ユーザー選択ウィンドウの概要 (SharePoint Foundation 2010)
適用先: SharePoint Foundation 2010
ユーザー選択ウィンドウ コントロールは、サイト、リスト、またはライブラリの所有者が Microsoft SharePoint Foundation 2010 でアクセス許可を割り当てるときに、ユーザー、グループ、クレームを検索.および選択するために使用されます。ここでは、ユーザー選択ウィンドウ コントロールとその動作、認証およびクレーム プロバイダーとの関係、およびユーザー選択ウィンドウの計画方法について説明します。ユーザー選択ウィンドウの構成方法については、「ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)」を参照してください。
この記事を読む前に、「認証方法を計画する (SharePoint Foundation 2010)」および「The Role of Claims (英語)」(https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x411) (英語) で説明されている概念を理解しておく必要があります。クレームベース認証の追加情報については、「SharePoint クレームベース ID」(https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x411) を参照してください。
この記事の内容
用途と利点
アーキテクチャ
ユーザー選択ウィンドウ コントロールについて
ユーザー選択ウィンドウと認証
ユーザー選択ウィンドウとクレーム プロバイダー
ユーザー選択ウィンドウの構成
複数のフォレストまたはドメインでのユーザー選択ウィンドウの使用
ユーザー選択ウィンドウに関する考慮事項
用途と利点
ユーザー選択ウィンドウ コントロールは、リスト、ライブラリ、サイトなどのアイテムへのアクセス許可を付与するためにユーザー、グループ、およびクレームを選択するときに使用します。たとえば、サイトにドキュメント ライブラリがあり、それへのアクセスを特定のユーザーのリストに制限する場合です。ライブラリのアクセス許可ページを使用してユーザーにライブラリへのアクセス許可レベルを与えるときは、ユーザー選択ウィンドウ コントロールを使用し、ユーザー名を入力してユーザー アカウントが有効であることを確認したり、名前や部分文字列を検索して、入力した値に一致するユーザー、グループ、またはクレームのリストを取得したりします。アクセス許可の詳細については、「サイト権限を計画する (SharePoint Foundation 2010)」を参照してください。
アーキテクチャ
ユーザー選択ウィンドウ コントロールは、SharePoint Foundation 2010 の中心的なコンポーネントです。このコントロールは、サイト内でアクセス許可を割り当てるためにユーザー、グループ、およびクレームを検索して選択するときの基本機能を提供します。これらのユーザー、グループ、クレームの情報の取得元は、サイト コレクションが含まれる Web アプリケーションで使用されている認証方法によって異なります。認証方法の詳細については、後の「ユーザー選択ウィンドウと認証」を参照してください。
ユーザー選択ウィンドウは、Stsadm setproperty 操作を使用してファームのゾーン レベルで構成します。コントロールの設定を構成することで、ユーザーがユーザー、グループ、またはクレームを検索するときに表示される結果をフィルター処理して制限できます。これらの設定は、特定のサイト コレクション内のすべてのサイトに適用されます。ユーザー選択ウィンドウの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)」を参照してください。
注意
ユーザー選択ウィンドウを構成するための Windows PowerShell コマンドはありません。
クレームベース認証を使用するように Web アプリケーションを構成すると、ユーザー選択ウィンドウでは、クレーム プロバイダーを使用してユーザー、グループ、クレームが解決され、[ユーザーとグループの選択] ダイアログ ボックスに表示されます。[ユーザーとグループの選択] ダイアログ ボックスに表示される情報は、Web アプリケーションに対して構成されている認証方法が使用するクレーム プロバイダーによって異なります。クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウ用のカスタム クレーム プロバイダー (SharePoint Foundation 2010)」を参照してください。
ユーザー選択ウィンドウ コントロールについて
ユーザー選択ウィンドウ コントロールは、1 つのテキスト ボックスと、2 つのボタン [名前の確認] と [参照] で構成されています。ユーザー選択ウィンドウ コントロールの例を次の図に示します。
.jpg "ユーザー選択エディター")
ユーザーは、ユーザー名、グループ名、またはクレーム (電子メール アドレスなど) をテキスト ボックスに入力し、[名前の確認] ボタンをクリックして、入力した値と厳密に一致する検索アイテムを解決します。ユーザー選択ウィンドウが検索アイテムを解決できる場合、名前は解決された ID に置き換えられます。入力した値と厳密に一致する検索アイテムを解決できない場合、ユーザー選択ウィンドウは検索を実行します。一致するものが見つからない場合、または一致するものが複数見つかった場合は、検索項目に赤い下線が表示され、"完全一致はありませんでした。解決しなかったアイテムをクリックして、他のオプションを選択してください。" というエラー メッセージが表示されます。アイテムをクリックすると、可能な場合は、クエリに一致する使用可能なユーザー、グループ、またはクレームの一覧がポップアップ メニューに表示されます。メニューには、テキスト ボックスから解決されたユーザー、グループ、またはクレームを削除するための [削除] ボタンと、[ユーザーとグループの選択] ダイアログ ボックスを開くための [その他の名前] ボタンもあります。
ユーザーが [参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスが表示されます。ユーザーは、ユーザー名、グループ名、またはクレームの全体または一部をテキスト ボックスに入力して、Enter キーを押します。クエリの結果がダイアログ ボックスに表示されます。ユーザー選択ウィンドウと関連付けられたクレーム プロバイダーによって、クエリ結果およびダイアログ ボックスでの結果の表示方法が決定されます。ユーザーは解決された ID を選択し、[追加] をクリックして、[OK] をクリックします。選択したユーザー、グループ、またはクレームが、ユーザー選択ウィンドウ コントロールのテキスト ボックスに追加されます。
Web アプリケーションが Windows 認証を使用するように構成されている場合は、Stsadm setproperty 操作を使用してユーザー選択ウィンドウ コントロールの設定を変更することにより、[ユーザーとグループの選択] ダイアログ ボックスでユーザーに対して表示される結果を制限できます。たとえば、特定の Active Directory ドメインに属している、または特定のサイト コレクションのメンバーである、ユーザー、グループ、およびクレームだけを返すように、ユーザー選択ウィンドウを構成できます。ユーザー選択ウィンドウ コントロールの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)」を参照してください。
ユーザー選択ウィンドウと認証
ユーザー選択ウィンドウは、ユーザーに表示する結果を決定するためのクエリの対象であるサイト コレクションを含む Web アプリケーションで使用されている認証方法に依存します。Web アプリケーションが Windows 認証のクラシック モードを使用するように構成されている場合、SharePoint Foundation 2010 はユーザー アカウントを Active Directory ドメイン サービス (AD DS) アカウントとして扱います。Web アプリケーションがクレームベース認証を使用するように構成されている場合は、Windows 認証、フォームベース認証 (FBA)、または Security Assertion Markup Language (SAML) トークンベース認証のいずれを使用するかを指定できます。クレーム モードでのユーザー選択ウィンドウは、Web アプリケーションとゾーンで使用されている認証方法に対して指定されているクレーム プロバイダーに基づいて、クエリを検索および解決します。以下では、クラシック モード認証とクレームベース認証の両方に対するユーザー選択ウィンドウの動作を説明します。ゾーンと認証の詳細については、「認証方法を計画する (SharePoint Foundation 2010)」を参照してください。
クラシック モード認証
Windows クラシック モード認証が使用されている場合は、ユーザー選択ウィンドウ コントロールは Active Directory に対してクエリを行い、テキスト ボックスに入力された検索アイテムに一致するユーザー、グループ、またはクレームのリストを取得します。ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを使用して Active Directory をクエリするように、ユーザー選択ウィンドウを構成できます。このようにすると、カスタム Active Directory フィルターを適用し、検索クエリの範囲を制限し、複数のフォレストおよびドメインを検索できます。
既定では、[参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスに次のフィールドが表示されます。
表示名
役職
部署
電子メール
携帯電話番号
アカウント名
次に示すのは、Windows 認証のクラシック モードが Web アプリケーションで使用されているときの [ユーザーとグループの選択] ダイアログ ボックスの図です。
.jpg "ユーザーとグループの選択 - クラシック モード")
クラシック モード認証の詳細については、「認証方法を計画する (SharePoint Foundation 2010)」を参照してください。クラシック モード認証を使用する Web アプリケーションを作成する方法については、「Windows クラシック認証を使用する Web アプリケーションを作成する (SharePoint Foundation 2010)」を参照してください。
クレーム ベース認証
クレーム ベース認証が使用されているときは、ユーザー選択ウィンドウは Web アプリケーションとゾーンで使用されている認証方法に対して指定されているクレーム プロバイダーを使用して、テキスト ボックスに入力された検索アイテムに一致するユーザー、グループ、またはクレームのリストを取得します。クレーム モード認証とゾーンの詳細については、「認証方法を計画する (SharePoint Foundation 2010)」を参照してください。
既定では、[参照] ボタンをクリックすると、[ユーザーとグループの選択] ダイアログ ボックスの左側のツリー表示に、ユーザー選択ウィンドウがクエリを行うクレーム プロバイダーの一覧が表示されます。ダイアログ ボックスの右側にはクエリの結果が表示されます。クレーム ベース認証を使用しているときは、結果は詳細表示または一覧表示で表示さます。既定では、詳細表示が使用されます。
次に示すのは、Windows 認証のクレーム モードが Web アプリケーションで使用されているときの [ユーザーとグループの選択] ダイアログ ボックスの図です。
.jpg "ユーザーとグループの選択 - Windows クレーム モード")
詳細表示では、クエリ結果は情報源でグループ化されます。たとえば、検索アイテムが SharePoint グループと Active Directory で見つかった場合、結果は SharePoint グループのリストにまとめられた後、Active Directory のユーザーとグループのリストにまとめられます。
一覧表示では、クエリ結果は次のフィールドを含むリストで返されます。
表示名
電子メール アドレス
役職
部署
プレゼンス
勤務先の電話番号
場所
カスタム クレーム プロバイダーを作成して、表示される情報、およびクエリへの応答でユーザー選択ウィンドウ コントロールから返される結果を制御できます。カスタム クレーム プロバイダーをサーバーで登録すると、特定の Web アプリケーションおよびゾーンで使用するように構成することもできます。つまり、ただ 1 つのゾーンに対して構成されているカスタム クレーム プロバイダーは、そのゾーンの Web サイトに対する [ユーザーとグループの選択] ダイアログ ボックスにのみ表示されます。カスタム クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウ用のカスタム クレーム プロバイダー (SharePoint Foundation 2010)」を参照してください。
注意
サーバーの全体管理 Web サイトでは、クレーム プロバイダーが構成されている Web アプリケーションまたはゾーンに関係なく、ユーザー選択ウィンドウは、ファーム内のすべての Web アプリケーションで使用されているすべてのクレーム プロバイダーからのユーザー、グループ、およびクレームを返します。
既定では、SAML トークンベース認証を使用すると、有効なユーザーまたはグループかどうかに関係なく、テキスト ボックスに入力されたすべてのクエリが、解決されたかのように自動的に表示されます。SharePoint Foundation 2010 ソリューションで SAML トークンベース認証を使用する場合は、独自の検索、名前解決、およびリスト機能を実装するカスタム クレーム プロバイダーの作成を計画する必要があります。カスタム クレーム プロバイダーの詳細については、「ユーザー選択ウィンドウ用のカスタム クレーム プロバイダー (SharePoint Foundation 2010)」を参照してください。
クレーム モード認証を使用する Web アプリケーションを作成する方法については、「Windows クレーム認証を使用する Web アプリケーションを作成する (SharePoint Foundation 2010)」を参照してください。Web アプリケーションにクレーム ベース認証を構成する方法については、「クレーム ベースの認証を構成する (SharePoint Foundation 2010)」を参照してください。
ユーザー選択ウィンドウとクレーム プロバイダー
クレーム プロバイダーは、クレーム ベース認証が使用されているときは、ユーザー選択ウィンドウでのユーザー、グループ、およびクレームの "わかりやすい" 表示をリスト、解決、検索、および特定します。Web アプリケーションでクレーム ベース認証が使用されている場合は、既定のクレーム プロバイダーのいずれかを使用するか、または組織のビジネス ニーズに合ったカスタム クレーム プロバイダーを作成するかを決定する必要があります。
クレーム プロバイダーとユーザー選択ウィンドウ コントロールの関係の詳細については、「ユーザー選択ウィンドウ用のカスタム クレーム プロバイダー (SharePoint Foundation 2010)」を参照してください。
ユーザー選択ウィンドウの構成
ここでの説明は、Windows 認証のクラシック モードまたはクレーム モードを使用する Web アプリケーションに対してのみ適用されます。
Stsadm setproperty 操作に対してプロパティ名を使用することで、ユーザー選択ウィンドウを構成し、クエリ結果をフィルター処理したり、ユーザー選択ウィンドウでクエリ結果の情報源として使用するディレクトリを制限したりできます。構成されているプロパティ設定を表示するには、Stsadm getproperty 操作を使用します。詳細については、「Peoplepicker: Stsadm プロパティ (Office SharePoint Server 2007)」を参照してください。ユーザー選択ウィンドウの設定は、Web アプリケーションの各 URL ゾーンに対して適用されます。
注意
ユーザー選択ウィンドウを構成するための Windows PowerShell コマンドはありません。
次の表では、ユーザー選択ウィンドウの構成に使用できるプロパティについて説明します。
| プロパティ名 | 説明 |
|---|---|
Peoplepicker-activedirectorysearchtimeout |
クエリが Active Directory に対して発行されるときのタイムアウトを構成します。既定のタイムアウト値は 30 秒です。詳細については、「Peoplepicker-activedirectorysearchtimeout」を参照してください。 |
Peoplepicker-distributionlistsearchdomains |
配布リストの検索をドメインの特定のサブセットに制限します。詳細については、「Peoplepicker-distributionlistsearchdomains」を参照してください。 |
Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode |
現在のポートがフォームベース認証を使用しているときは Active Directory を検索しないように指定します。詳細については、「Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode」を参照してください。 |
Peoplepicker-onlysearchwithinsitecollection |
[ユーザーとグループの選択] ダイアログ ボックスを使用するときに、サイト コレクションのメンバーであるユーザーのみを表示します。詳細については、「Peoplepicker-onlysearchwithinsitecollection」を参照してください。 |
Peoplepicker-peopleeditoronlyresolvewithinsitecollection |
[名前の確認] ボタンがクリックされたときに、現在のサイト コレクションのメンバーであるユーザーのみを表示します。詳細については、「Peoplepicker-peopleeditoronlyresolvewithinsitecollection: Stsadm プロパティ (SharePoint Foundation 2010)」を参照してください。 |
Peoplepicker-searchadcustomfilter |
ファーム管理者が独自の検索クエリを指定できるようにします。詳細については、「Peoplepicker-searchadcustomfilter」を参照してください。 |
Peoplepicker-searchadcustomquery |
管理者が Active Directory に送信されるカスタム クエリを設定できるようにします。詳細については、「Peoplepicker-searchadcustomquery」を参照してください。 |
Peoplepicker-searchadforests |
ユーザーが第 2 の一方向の信頼関係のフォレストまたはドメインから検索できるようにします。詳細については、「Peoplepicker-searchadforests」を参照してください。 |
Peoplepicker-serviceaccountdirectorypaths |
ファーム管理者が、Setsiteuseraccountdirectorypath 設定で定義されている特定の組織単位 (OU) 設定を持つサイト コレクションを管理できるようにします。詳細については、「Peoplepicker-serviceaccountdirectorypaths」を参照してください。 |
ユーザー選択ウィンドウの構成の詳細については、「ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)」を参照してください。
複数のフォレストまたはドメインでのユーザー選択ウィンドウの使用
既定では、ユーザー選択ウィンドウは SharePoint Foundation 2010 がインストールされているドメインからのみユーザー、グループ、およびクレームを返します。ユーザー選択ウィンドウが複数のフォレストまたはドメインからクエリ結果を返すようにする場合は、フォレストまたはドメインの間に双方向の信頼関係があるか、またはフォレストおよびドメイン間の一方向の信頼関係に対して暗号化されたアカウントとパスワードを使用するようにユーザー選択ウィンドウを構成する必要があります。信頼関係の詳細については、「信頼を管理する」(https://go.microsoft.com/fwlink/?linkid=207573&clcid=0x411) を参照してください。
一方向の信頼関係に対してユーザー選択ウィンドウを構成するには、最初に Stsadm setapppassword 操作を使用して信頼できるフォレストまたはドメインで使用するパスワードを設定した後、Peoplepicker-searchadforests プロパティを setproperty 操作に対して使用して、検索するフォレストまたはドメインを指定する必要があります。ユーザー選択ウィンドウの設定は Web アプリケーションのゾーンごとに構成されるので、ファーム内に複数のフォレストまたはドメインがある場合は、アカウントとパスワードを setproperty 操作に対する 1 つのコマンドに結合する必要があります。詳細については、「Peoplepicker-searchadforests: Stsadm プロパティ (Office SharePoint Server)」を参照してください。
ユーザー選択ウィンドウに関する考慮事項
ユーザー選択ウィンドウの計画は、ユーザーがクエリを実行できるようにするフォレストとドメイン、およびクエリ結果で表示するユーザー、グループ、クレームに大きく依存します。ユーザーがクエリを実行できるフォレストとドメインを計画するときは、以下の質問を検討する必要があります。
ユーザーはフォレストまたはドメインの全体をクエリする必要があるか。
ユーザーがクエリできるようにする各フォレストまたはドメインの DNS 名は何か。
目的のフォレストまたはドメインと他のフォレストまたはドメインの間に一方向または双方向の信頼関係があるか。
一方向の信頼関係を使用する場合は、他のファームまたはドメインをクエリするためにどのような資格情報を使用するか。
ユーザー選択ウィンドウのクエリ結果で表示するユーザー、グループ、クレームを計画すると、クレーム プロバイダーからの結果を返して表示するようにユーザー選択ウィンドウを構成する方法を決定するときに役立ちます。クエリ結果で表示するユーザー、グループ、クレームを計画するときは、以下の質問を検討する必要があります。
クエリ結果に適用する特定の LDAP フィルターがあるか。
ユーザー、グループ、またはクレームのクエリ結果を、特定のサイト コレクションに限定するか。
ユーザー、グループ、またはクレームのクエリ結果を、特定の Active Directory 組織単位 (OU) に限定するか。
See Also
Concepts
認証方法を計画する (SharePoint Foundation 2010)
ユーザー選択ウィンドウ用のカスタム クレーム プロバイダー (SharePoint Foundation 2010)
ユーザー選択ウィンドウを構成する (SharePoint Foundation 2010)