Secure Store Service を計画する (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
Microsoft SharePoint Server 2010 では、シングル サインオン (SSO) 機能に代わり、Secure Store Service があります。Secure Store Service は、クレームに対応する承認サービスで、アプリケーション ID と関連付けられた資格情報を格納するセキュリティ保護データベースを持ちます。これらのアプリケーション ID を使用して、外部データ ソースへのアクセスを承認できます。
この記事の内容
Secure Store Service について
Secure Store Service の準備
アプリケーション ID
Secure Store Service のマッピング
Secure Store Service とクレーム認証
Secure Store Service について
Secure Store Service は、アプリケーション サーバーで動作する承認サービスです。Secure Store Service は、アプリケーション ID に応じた資格情報 (ユーザー ID とパスワード) を格納するデータベースを提供します。アプリケーションはこの資格情報を使用して、共有リソースへのアクセスを承認できます。たとえば SharePoint Server 2010 は、Secure Store データベースを使用して、外部データ ソースへのアクセス用の資格情報を格納および取得できます。Secure Store Service は、複数のアプリケーション ID を使用して、複数のバックエンド システムの資格情報の格納をサポートします。
Secure Store Service の準備
Secure Store Service の展開を準備するときには、以下の重要なガイドラインに注意してください。
Secure Store Service は、他のサービスで使用していない個別のアプリケーション プールで実行します。
Secure Store Service は、他のサービスで使用していない個別のアプリケーション サーバーで実行します。
Secure Store データベースは、SQL Server を実行している個別のアプリケーション サーバーに作成します。コンテンツ データベースを格納しているのと同じ SQL Server は使用しません。
新しい暗号化キーを生成する前に、Secure Store データベースをバックアップします。また、Secure Store データベースは、最初に作成した後にバックアップし、資格情報が再暗号化されるたびに再びバックアップする必要があります。新しいキーを生成すると、そのキーで資格情報を再暗号化できます。キーの更新が失敗した場合またはパスフレーズを忘れた場合は、資格情報は使用できなくなります。
暗号化キーのバックアップは、Secure Store Service の初期設定後、およびキーの再生成時に毎回行います。
暗号化キーのバックアップ メディアは、Secure Store データベースのバックアップ メディアと同じ場所に保管しないでください。ユーザーがデータベースとキーの両方のコピーを入手すると、データベースに保存されている資格情報が漏洩する可能性があります。
アプリケーション ID
Secure Store Service の各エントリにはアプリケーション ID が含まれています。Secure Store データベースから資格情報のセットを取得するときにはこのアプリケーション ID が使用されます。アプリケーション ID ごとにアクセス許可を適用できるので、そのアプリケーション ID に対して保存されている資格情報に特定のユーザーまたはグループのみがアクセスできます。アプリケーションはアプリケーション ID を使用して、Secure Store データベースから資格情報をユーザーに代わり取得します。アプリケーションは次に、取得した資格情報を使用してデータ ソースにアクセスします。
アプリケーション ID を使用して、ユーザーを資格情報のセットにマップします。このマッピングは、グループおよび個人に対して設定できます。グループ マッピングでは、特定のドメイン グループのメンバーであるすべてのユーザーが同じ資格情報のセットにマップされます。個別マッピングでは、各ユーザーがそれぞれ固有の資格情報のセットにマップされます。
Secure Store Service のマッピング
Secure Store Service は、個別マッピングとグループ マッピングをサポートします。Secure Store Service は、Secure Store データベースに格納されたリソースのアプリケーション ID に対する 1 組の資格情報を保持しています。アプリケーションに対する個別の資格情報はアプリケーション ID に基づいて取得されます。個別マッピングは、共有リソースに対する個別のユーザー アクセスの情報をログに記録する必要がある場合に便利です。グループ マッピングでは、セキュリティ層が、Secure Store データベースに格納された 1 つのアプリケーション ID で識別されるリソース用の 1 組の資格情報に対して、複数のドメイン ユーザー グループ資格情報をチェックします。グループ マッピングは個別マッピングより管理しやすく、パフォーマンスも優れています。
Secure Store Service とクレーム認証
Secure Store Service は、クレームに対応するサービスです。セキュリティ トークンを受け取って解読し、アプリケーション ID を取得して、検索を実行できます。SharePoint Server 2010 Security Token Service (STS) が認証要求に対する応答としてセキュリティ トークンを発行すると、Secure Store Service はそのトークンを解読し、アプリケーション ID の値を読み取ります。Secure Store Service は、そのアプリケーション ID を使用して、Secure Store データベースから資格情報を取得します。そして、その資格情報がリソースへのアクセスの承認に使用されます。