受信クレーム: SharePoint にサインインする
最終更新日: 2011年6月28日
適用対象: SharePoint Foundation 2010
SharePoint にサインインする
ユーザーが Microsoft SharePoint Foundation 2010 または Microsoft SharePoint Server 2010 にサインインするときに、ユーザーのトークンが検証され、ユーザーはそのトークンを使用して SharePoint にサインインします。ユーザーのトークンは、クレーム プロバイダーによって発行されるセキュリティ トークンです。
注意
シングル SharePoint ファームおよびファーム内 SharePoint クレーム認証については、TechNet の「クレームベースの認証を計画する (SharePoint Foundation 2010)」を参照してください。
Windows クラシック モードでのサインイン
Windows クラシック モードでのサインインは、Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007 の Windows 認証サインインと似ています。Windows クラシック モードでのサインインでは、Negotiate (NTLM/Kerberos) を使用して統合 Windows 認証チャレンジでサインインが行われます。このモードを使用してユーザーがサインインすると、クレーム オーグメントが行われないので、一部の機能 (サービス アプリケーションのマルチテナント サポート、カスタム クレーム プロバイダーなど) が SharePoint Foundation 2010 および SharePoint Server 2010 で動作しません。
サービス アプリケーションの中には、一部の機能でクレーム モードを必要な場合があります。サービス アプリケーションの要件の詳細については、「Service Application Framework アーキテクチャ」を参照してください。
Windows クレーム モードでのサインイン
Windows クレーム モードでのサインインでは、Negotiate (NTLM/Kerberos) を使用して統合 Windows 認証チャレンジでサインインが行われます。ただし、Windows ユーザーを表す WindowsIdentity オブジェクトが作成されたら、WindowsIdentity オブジェクトは、ユーザーのクレームベースの表現を表す ClaimsIdentity オブジェクトに変換されます。
SharePoint Foundation 2010 は、その後、クレーム オーグメントを行い、SharePoint Foundation 2010 によって発行された結果トークンを処理します。つまり、SharePoint Foundation 2010 がネイティブな Windows ログイン モードであるとクライアントによって見なされていても、新しい機能 (サービス アプリケーションのマルチテナント サポート、カスタム クレーム プロバイダーなど) は SharePoint Foundation 2010 および SharePoint Server 2010 で動作します。Windows クレーム モードでのサインインは、SharePoint Server 2010 に組み込まれている既定の動作です。
クレーム サインインの種類はすべて、パッシブ サインインに依存しています。パッシブ サインインは、Windows チャレンジを使用して、ただし、302 のリダイレクトを介して届く個別のログイン ページから行われます。このモードは、複数のサインイン方法が有効になっており、サポートされているクレーム プロバイダーをユーザーが選択しなければならないときに役に立ちます。Win32 クライアントは、Microsoft Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。Office クライアントの中には、異なるプロトコルに従うものもあります。
パッシブ サインインの詳細については、次の「SAML パッシブ サインイン モード」セクションを参照してください。
SAML パッシブ サインイン モード
SAML (Security Assertion Markup Language) パッシブ サインインでは、ユーザーがサインインするときに、クライアント (Web ページの場合があります) が、指定されたクレーム プロバイダー (Windows Live ID クレーム プロバイダーなど) にリダイレクトされます。クレーム プロバイダーがユーザーを認証すると、SharePoint Foundation 2010 は、クレーム プロバイダーによって提供された SAML トークンを取得して処理し、クレームを拡張します。
Active Directory フェデレーション サービス (ADFS)、Windows Live ID クレーム プロバイダーなど、SAML ベースのクレーム プロバイダーについては、SAML パッシブ サインイン モードを使用したサインインのみがサポートされています。SAML パッシブ サインインは SharePoint オンライン ID モデルです。
注意
SAML パッシブ サインインには、サインインのプロセスが記述されています。Web アプリケーションのサインインが、信頼済みログイン プロバイダーからトークンを受け取るように構成されている場合、この種類のサインインは SAML パッシブ サインインと呼ばれます。信頼済みログイン プロバイダーは、SharePoint が信頼する外部 (つまり、SharePoint 外の) セキュリティ トークン サービス (STS) です。
Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。
ASP.NET メンバーシップおよびロール パッシブ サインイン
ASP.NET メンバーシップおよびロール パッシブ サインインでは、クライアントを、ASP.NET ログイン コントロールがホストされている Web ページにリダイレクトすることによってサインインが行われます。ユーザー ID を示す ID オブジェクトが作成されたら、そのオブジェクトは、SharePoint Foundation 2010 でユーザーのクレームベースの表現を表す ClaimsIdentity オブジェクトに変換されます。
その後、クレーム オーグメントが行われます。Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。
匿名アクセス
Web アプリケーションの匿名アクセスを有効にできます。Web アプリケーション内のサイトの管理者が匿名アクセスを許可できます。匿名ユーザーがセキュリティ保護されているリソースにアクセスするには、ログオン ボタンをクリックして資格情報を送信します。
その後、クレーム オーグメントが行われます。Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。