ビジネス データ カタログの認証
ビジネス データ カタログは以下の 2 つの認証モデルをサポートしています。
信頼されたサブシステム
偽装と委任
信頼されたサブシステムのモデルでは、中間層 (通常は Web サーバー) が、固定された ID としてのバックエンド サーバーに対して認証します。このモデルは、通常、以下の理由のために選択されます。
データベース接続プールを提供する。
バックエンド サーバーでライセンス コストを削減する。
複雑さが少ない。
バックエンド サーバーを所有し、管理するグループが、管理対象のアカウントの 1 つにアクセスを与える。
偽装と委任のモデルでは、クライアントは認証を中間層に委任し、中間層はクライアントに偽装し、クライアントの代わりにバックエンドに対して認証します。このモデルは、以下の理由のために選択されます。
バックエンド サーバーで監査を有効にする。
バックエンド サーバーでユーザー単位の認証が行われている場合。
認証モード
以下の認証モードは、ビジネス データ カタログを使用してデータベースまたは Web サービスに接続する場合に使用できます。
Pass-Through (データベースおよび Web サービス システム)
パススルー認証とは、クライアントの認証情報をバックエンド サーバーに渡すオペレーティング システムの機能のことです。ビジネス データ カタログはデータベース接続と Web サービス接続の両方についてパススルー認証をサポートしています。パススルー認証を使用する場合は、単にエンド ユーザーの ID で認証されます。
Web ページからビジネス データ カタログにアクセスすると、ビジネス データ カタログは Microsoft インターネット インフォメーション サービス (IIS) ワーカー プロセス w3wp.exe で実行されます。このプロセスの ID は、ログオン ユーザーを偽装している IIS アプリケーション プール アカウントです。ビジネス データ カタログがバックエンド サーバーに対して認証を行うときにログオン ユーザーの ID が失われることを回避するには、IIS を実行しているサーバーと他のコンピュータの間で Kerberos 委任を有効にする必要があります。Kerberos 委任により、受信側のサーバーが、認証要求を適切な場所に送信できるようになります。
ビジネス データ カタログは、クロールのために使用される場合、フィルタのデーモン プロセス mssdmn.exe で実行されます。バックエンド コンテンツ ソースにアクセスするため、フィルタ デーモン プロセスのスレッドは、バックエンド コンテンツ ソースに関連付けられているコンテンツ アクセス アカウントとして偽装します。
パススルー認証を使用する場合の欠点は、オペレーティング システムで提供されるのがユーザー名とパスワードだけであることです。このため、企業で要素が 2 つある認証 (つまり、ユーザー名とパスワードに加えて、特定の個人情報を持っていることをユーザーに要求する) を使用する場合、パススルー認証は使用できません。
このような欠点があるものの、パススルー認証は簡単に使用できるため、テスト環境での使用には適しています。また、対象のサーバーが匿名認証または SSL 接続を使用している場合にも使用できます。
RevertToSelf (データベースおよび Web サービス システム)
ユーザーが Windows 認証を使用してログオンすると、IIS はその特定のアカウントを偽装します。このため、IIS はアプリケーション プール ID で実行されている間はログオン ユーザーを偽装し、要求は、次に渡される前に、ユーザーが偽装された状態で実行されます。
RevertToSelf 認証を使用すると、この偽装を元に戻し、IIS アプリケーション プールに構成された、元になっているアカウントとして認証することができます。
警告
ユーザー設定のコードで認証のために RevertToSelf() を使用する場合、アプリケーション プール ID に権限を付与することで、ユーザーにバックエンド サーバーでのシステム レベルの権限を与えることができます。そのため、完全にテストを行うまでは、実稼動システムでユーザー定義のコードを実行しないようにしてください。
WindowsCredentials (データベースおよび Web サービス システム)
Microsoft Office SharePoint Server 2007 は、既定のシングル サインオン (SSO) サービスから提供された Microsoft Windows 資格情報を使用して認証を行います。
RdbCredentials (データベース システムのみ)
RdbCredentials モードでは、Office SharePoint Server 2007 は、既定の SSO サービスから提供されたデータベース資格情報を使用して認証を行います。Office SharePoint Server 2007 はデータベース資格情報を接続文字列に追加し、データベース サーバーに資格情報を送信します。
Credentials (Web サービス システムのみ)
Office SharePoint Server 2007 は、既定の SSO サービスから提供される Windows 認証の資格情報以外の資格情報を使用して、Web サービス システムとの認証を行います。これらの資格情報は、Web サービス サーバーの構成に応じて、基本認証またはダイジェスト認証のために使われます。基本認証とダイジェスト認証では資格情報が適切に保護されないため、SSL と IPSec の両方またはそのどちらかを使用して、Web サービス サーバーと、ビジネス データ カタログを実行するサーバーとの間の通信をセキュリティで保護する必要があります。
概要
次の表は、各認証モードをいつ使用するか、および SDK で現在使用できるサンプルへのリンクを示します。
認証モード |
適用先 |
シナリオ |
サンプル |
|---|---|---|---|
PassThrough |
データベースおよび Web サービス |
このモードは、単一ボックス構成 (データベース サーバーと SharePoint Server が同一のボックスにある構成) のテスト環境である、またはドメインで Kerberos 委任が有効である場合に使用します。宛先サーバーまたは Web サービスが匿名認証または SSL 接続を使用している場合にも使用できます。 |
手順 1 : AdventureWorks2000 データベースに接続する AdventureWorksDW SQL Server 2005 のサンプル |
RevertToSelf |
データベースおよび Web サービス |
||
WindowsCredentials |
データベースおよび Web サービス |
このモードは、データベース サーバーまたは Web サービスが Windows 認証を使用する場合に使用します。このモード用の SSO を設定する必要があります。 |
手順 7 (省略可能) : シングル サインオンを使用して AdventureWorks2000 データベースに接続する |
RdbCredentials |
データベース システムのみ |
このモードは、データベース サーバーがデータベース資格情報を使用する場合に使用します。たとえば、SQL サーバーが、Windows 認証の代わりに SQL サーバー認証を使用する場合です。このモード用の SSO を設定する必要があります。 |
|
Credentials |
Web サービス システムのみ |
このモードは、Web サービスが Windows 資格情報以外の資格情報を使用する場合に使用します。このモード用の SSO を設定する必要があります。 |
認証モードと認証のパターン
次の表に、各認証モードでの認証のパターンを示します。
パターン/モード |
PassThrough |
RevertToSelf |
Credentials、RdbCredentials、WindowsCredentials (SSO の個々のアプリケーション) |
Credentials、RdbCredentials、WindowsCredentials (SSO のグループ アプリケーション) |
|---|---|---|---|---|
信頼されたサブシステム |
X |
X |
||
偽装と委任 |
X |
X |
アプリケーション レベルの認証
ビジネス データ カタログでは、2 次的な、アプリケーション レベルの認証もサポートされます。この認証は、システムで構成されている主な認証に追加して使用されます。これは特に、バックエンド アプリケーションで、ユーザーを承認するためにメソッド呼び出しの中でセキュリティ資格情報を渡す必要がある状況などで役立ちます。アプリケーション レベルの認証を有効にするには、以下の手順を実行します。
LobSystemInstance の SecondarySsoApplicationId プロパティで、資格情報を格納しているシングル サインオンのアプリケーションを指定します。
UsernameCredentialFilter と PasswordCredentialFilter を定義し、それぞれを入力パラメータと関連付けます。