NTLM を使用してビジネス インテリジェンス用に SharePoint Server 2010 ファームを構成する
適用先: SharePoint Server 2010
トピックの最終更新日: 2017-01-19
統合 Windows 認証を使用すると、Windows クライアントが資格情報 (ユーザー名/パスワード) を手動で入力する必要なしに Microsoft SharePoint Server との認証をシームレスに実行できます。認証には、多くの場合、Kerberos プロトコルと NT LAN Manager (NTLM) プロトコルの 2 種類のプロトコルが使用されます。この記事では、各 SharePoint Server サービスの NTLM 認証の詳細オプションについて説明し、NTLM を使用するビジネス インテリジェンス タスクを実行できるように Microsoft SharePoint Server 2010 環境を構成するための手順を示します。Kerberos 認証と NTLM 認証の長所と短所については、「Microsoft SharePoint 2010 製品での Kerberos 認証の概要」を参照してください。
このドキュメントの詳細な手順では、NTLM を使用するように構成できる SharePoint Server 2010 シナリオについて説明します。他のリソースへのリンクも示します。説明するシナリオは次のとおりです。
シナリオ 1: コア構成
シナリオ 2: SQL Server と Analysis Services の構成
シナリオ 3: Reporting Services の構成
シナリオ 4: PerformancePoint Services の構成
シナリオ 5: Excel Services を使用して、Excel から SQL Server データに接続し、SharePoint サイトに発行する
シナリオ 6: PowerPivot for SharePoint 2010 の構成
シナリオ 7: Visio Services を使用して、データ接続された Web 図面を作成し、SharePoint サイトに発行する
IT 資産の展開トポロジのために Kerberos の構成が必要になる場合もありますが、運用シナリオとテスト シナリオの多くでは不要です。ビジネス インテリジェンス専用のさまざまなサービス アプリケーションのシナリオの詳細については、ホワイト ペーパー「Configuring Kerberos Authentication for Microsoft SharePoint 2010 Products (英語)」を参照してください。
NTLM によるクラシック モード認証の SharePoint Server 2010
SharePoint クラシック モードでは、SharePoint Server ファームを出入りする認証フローには NTLM が既定のプロトコルとして使用されますが、ファーム内の認証フローにはクレーム認証が使用されます。このような構成では、Windows 統合認証でクライアント資格情報を使用して認証バリアなしにリモート データ ソースとの認証を実行できるように見えますが、実際には NTLM の "ダブル ホップ" 制限によって阻止されます。クライアントから SharePoint ファームへの接続は 1 つ目のホップと見なされ、SharePoint ファームからリモート データ ソースへの接続は 2 つ目のホップと見なされます。クレーム認証および 3 つの認証シナリオ (着信認証、ファーム間およびファーム内認証、発信認証) の詳細については、「Microsoft SharePoint 2010 製品での Kerberos 認証の概要」を参照してください。
このような場合、SharePoint 2010 Productsではデータ層アクセス用の信頼されたサブシステム モデルを使用する必要があります。次の図に示すように、信頼されたサブシステムでは、信頼されたユーザーのアカウントを使用して外部システムにアクセスします。
注意
独立アカウントは SharePoint Server 製品と SQL Server 製品とで呼称が異なります。SharePoint Server ではこのアカウントを無人サービス アカウントといいますが、SQL Server では自動実行アカウントといいます。このアカウントは汎用アカウントで、クライアントから独立しており、クライアント経由で渡されることはない点に注意してください。
SharePoint 2010 Productsでは、次のいずれかの方法で信頼されたサブシステムを実装して NTLM でのデータ層アクセスを実現します。
データ ソースの資格情報をユーザーに要求する
埋め込みログオン
格納されたデータベース資格情報
いずれの方法でもデータ層への "1 つ目のホップ" の接続が作成され、NTLM の "2 つ目のホップ" にはなりません。格納されたデータ ソース資格情報を使用すると、ビジネス インテリジェンス アプリケーションを使用する場合に資格情報をさらに要求する必要がなくなります。SharePoint Server リソースには 1 つのデータ ソース資格情報しか格納できないため、SharePoint Server リソースのすべてのユーザーはデータ リソースへの同じアクセス権を共有します。
SQL Server 製品を使用すると、データ ソース資格情報をユーザーに要求することもできます。
SharePoint Server 2010 のビジネス インテリジェンス製品のデータ アクセス オプション
ここでは、NTLM によるクラシック モード認証を使用するように SharePoint ファームを構成する場合、およびファームをリモート データ ソースに接続する場合の各ビジネス インテリジェンス製品のデータ アクセス オプションを示します。各 SharePoint Server 2010 サービスはデータ層へのアクセスを個別に実装します。
Secure Store Service は、ダブル ホップの問題を回避して外部データ ソースへの認証を行う方法としてよく使用されます。この記事のチュートリアルでは、NTLM によるクラシック モード認証を使用してこの展開シナリオを実現するための手順を示します。発生するイベントの順序は次のとおりです。
SharePoint Server 2010 ユーザーが、Excel Services または PowerPivot のワークシート、Visio Services Web 図面、PerformancePoint Services ダッシュボードなどのデータ接続されたオブジェクトにアクセスします。
データ認証に Secure Store を使用するようにオブジェクトが構成されている場合、ビジネス インテリジェンス サービス アプリケーションは、Secure Store Service を呼び出して、オブジェクトで指定されているターゲット アプリケーションにアクセスします。
サービス アプリケーションは無人アカウントを使用してリモート データ ソースとの認証を行います。
認証に成功すると、ワークシート、Web 図面、またはダッシュボードのコンテキストで、データがユーザーに表示されます。
各手順は似ていますが、サービス アプリケーションによって若干の違いがあります。SharePoint Server 2010 のサービスに対して Secure Store Service を構成する方法の詳細については、「SQL Server 認証で Secure Store を使用する (SharePoint Server 2010)」を参照してください。
外部システムへの直接接続を可能にするクエリにユーザー ログオン情報を埋め込むこともできます。たとえば、PerformancePoint Services では、Multidimensional Expression (MDX) 機能を使用し、動的な OLAP セキュリティを適用して SQL Server Analysis Services の値にアクセスすることができます。
重要
認証方法によっては、同様の目的と機能に対して違う名前が使用されている場合があります。たとえば、PerformancePoint Services では、"ユーザーごとの ID" は統合 Windows 認証を意味します。詳細については、次の表を参照してください。
サービス アプリケーション | 実装の詳細 |
---|---|
Excel Services |
Excel Services アプリケーションは次の 3 つのデータ認証方法をサポートしています。
詳細については、「Excel Services の認証を計画する (SharePoint Server 2010)」を参照してください。 |
PerformancePoint Services |
PerformancePoint Services は次の 3 つのデータ認証方法をサポートしています。
|
Visio Services |
|
PowerPivot for SharePoint 2010 |
PowerPivot データを含む Excel ワークシートにアクセスする場合、PowerPivot サービス アプリケーションはローカル Analysis Services VertiPaq エンジンにアクセスします。このエンジンがコンピューターの境界を越えて SharePoint ファーム外のサーバーにアクセスすることはありません。データ更新の場合、PowerPivot サービス アプリケーションは Secure Store Service に格納された資格情報を使用して外部の Analysis Services データベースからデータを更新します。 |
SQL Server 2008 R2 Reporting Services1 |
各レポートとそのデータ ソースは、資格情報を要求するように構成することも、レポートまたはデータ ソースのメタデータの一部として格納されている構成済みの資格情報を使用するように構成することもできます。また、ユーザーがレポートを実行するときには、構成されているオプションが使用されます。定期的なサブスクリプションなどの自動レポート実行の場合、SQL Server Reporting Services では、レポート サーバーに格納された自動実行アカウントを使用して、外部データ ソースにアクセスします。 |
1SQL Server 2008 R2 は、SharePoint Server 2010 のサービス アプリケーションではありません。また、クレームに対応していないため、ファーム内のクレーム認証アーキテクチャを利用できません。
多層シナリオの SharePoint Server 2010 ビジネス インテリジェンス
次の図は、このドキュメントで SharePoint Server 2010 ビジネス インテリジェンスの構成に使用する展開シナリオを示しています。サブシステムに関する説明で述べたように、フロントエンド サービスは、クライアントを認証および承認してから、クライアント ID をバックエンド システムに渡さずに他のバックエンド サービスとの認証を行います。バックエンド システムはフロントエンド サービスを "信頼" して認証と承認を代わりに実行します。ファーム トポロジは、ID 委任がマルチサーバー、マルチホップのシナリオでどのように機能するかを示すために、多層間で負荷分散およびスケール アウトされています。SharePoint Server フロントエンド Web サーバーおよび SQL Server Reporting Services サーバーでの負荷分散は、Windows Server 2008 のネットワーク負荷分散 (NLB) を使用して実装しました。NLB の構成方法および NLB のベスト プラクティスについては、このドキュメントでは説明しません。NLB の詳細については、「ネットワーク負荷分散の概要」を参照してください。
注意
この例のトポロジは実際のトポロジとは複雑さが異なる場合もありますが、クライアント、SharePoint Server 2010 ファーム、および外部システムの主な特性は変わりません。SharePoint Server の運用環境を設計および構築する方法の詳細については、「SharePoint Server 2010 の展開」を参照してください。
基本構成
さまざまなサービス間の構成に対応するシナリオが用意されています。ここでは、ファーム構成ウィザードを使用しないで PerformancePoint Services、Excel Services、および Visio Services を構成する手順を示します。ウィザードを使用してファームを構成する場合は、ウィザードの指示に従って既定のサイト コレクションを作成し、サービス アプリケーションの選択を自動的に構成できます。このシナリオでは、すべてを手動で構成することを前提としています。SharePoint Server 2010 の異なる展開シナリオの詳細については、以下を参照してください。
これらのシナリオを確認すると、構成の違いを理解できます。
手順 1: SP10WFE-01 の Web アプリケーションを作成します。
詳細については、「Windows クラシック認証を使用する Web アプリケーションを作成する (SharePoint Server 2010)」を参照してください。ここでは、次の手順を使用して構成します。
サーバーの全体管理に移動し、[アプリケーション構成の管理]、[Web アプリケーションの管理] の順に選択します。
ツール バーで [新規作成] を選択し、Web アプリケーションを作成します。
Windows の "クラシック モード" 認証を選択します。
各 Web アプリケーションのポートおよびホスト ヘッダーを構成します。
認証プロバイダーとして [NTLM] を選択します。
注意
[ネゴシエート] を選択した場合、Kerberos 認証が構成されていないと、認証は既定値の NTLM になります。
アプリケーション プールで、[新しいアプリケーション プールを作成する] を選択し、[管理アカウント] を選択します。
注意
管理アカウントは、SharePoint Server 内に格納されて管理される資格情報を使用する Active Directory ユーザー アカウントです。新しい管理アカウントを登録する方法については、「パスワードの自動変更を構成する (SharePoint Server 2010)」を参照してください。
注意
セキュリティを強化するには、個別の管理アカウントを使用して各サービス アプリケーションを実行してください。
新しい Web アプリケーションを作成する場合は、Windows 認証プロバイダーを使用するように構成した新しい領域 (既定領域) も作成します。領域は、Web アプリケーション内の同じサイトにアクセスするためのさまざまな論理パスを表し、指定した Web アプリケーションのさまざまな認証方法を示すこともあります。
ユーザーがサイトのコンテンツに匿名でアクセスできるようにする場合は、SharePoint サイト レベルで匿名アクセスを有効にする前に、Web アプリケーション領域全体で匿名アクセスを有効にします。その後で、サイトの所有者は匿名アクセスをサイト内でどのように使用するかを構成できます。領域の詳細については、「認証方法を計画する (SharePoint Server 2010)」の「Web アプリケーションのゾーンの計画」を参照してください。
手順 2: SP10WFE-01 のサイト コレクションを作成します。「サイト コレクションを作成する (SharePoint Server 2010)」の手順に従ってください。
SQL Server と Analysis Services の構成
ここでは、ビジネス インテリジェンス アプリケーションからアクセスできるように SQL Server 2008 R2 データベース サーバーと SQL Server 2008 R2Analysis Services サーバーを構成し、AdventureWorks サンプル データベースと AdventureWorks サンプル キューブをインストールします。
手順 | 詳細については、次を参照してください。 |
---|---|
SQL Server エンジン インスタンスを dbsrvSQL に、Analysis Services インスタンスを dbsrvSQLAS にインストールします。 |
|
dbsrvSQL のポート 1433 とポート 1434 を開きます。 |
|
dbsrvSQLAS のポート 2383 を開きます。 |
|
dbsrvSQL の SQL Server エンジン インスタンスに対して TCP/IP と名前付きパイプを有効にします。 |
|
CodePlex (英語) からサンプル データベースをダウンロードし、dbsrvSQL と dbsrvSQLAS にインストールします。インストール パッケージには、Analysis Services サンプル プロジェクトが含まれています。このプロジェクトを手動で展開する必要があります。 |
|
Analysis Services サンプル プロジェクトをインストールし、サンプル キューブを展開します。 |
Reporting Services の構成
ここでは、レポートを SharePoint サイトに発行して SharePoint サイトで表示するように SQL Server 2008 R2Reporting Services を構成します。SharePoint Server 統合における Reporting Services のアーキテクチャの概要については、https://msdn.microsoft.com/ja-jp/library/bb283324.aspx を参照してください。
手順 | 詳細については、次を参照してください。 |
---|---|
SharePoint Server 2010 を SP10App-02 にインストールし、SharePoint Server ファームに参加させます。レポート サーバー コンピューターには、前提条件として SharePoint Foundation 2010 または SharePoint Server 2010 が必要です。 |
|
SharePoint 統合モードで SQL Server 2008 R2Reporting Services を SP10App-02 にインストールします。 |
|
レポート サーバー インスタンスを実行するようにドメイン アカウントを構成します。 注意 次の両方に該当する場合、ドメイン ユーザー資格情報を使用してレポート サーバー インスタンスを実行する必要があります。
|
|
rsreportserver.config で、 |
|
SharePoint サーバーの全体管理でレポート サーバー統合を設定するときに、[信頼済みアカウント] オプションを使用します。 このアカウントはデータ層へのアクセスには使用しません。SharePoint Server 2010 用の Reporting Services アドインと SP10App-02 の Reporting Services Windows サービスとの間の通信を可能にするためのものです。 |
|
リンク http://< ホスト名 >/<サイト >/_layouts/ReportServer/SiteLevelSettings.aspx にアクセスして、レポート サーバー統合をテストします。 |
|
CodePlex からサンプル レポートをダウンロードし、サンプル レポートを SharePoint サイトに発行します。 |
|
SharePoint Server カタログでサンプル レポートを見つけ、資格情報を要求するように DataSources\AdventureWorks2008R2 共有データ ソースを構成して、[Windows 資格情報として使用する] チェック ボックスをオンにします。 |
共有データ ソースを作成および管理する方法 (Reporting Services の SharePoint 統合モード) |
SharePoint サイトでサンプル レポートを開いて、レポート ビューをテストします。Windows 資格情報の入力を求められます。AdventureWorks2008R2 データベースへのアクセス権を持つユーザーの資格情報を入力します。 |
PerformancePoint Services の構成
ここでは、PerformancePoint Services を構成します。ユーザーが外部データ システムにアクセスできるようにセキュリティを構成します。詳細な手順については、「PerformancePoint Services を設定および構成する (手順)」を参照してください。
手順 | 詳細については、次を参照してください。 |
---|---|
ビジネス インテリジェンス センター以外のサイトから PerformancePoint ダッシュボード デザイナーを開く場合は、「 PerformancePoint Services サイト機能を有効にする」を参照してください。 |
|
構成ウィザード実行してサービス アプリケーションおよびプロキシを作成しなかった場合、PerformancePoint Service アプリケーションを作成する必要があります。 PerformancePoint Services サービスを開始する必要もあります。サービスの管理は、サーバーの全体管理または Windows PowerShell 2.0 コマンドレットを使用して行うことができます。 |
PerformancePoint Services サービス アプリケーションを作成する (SharePoint Server 2010) 「サーバーのサービスを管理する (SharePoint Server 2010)」の「サービスを開始または停止する」 |
PerformancePoint Services サービスを作成した後、PerformancePoint Services 専用の既存のアプリケーション プールの新しいサービス アカウントを作成して登録するのが最善の方法です。これを行うには、次の Windows PowerShell スクリプトを実行して、関連するコンテンツ データベースへのアクセス権をアカウントに付与する必要があります。次に例を示します。 PS C:\> $w = Get-SPWebApplication(“ <Web アプリケーション> ”) PS C:\> $w.GrantAccessToProcessIdentity(" <サービス アカウント> ") PerformancePoint Services が正常に動作するためには、この手順が必要です。これによって、SharePoint Foundation コンテンツ データベースへの db_owner アクセス権が付与されることに注意してください。 注意 コンテンツ データベースに対する SQL Server 認証はサポートされていません。 |
Managed Accounts in SharePoint 2010 (英語) (https://go.microsoft.com/fwlink/?linkid=198229&clcid=0x411) (英語) |
Secure Store Service アプリケーションおよびプロキシを作成して構成します。これは、PerformancePoint Services サービス アプリケーションの無人サービス アカウントのパスワードを格納するために必要です。 Secure Store Service アプリケーションを初期化するには、「Secure Store Service を構成する (SharePoint Server 2010)」の以下のセクションを参照してください。 |
Secure Store Service を構成する (SharePoint Server 2010) 注意 一部のセクションのみが PerformancePoint Services の構成に適用されます。ターゲット アプリケーションの作成方法またはターゲット アプリケーションへの資格情報の設定方法に関するセクションは、Visio および Excel Services を対象としており、PerformancePoint には適用されません。 |
サービス アプリケーション接続、PerformancePoint Services サービス アプリケーション、および Secure Store Service が Web アプリケーションと関連付けられていることを確認します。
|
Web アプリケーションに対してサービス アプリケーション接続の追加または削除を行う (SharePoint Server 2010) |
無人サービス アカウントを構成します。現在認証されているユーザーを除いて、データ ソースに接続するためには、PerformancePoint Services 用に無人サービス アカウントを設定する必要があります。無人サービス アカウントは、PerformancePoint Service アプリケーションの構成後に設定します。この設定は、サーバーの全体管理の [サービス アプリケーションの管理] の PerformancePoint Services 管理ページにあります。 |
|
既定では、すべての場所が信頼されます。完全なサイト コレクションではなく一部のサイト、リスト、またはドキュメント ライブラリを使用できるようにすることで、PerformancePoint Services データ ソースまたはデータ ソースに依存するオブジェクトへのアクセスを制限できます。サイトおよびサイト コレクションで PerformancePoint Services 機能を有効にする前または後に、PerformancePoint Services に対する信頼できる保存場所を有効にできます。 |
|
Analysis Services の接続を作成します。 タイム インテリジェンス機能を使用するように Analysis Services を構成する方法については、「ダッシュボード デザイナーを使用して Analysis Services データ ソースの時間設定を構成する」を参照してください。 |
|
基本的なダッシュボードを作成して、データ接続をテストします。 PerformancePoint Services 対応のサイト コレクションを正常に作成すると、PerformancePoint ダッシュボード デザイナーを開いて、外部データ ソースに接続できるようになります。 |
Excel Services を使用して、Excel から SQL Server データに接続し、SharePoint サイトに発行する
Excel Services アプリケーションは、Excel Web Access のワークブックを表示および編集するための共有サービスです。次の Excel Services シナリオは、Web アプリケーションが存在し、この記事の最初の「シナリオ 1: コア構成」で説明したように NTLM 認証が構成されていることを前提としています。
手順 | 詳細については、以下を参照してください。 |
---|---|
Excel ファイルの読み込み元となる新しい信頼できる保存場所を定義します。 注意 SharePoint Server 2010 によって自動的に作成される既定の信頼できるファイル保存場所を Excel Services に使用することもできます。セキュリティを計画する方法の詳細については、「Excel Services の認証を計画する (SharePoint Server 2010)」を参照してください。 |
|
Microsoft SharePoint 2010 製品の Excel Services アプリケーション用に Secure Store Service を設定および構成します。次の手順で使用するアプリケーション ID の資格情報を設定します。 |
|
Excel 2013 クライアントを適切な SQL Server サーバーに接続します。 「SQL Server データに接続 (インポート) する」に示されている手順で、データ接続ウィザードの手順を完了します。
警告 データベースが排他モードで開かれていないことを確認してください。 |
次も参照してください。 |
Excel ブックを SharePoint Server 2010 に発行します。 |
PowerPivot for SharePoint 2010 の構成
このシナリオでは、SP10App-02 上の既存の SharePoint Server 2010 インストールに PowerPivot を追加します。
手順 | 詳細については、次を参照してください。 |
---|---|
Microsoft サポートで示されている手順に従って、Setup1000.exe.config を SP10App-02 上のパス %ProgramFiles%\Microsoft SQL Server\100\Setup Bootstrap\SQLServer2008R2\x64 に追加します。 |
|
SP10App-02 上の既存の SharePoint Server ファームに PowerPivot を追加します。 |
|
サーバーを構成します。 |
「既存の SharePoint サーバーに PowerPivot for SharePoint をインストールする方法」の手順 |
PowerPivot ブックをアップロードします (インストール手順を含む)。 |
「既存の SharePoint サーバーに PowerPivot for SharePoint をインストールする方法」の手順 |
ブックを表示します。 |
「既存の SharePoint サーバーに PowerPivot for SharePoint をインストールする方法」の手順 |
Visio Services を使用して、データ接続された Web 図面を作成し、SharePoint サイトに発行する
Microsoft SharePoint Server 2010 の Visio Services は、ユーザーが Microsoft Visio Web 図面を共有および表示できるようにするサービス アプリケーションです。また、データ接続された Microsoft Visio 2010 図面を SharePoint Server サイトで発行すると同時にさまざまなデータ ソースから更新して最新の状態にすることもできます。たとえば、現在、プロセスで指定された段階にあるユニットの数を図形に反映させることができます。また、ユニットの数が、指定されたしきい値を上回ったり下回ったりした場合の図形の色を構成することもできます。
次の Visio Services シナリオは、Web アプリケーションが存在し、「シナリオ 1: コア構成」で説明したように NTLM 認証が構成されていることを前提としています。
手順 | 詳細については、以下を参照してください。 | ||
---|---|---|---|
|
|||
構成ウィザード実行してサービス アプリケーションを作成しなかった場合、Visio Graphics Service アプリケーションを作成する必要があります。 |
Visio Graphics Service サービス アプリケーションを作成する (SharePoint Server 2010) |
||
Microsoft SharePoint 2010 製品の Visio Services アプリケーション用に Secure Store Service を設定および構成します。 |
Video: Steps for configuring Visio Services with Secure Store Video: Configuring Visio Services with the Unattended Service Account |
||
Visio Professional または Premium で、データ接続された Web 図面を作成します。データ選択ウィザードは Excel Services で使用したウィザードに似ています。 |
|||
Visio Web 図面を SharePoint Server 2010 に発行します。 |