奨されます。
シングル サインオン サービスを実行するすべてのサーバー コンピュータは、暗号化キー サーバーを使用してネットワーク上で通信できる必要があります。複数の Web サーバー コンピュータが含まれるファームを使用する場合は、一部の負荷分散テクノロジにより、Web サーバーが互いに通信できないことがあります。
アプリケーション サーバー コンピュータは、エンド ユーザーから直接アクセスされるわけではなく、通常はセキュリティの追加のレイヤで保護されています。たとえば、サーバー ファーム内でのサーバー間の通信をセキュリティ保護するために、通常は IPsec または SSL などのセキュリティ プロトコルが実装されています。また、一部のファーム トポロジでは、Web サーバー コンピュータとアプリケーション サーバー コンピュータの間に、追加のルーターまたはファイアウォールが実装されます。
シングル サインオン サービスは、Excel Services ロールをホストする任意のアプリケーション サーバー コンピュータにインストールされている必要があります。ビジネス データ カタログの検索を使用する場合は、シングル サインオン サービスがインデックス サーバーにもインストールされている必要があります。これらの要件により、これらのサーバー コンピュータはそれぞれ、暗号化キー サーバー ロールに適した選択肢だと言えます。
SSO 管理者が暗号化キー サーバーにローカルにログオンできることを確認してください。また、以下を確認して、Internet Explorer のセキュリティ設定で SSO の管理が禁止されていないことを確認してください。
既定のオプションである [イントラネット ゾーンでのみ自動的にログオンする] が選択されていること ([ツール] メニューの [インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。次に、[レベルのカスタマイズ] をクリックし、[セキュリティの設定] ダイアログ ボックスの [設定] の一覧で [ユーザー認証] を確認します)。
[ユーザー名とパスワードを入力してログオンする] が選択されていないこと。
SSO アカウント
SSO システムを設定、実行、および管理するには、以下の 4 つの異なるアカウントが必要です。
SSO 構成アカウント
SSO 管理者アカウント
SSO サービス アカウント
企業アプリケーション管理者アカウント
評価環境では、これらの各アカウントに対してサーバー ファーム アカウントを使用できます。ただし、安全な環境では、どのアカウントを使用し、それらのアカウントをどのように構成するか、検討する必要があります。ここでは、アカウントの要件について詳しく説明し、安全な環境でのこれらのアカウント構成に関する推奨事項を示します。
SSO システムを設定、実行、および管理するのに必要な 4 つのアカウントにより、ロールが分けられ、アクセス許可が分離されます。以下の表に、アカウントの一覧を示し、これらのアカウントを使用して実行される操作について説明します。
| アカウント | 説明 |
|---|---|
SSO 構成アカウント |
|
SSO 管理者アカウント |
|
SSO サービス アカウント |
Windows でシングル サインオン サービスを実行します。 |
企業アプリケーション管理者アカウント |
Office SharePoint Server 2007 内で企業アプリケーション定義を作成、変更、または削除します。 |
| アカウント | 要件 |
|---|---|
SSO 構成アカウント |
|
SSO 管理者アカウント |
|
SSO サービス アカウント |
|
企業アプリケーション管理者アカウント |
|
.gif "Note")
メモ
安全な環境では、4 つの異なるアカウントを構成し、可能な場合はグループ アカウントを使用することをお勧めします。SSO 構成アカウント、SSO 管理者アカウント、および SSO サービス アカウントにユーザー アカウントを使用する場合は、同じユーザー アカウントを使用する必要があります。以下の表に、これらのアカウントの構成に関する推奨事項を示します。
| アカウント | 評価環境 | 安全な環境 |
|---|---|---|
SSO 構成アカウント |
サーバー ファーム アカウント |
ファームの管理者グループのメンバである管理者の、個人のユーザー アカウントを使用します。 |
SSO 管理者アカウント |
サーバー ファーム アカウント |
専用のドメイン グループ アカウントを作成します。このグループに以下を追加します。
|
SSO サービス アカウント |
サーバー ファーム アカウント |
|
企業アプリケーション管理者アカウント |
サーバー ファーム アカウント |
専用のドメイン グループ アカウントを作成します。企業アプリケーション定義を作成および管理できるこのグループ ユーザーに追加します。 |
以下の図に、これらのアカウントについて推奨される安全な構成を示します。
.gif "推奨される SSO アカウント構成")
データベース設定
データベース設定は SSO データベースを作成するのに使用されます。これには以下が含まれます。
[サーバー名] これはデータベース サーバー コンピュータの NetBIOS 名です。完全修飾ドメイン名 (FQDN) は入力しないでください。
[データベース名] これは SSO データベースの名前です。
前もってデータベースを作成するのでない限り、既定の設定をそのまま使用することをお勧めします。
タイムアウト設定
タイムアウト設定には以下が含まれます。
[チケットのタイムアウト時間 (分単位)] SSO チケットの有効期限が切れるまでの時間 (分単位) を設定するのに使用します。チケットのタイムアウト値が、チケットが発行されてから企業アプリケーションによって引き換えられるまでの十分な長さであることを確認してください。チケットを引き換えるのに十分な時間である、2 分に設定することをお勧めします。チケットが 2 分以内に引き換えられないと、ネットワークまたはその他の問題により、コンピュータ間の接続が切断される場合があります。
[次より古い査定ログの削除] 記録を削除するまで査定ログに保持する日数を設定するのに使用します。
まずは既定のタイムアウト設定を使用することをお勧めします。
企業アプリケーション定義の設定を計画する
ここでは、企業アプリケーション定義の計画の選択肢について説明します。
| ワークシートでの作業 |
|---|
Microsoft® Office SharePoint® Server 2007 シングル サインオン企業アプリケーション定義ワークシート (https://office.microsoft.com/search/redir.aspx?AssetID=AM101587911041) を使用して、計画の選択肢を記録します。追加を計画する企業アプリケーション定義ごとに、このワークシートに記入します。 |
企業アプリケーション定義を作成した後は、以下のプロパティを変更することはできません。
企業アプリケーション定義の名前
アカウントの種類 (グループまたは個人、Windows 認証グループまたは個人、あるいは制限付きアカウントを使用するグループ)
ログオン アカウント情報フィールド
アプリケーションおよび連絡先情報
アプリケーションおよび連絡先情報には、以下の設定が含まれます。
[表示名] 企業アプリケーションのフレンドリ名です。
[アプリケーション名] 企業アプリケーションのプログラム上の名前です。これは、企業アプリケーション定義を呼び出すために Web パーツで使用される名前です。
[人事担当者の電子メール アドレス] 企業アプリケーションについてユーザーが問い合わせることができる電子メール アドレスです。
アカウントの種類
アカウントの種類とは、ユーザー資格情報を企業アプリケーションにマップするのに使用されるアカウントの種類を指します。個人のアカウントとグループ アカウントのどちらかです。各ユーザーが企業アプリケーション内にアカウントを持っている場合は、[個人] を選択します。企業アプリケーションですべてのユーザーに対して 1 つのアカウントを使用する場合は、[グループ] を選択します。
セキュリティ認証は、企業アプリケーションによって実行したり、企業アプリケーションに接続する Web パーツによって実行したりできる点に注意してください。セキュリティ認証の設定方法は、企業アプリケーションで使用されるアカウントの種類に影響します。たとえば、給与控えアプリケーション内の個人データへのアクセスの認証は、以下の 2 つの方法のどちらかで設定できます。
ユーザーは、各自の給与控えにアクセスするために、給与控えシステム内に各自のアカウントを持っています。この場合は、企業アプリケーションによって個人のアカウントが使用されます。
給与控えデータへのアクセスに使用される Web パーツによって、セキュリティ認証が行われます。この場合は、Web パーツによってユーザー資格情報に基づいてユーザー認証が行われ、給与控えシステムではすべてのユーザーに対してグループ アカウントが使用されます。その結果、このシナリオの企業アプリケーション定義では、グループ アカウントが使用されます。
また、グループ アカウントが使用される場合は、制限付きアカウントを使用するように企業アプリケーション定義を構成することができます。制限付きアカウントを選択すると、資格情報は通常の資格情報とは別に保存され、制限付きアカウントへのアクセスには異なる API が使用されます。制限付きアカウントは、ビジネス データ カタログなどの中継アプリケーションによって、資格情報に基づいて取得されるデータに対してさらにセキュリティ トリミングが行われるシナリオで使用されます。
制限付き資格情報を使用するアプリケーションは、制限付き資格情報を使用して返されたデータに基づいて、さらに認証およびデータ トリミングを行う必要があります。ファーム管理者は、制限付きアカウントを使用するすべてのアプリケーションで、この認証およびデータ トリミングが一貫して実行されることを確認する必要があります。そうしなければ、この追加の認証およびトリミングを行わないアプリケーションが制限付きアカウントにアクセスできる場合、アプリケーションはトリミングされるデータへのアクセスに制限付き資格情報を使用して、セキュリティに危害を与えることがあります。
以下の場合にのみ、[制限付きアカウントを使用するグループ] を選択します。
アカウントがグループ アカウントである場合。
企業アプリケーションへの接続にビジネス データ カタログが使用される場合。
企業アプリケーションに接続する中継アプリケーションが、制限付きアカウントの使用条件に準拠している場合。
データの機密性が高い場合。
認証の種類
認証の種類とは、Office SharePoint Server 2007 サーバーが企業アプリケーションに接続する方法を指します。Windows 認証と認証なしのどちらかです。この認証は、Office SharePoint Server 2007 を実行しているサーバーが企業アプリケーションにログオンするのに使用する資格情報にのみ適用されます。ユーザーの資格情報の認証は影響を受けません。
企業アプリケーションが Windows を実行しているコンピュータでホストされている場合は、[Windows 認証] を選択します。企業アプリケーションが Windows を実行していないコンピュータでホストされている場合は、この設定を空欄のままにします。[Windows 認証] を使用しない場合、ログオン資格情報は暗号化されません。[Windows 認証] を選択し、企業アプリケーション システムで Windows 認証がサポートされていない場合、SSO 接続は失敗します。
ユーザーのログオン アカウント情報
ログオン アカウント情報に対して表示されるフィールドによって、ログオンに必要な情報が決まります。既定では、ユーザー名およびパスワードのみが指定されます。含める必要がある情報を、最大 5 つまで指定することができます。たとえば、SAP サーバー名や SAP クライアント番号を求めることができます。以下の場合に、ユーザーに対して資格情報の入力を求めるプロンプトが表示されます。
認証が失敗したか、資格情報が見つからない場合。
ユーザーに対して資格情報の入力を求めるように Web パーツがプログラミングされている場合。
ログオン アカウント情報は、個人のアカウントを使用する企業アプリケーション定義で使用されます。グループ アカウントを使用する企業アプリケーション定義の場合、ログオン アカウント情報の入力を求めることはお勧めしません。
ここで構成するログオン アカウント情報は、企業アプリケーションのログオン要件と一致している必要があります。また、ユーザーによる資格情報の入力時に、システムでこれらの資格情報をマスクする必要があるかどうかを決定する必要があります。
通常は、ユーザー名およびパスワードのみが必須です。一部の高度なセキュリティ保護された環境では、追加のユーザー識別が必要な場合があります。また、一部のシステムでは、アプリケーションを識別するために、ユーザーによる追加情報の入力が必要な場合があります。たとえば、Oracle にアクセスするには、ユーザーは以下の表に示す情報を入力する必要があります。
| フィールド | 入力する情報 |
|---|---|
フィールド 1 |
Oracle ユーザー名 |
フィールド 2 |
Oracle ユーザー パスワード ([マスク] オプションで [はい] を選択) |
フィールド 3 |
Oracle データベース名 |
SAP アプリケーションにアクセスするには、ユーザーは以下の表に示す情報を入力する必要があります。
| フィールド | 入力する情報 |
|---|---|
フィールド 1 |
SAP ユーザー名 |
フィールド 2 |
SAP パスワード ([マスク] オプションで [はい] を選択) |
フィールド 3 |
SAP システム番号 |
フィールド 4 |
SAP クライアント番号 |
フィールド 5 |
言語 |
企業アプリケーションのアカウント情報
企業アプリケーションへの接続にグループ アカウントを使用している場合は、アカウント資格情報を入力する必要があります。企業アプリケーション定義を追加した後で、SSO 管理者または企業アプリケーション管理者アカウントのメンバは、サーバーの全体管理サイトで [企業アプリケーション定義のアカウント情報の管理] をクリックして、外部サーバー コンピュータへの接続に使用するアカウント名およびパスワードを指定します。
| ワークシートでの作業 |
|---|
Microsoft® Office SharePoint® Server 2007 シングル サインオン企業アプリケーション定義ワークシート (https://office.microsoft.com/search/redir.aspx?AssetID=AM101587911041) を使用して、グループ アカウントの名前を記録します。 |
サーバーの全体管理サイトでアカウント情報を入力する管理者は、グループ アカウントのパスワードも知っている必要があります。
企業アプリケーションへの接続に個人のアカウントを使用している場合は、サーバーの全体管理サイトでアカウント情報を入力する必要はありません。
SSO の操作を計画する
暗号化キーを管理する
暗号化キーは、SSO で使用する資格情報の暗号化処理で使用されます。暗号化キーにより、SSO データベースに格納されている暗号化された資格情報を解読できます。サーバーの全体管理の [シングル サインオンのサーバー設定の管理] ページで、初めて SSO と企業アプリケーション定義を構成したときに、暗号化キーが自動的に作成されます。暗号化キーの管理には、暗号化キーの監査と暗号化キーの再生成が含まれます。
暗号化キーを監査する
暗号化キーに加えられた変更の監査を有効にすることができます。キーが読み取られたり、書き込まれたりすると、セキュリティ ログにセキュリティ イベントが記録されます。セキュリティ ログは、イベント ビューアを使用して表示できます。ログ記録の有効化には、以下が含まれます。
SSO レジストリ キーの変更。
グループ ポリシー オブジェクト エディタでのローカル コンピュータ ポリシーの作成。
暗号化キーを再生成する
暗号化キーはセキュリティ資格情報を保護するものなので、定期的に (90 日おきなど) キーを再生成する必要があります。アカウント資格情報が漏洩した場合にも、暗号化キーを再生成する必要があります。
再暗号化処理は長時間実行処理です。暗号化キーの変更は、ピークオフ時に行うことをお勧めします。暗号化キーを再暗号化すると、SSO 環境は以下の影響を受けます。
再暗号化処理中に、資格情報の更新、アプリケーション定義の変更などの書き込み処理を実行することはできません。
資格情報の取得などの読み取り処理は、引き続き正常に実行されます。
暗号化キーを再暗号化するには、暗号化キー サーバーにローカルにログオンしている必要があります。また、SSO 管理者アカウントのメンバである必要があります。
再暗号化処理中に、暗号化キー サーバーが再起動したり、暗号化キー サーバー上のシングル サインオン サービスが停止したりした場合には、イベント ログにエラーが記録されているかどうかを調べる必要があります。イベント ログにエラーが記録されている場合は、再暗号化処理を再開する必要があります。再暗号化処理が割り込まれた場合は、再実行する必要があります。再暗号化処理が阻止されると、元の状態に戻ります。
暗号化キーを作成するときに、既存の資格情報を再暗号化できます。新しい暗号化キーで既存の資格情報を再暗号化しない場合、ユーザーは個々の企業アプリケーション定義に対して各自の資格情報を再入力する必要があり、グループ企業アプリケーション定義の管理者はグループの資格情報を再入力する必要があります。
シングル サインオン サービス資格情報ストアを再暗号化すると、Microsoft Windows Server 2003 のアプリケーション イベント ログにイベントが記録されます。再暗号化が開始されたら、アプリケーション イベント ログを監視して、資格情報ストアが再暗号化されていることを確認できます。再暗号化が開始されると、イベント ID 1032 がアプリケーション イベント ログに記録されます。再暗号化が終了すると、イベント ID 1033 がアプリケーション イベント ログに記録されます。再暗号化中にエラーが発生すると、ログにイベントが記録されます。
暗号化キーの管理に関する計画の選択肢を決定する場合は、以下を考慮してください。
暗号化キーを再暗号化する間隔。
既存の資格情報を新しい暗号化キーで同時に再暗号化するかどうか。
暗号化キーを再暗号化するその他の状況。
| ワークシートでの作業 |
|---|
Microsoft® Office SharePoint® Server 2007 シングル サインオン サーバー ファーム設定ワークシート (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x411) を使用して、計画の選択肢を記録します。 |
SSO 環境のバックアップ
SSO 環境のバックアップには、以下の 2 つの異なるエンティティのバックアップが含まれます。
暗号化キー
SSO データベース
SSO の初期設定後に暗号化キーをバックアップし、再生成するたびに再びキーをバックアップする必要があります。暗号化キーの再生性に間隔が関連付けられているのでない限り、暗号化キーを定期的にバックアップする必要はありません。暗号化キーをリモートでバックアップすることはできません。暗号化キーをバックアップするには、SSO 管理者アカウントのメンバであり、暗号化キー サーバーにローカルにログオンしている必要があります。暗号化キーは、リムーバブル記憶メディアにのみバックアップできます。ローカル ハード ディスクにバックアップすることはできません。暗号化キーは、サーバーの全体管理の [暗号化キーの管理] ページからバックアップできます。
SSO データベースは、最初に作成した後にバックアップし、資格情報が再暗号化されるたびに再びバックアップする必要があります。また、SSO データベース バックアップに、サーバー ファームの定期的にスケジュールされたデータベース バックアップを含めることができます。定期的にスケジュールされたバックアップには、新しい企業アプリケーション定義または更新された資格情報など、SSO データベースに対するその他の変更内容が含まれます。
暗号化キーのバックアップ メディアは、SSO データベースのバックアップ メディアと同じ場所に保管しないでください。ユーザーがデータベースとキーの両方のコピーを入手すると、データベースに保存されている資格情報が漏洩する可能性があります。できれば、暗号化キーのバックアップは安全な場所に保管してください。
SSO 環境のバックアップに関する計画の選択肢を決定する際には、以下の点を考慮してください。
暗号化キーをバックアップする間隔。
SSO データベースをバックアップする計画。SSO データベースを通常のファームのバックアップに含めるのが、最も効果的な計画です。
| ワークシートでの作業 |
|---|
Microsoft® Office SharePoint® Server 2007 シングル サインオン サーバー ファーム設定ワークシート (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x411) を使用して、計画の選択肢を記録します。 |
SSO 環境の復元
SSO 環境の復元が必要なさまざまなシナリオがあります。暗号化キーのみまたは SSO データベースのみを復元する必要がある場合もあります。以下の表に、さまざまな復元シナリオと復元対象について説明します。
| シナリオ | 復元対象 |
|---|---|
暗号化キー サーバー ロールを別のサーバー コンピュータに移動する。 |
暗号化キー |
SSO サービス アカウントを変更する。 |
暗号化キー |
障害が発生したデータベース サーバー コンピュータを復元する。 |
SSO データベース |
Office SharePoint Server 2007 ファームをサーバー コンピュータの別のセットに移行する。 |
暗号化キーおよび SSO データベース |
ファーム全体の障害から回復する。 |
暗号化キーおよび SSO データベース |
ここでは最後に、SSO 環境の復元に関連する特定のタスクについて、シナリオごとに詳しく説明します。
暗号化キー サーバー ロールを別のサーバー コンピュータに移動するには、以下の手順を実行します。
暗号化キー サーバー ロールを別のサーバー コンピュータに移動する
暗号化キーをバックアップします。
ファーム内のすべてのコンピュータでシングル サインオン サービスを無効にします。
新しい暗号化キー サーバーにログオンします。
シングル サインオン サービスを開始します。
サーバーの全体管理サイトで SSO のファームレベル設定を構成します。既存の SSO データベースを指定します。
暗号化キーを復元します。
サーバー ファーム内のすべての Web サーバー コンピュータでシングル サインオン サービスを開始します。
SSO サービス アカウントを変更する
SSO サービス アカウントのセキュリティ ID (SID) は、SSO 資格情報を暗号化するための式の一部として使用されます。そのため、SSO サービス アカウントを変更するには、SSO 環境を再構成する必要があります。SSO サービス アカウントを変更するには、以下の手順を実行します。
SSO サービス アカウントを変更する
暗号化キーをバックアップします。
シングル サインオン サービスを実行しているファーム内のすべてのサーバー コンピュータで、新しいサービス アカウントを使用してサービスを再構成します。
サーバーの全体管理サイトで、新しい SSO サービス アカウントを使用して、SSO のファームレベルの設定を再構成します。既存の SSO データベースを指定します。
暗号化キーを復元します。
SSO データベース内の資格情報を再暗号化します。復元された暗号化キーは、資格情報の再暗号化に使用されます。
SSO データベース サーバーのみを復元する
SSO データベースをホストするサーバー コンピュータで障害が発生した場合は、SSO データベースのみを復元する必要があります。データベースを復元するには、Office SharePoint Server 2007 環境でその他のデータベースを復元するのに使用するのと同じ方法を使用します。SSO データベースを別のサーバー コンピュータに復元する場合は、新しいデータベース サーバー コンピュータの名前を使用して、SSO のファームレベルの設定を再構成します。
SSO 環境全体を復元する
暗号化キーと SSO データベースの両方の復元が必要な、さまざまなシナリオがあります。SSO 環境全体を復元するには、以下の手順を実行します。
SSO 環境全体を復元する
目的のデータベース サーバー コンピュータで SSO データベースを復元します。
新しい SSO 環境を構成する場合と同様に、SSO を設定および構成します。ただし、この場合は、既存の SSO データベースのサーバー名およびデータベース名を入力します。
暗号化キーを新しい SSO 環境に復元します。
SSO のセキュリティ危害への対応
セキュリティ危害には、バックアップ メディアの紛失やパスワードの漏洩のほか、SSO データベースに保存されている資格情報または企業アプリケーションに保存されているデータに危害を与える可能性があるその他のイベントが含まれます。SSO 環境に影響を与える可能性があるセキュリティ危害が見つかった場合は、以下の手順を実行してその危害に対応します。
セキュリティ危害に対応する
暗号化キーを再生成します。
SSO データベース内の資格情報を再暗号化します (新しい暗号化キーを使用)。
企業アプリケーションのパスワードが漏洩した可能性がある場合は、パスワードを変更します。
ユーザーのパスワードが漏洩した可能性がある場合は、ユーザーに各自のパスワードを変更するように求めます。
セキュリティ危害が深刻なものである可能性がある場合は、シングル サインオン サービスを停止して、SSO データベースに保存されている資格情報へのアクセスを即座に停止することができます。シングル サインオン サービスを停止する必要がある場合は、サービスを既存の Office SharePoint Server 2007 サーバー ファームに安全に復元することができます。それには、以下の手順を実行します。
シングル サインオン サービスを既存のサーバー ファームに復元する
SSO 環境を分離されたサーバー コンピュータに復元します。
暗号化キーを再生成します。
SSO データベース内の資格情報を再暗号化します。
SSO 環境をバックアップします。
SSO 環境を既存の Office SharePoint Server 2007 サーバー ファームに復元します。
ワークシート
シングル サインオンを計画するには、以下のワークシートを使用します。
Microsoft® Office SharePoint® Server 2007 シングル サインオン企業アプリケーション定義ワークシート (https://office.microsoft.com/search/redir.aspx?AssetID=AM101587911041)
Microsoft® Office SharePoint® Server 2007 シングル サインオン サーバー ファーム設定ワークシート (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x411)
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。