SharePoint クレームベース ID
最終更新日: 2010年4月14日
適用対象: SharePoint Foundation 2010
このセクションでは、Microsoft SharePoint Foundation 2010 および Microsoft SharePoint Server 2010 のクレームベース ID アーキテクチャの基本について説明します。
クレームベース認証
クレームベース認証を使用すると、ユーザーが必要以上に個人情報 (社会保障番号や誕生日など) を公開しなくても、システムおよびアプリケーションがそのユーザーを認証できます。クレームベース認証のクレームの例としては、"18 歳を超えている" や "会社のマーケティング グループに所属している" などが挙げられます。外部システム (証明書利用者) は、これらのクレームを検証できる認証機関を信頼するだけで、特定の機能についてユーザーを認証できます。
クレーム
クレームについて明確に理解するには、これを認証対象に関する一連の情報としてとらえます。認証対象のほとんどは人物ですが、アプリケーション、コンピューターなどのように、人物以外の場合もあります。ネットワーク経由で送信された ID は、ある種のトークン (セキュリティ トークンとしても知られています) によって表されます。
クレームは、クレーム プロバイダーがその認証対象について言及する、その認証対象に関する情報の一部で、認証対象自体または他の認証対象による認証対象に関する説明 (名前など) です。電子メール アドレス、名前、年齢、販売ロールのメンバーシップなどの ID 情報の一部と見なすことができ、特定のユーザー、アプリケーション、コンピューター、またはその他のエンティティを表す一意の識別子でもあります。このクレームを使用すると、資格情報を何回も入力しなくても、こうしたエンティティが、アプリケーション、ネットワーク リソースなどの複数のリソースにアクセスできます。また、クレームによって、リソースが、エンティティからの要求を検証することもできます。アプリケーションが受け取るクレームが多いほど、ユーザーについてより多くの情報を得ることができます。
クレームは、1 つ以上の値が指定されてから、Security Token Service (STS) が発行するセキュリティ トークンにパッケージ化されます。
クレームという言葉はその配信方法により、エンタープライズ ディレクトリ環境でよく使用される属性という言葉の代わりに使用されます。このモデルでは、アプリケーションではディレクトリ内のユーザー属性が検索されません。代わりに、ユーザーはクレームをアプリケーションに配信します。各クレームが発行者によって作成され、クレームの発行者を信頼できる場合は、そのクレームを信頼します。たとえば、ユーザーが作成したクレームよりも、会社のドメイン コントローラーが作成したクレームを信頼します。クレーム API には issuer プロパティがあり、このプロパティにより、誰がクレームを発行したかを確認できます。
トークン
トークンは ID に関する情報を表す一連のバイトです。この情報は 1 つ以上のクレームで構成され、それぞれのクレームに、このトークンが適用される認証対象に関する情報が含まれます。トークン内のクレームには、通常、それを提供するユーザー名などの情報が含まれます。また、その他の種類の情報を多数含めることもできます。クレームには認証対象の名前以外の情報を含めることができます。また、必ずしも認証対象の名前を含める必要はありません。さらに、クレームという言葉が示すように、トークンを受け取ったアプリケーションは、そのトークンに含まれる情報を自動的には使用しません。アプリケーションが受け取ったトークンは、通常、アプリケーションがそのトークンに含まれるクレームを使用する前に、何らかの方法で検証されます。
重要なのは、クレームは、単にリソース、アプリケーション、またはユーザーを識別するだけの一意の識別子ではないという点です。リソース、アプリケーション、またはユーザーについて記述するときに使用するのが一連のクレーム (つまり、値) です。また、クレームはアクセスの認証にも使用されます。