OpenID Connect 1.0 の認証

  • [アーティクル]

適用対象:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

OpenID Connect (OIDC) 1.0 は、アプリケーションとデバイスを ID および認証管理ソリューションとシームレスに統合し、organizationの進化するセキュリティとコンプライアンスのニーズに対応する最新の認証プロトコルです。

SharePoint 2019 以前のバージョンでは、SharePoint Server では次の 3 種類の認証方法がサポートされました。

  1. Windows 認証 (New Technology LAN Manager (NTLM)、Kerberos など)
  2. フォームベース認証
  3. セキュリティ アサーション マークアップ言語 (SAML) 1.1 ベースの認証

OIDC 1.0 認証プロトコルでは、SharePoint Server サブスクリプション エディションのみがサポートされます。 この機能を使用すると、OIDC 認証を有効 SPTrustedIdentityTokenIssuer にするために、リモート ID プロバイダーと連携する OIDC 対応を設定できます。

OIDC 1.0 認証プロトコルは、SharePoint 証明書管理と統合され、Nonce (1 回使用された番号) Cookie 認定を管理します。 nonce Cookie 証明書を使用すると、OIDC 認証トークンがセキュリティで保護されます。

OIDC 1.0 認証と SharePoint 証明書管理の統合の前に、管理者は Windows の証明書スナップインを使用して、nonce 証明書の状態をチェックしました。 マルチサーバー ファームでは、管理者は証明書を手動でエクスポートし、証明書をインポートし、各サーバーに対するアクセス許可を個別に付与する必要があります。 管理者が新しいアプリケーション プール アカウントを使用して新しい Web アプリケーションに対して OIDC を有効にする場合、管理者はアカウントのアクセス許可を忘れずに付与する必要がありました。

ファーム管理者は、次のコマンドを使用して、ファーム レベルで nonce 証明書を確立または置き換えることができます。 このコマンドは、初期構成中または既存の nonce 証明書の置き換え中に実行されている場合、事実に関係なく使用できます。

# Use one of the commands to acquire the nonce cookie certificate if it's already imported:
$nonceCert = Get-SPCertificate -DisplayName <the certificate name>
$nonceCert = Get-SPCertificate -Thumbprint <thumbprint>

# Update
$farm = Get-SPFarm 
$farm.UpdateNonceCertificate($nonceCert, $true)

SharePoint Server では、次のいずれかのオプションを使用して OIDC 認証を設定できます。