クレーム プロバイダー
最終更新日: 2010年4月14日
適用対象: SharePoint Foundation 2010
クレーム プロバイダー
Microsoft SharePoint 2010 のクレーム プロバイダーは、クレームを発行します。また、クレームをセキュリティ トークン、つまりユーザーのトークンにパッケージ化します。ユーザーのトークンは、ユーザーが Microsoft SharePoint Foundation 2010 または Microsoft SharePoint Server 2010 にサインインするときに検証され、ユーザーはそのトークンを使用して SharePoint にサインインします。
SharePoint のクレーム プロバイダーには、拡張と選択の 2 つのロールがあります。
注意
クレーム プロバイダーを作成する方法については、「[方法] クレーム プロバイダーを作成する」を参照してください。
クレーム拡張
拡張ロールでは、サインイン中に、クレーム プロバイダーがクレームによってユーザー トークンを拡張します。クレーム拡張により、アプリケーションが追加のクレームをユーザーのトークンに拡張できます。たとえば、Windows ベースのログインでは、Active Directory ディレクトリ サービスがすべてのユーザーのセキュリティ グループをユーザーの Windows トークンに拡張できます。クレーム ベースのログインでは、カスタマー リレーションシップ マネジメント (CRM) アプリケーションが CRM データベースからロールを拡張できます。これらのクレームをユーザーのトークンに含めることで、そのクレームに対してリソースを承認できます。つまり、これらのクレームを使用して、特定のユーザーが特定のリソースにアクセスできるかどうかを決定できます。
クレーム選択
選択ロールでは、クレーム プロバイダーにより、クレームのリスト、解決、検索、表示名の機能がユーザー選択ウィンドウに提供されます。クレーム選択を使用すると、たとえば、SharePoint サイトまたは SharePoint サービスのセキュリティを構成しているときに、アプリケーションのユーザー選択ウィンドウにクレームを表示できます。
クレーム プロバイダー使用のシナリオ
クレーム プロバイダーは、さまざまなシナリオの解決に使用されます。次に、クレーム プロバイダーを使用して解決できるシナリオの例をいくつか示します。
リスト、解決、および検索
Microsoft SharePoint Server 2010 には、組み込みの認証プロバイダーのリスト、解決、および検索を有効にする組み込みのクレーム プロバイダーがあります。組み込みの認証プロバイダーの例としては、Windows Active Directory、フォーム ベース認証、および信頼された SAML (Security Assertion Markup Language) トークン発行者、つまり Security Token Service (STS) があります。
信頼された SAML トークン発行者の場合、SharePoint Server 2010 は、リストまたは検索を提供しません。ユーザーが値を入力すると、その値は SharePoint Server 2010 によって常に解決されます。つまり、「adam@contoso.com」と入力すると、ユーザー選択ウィンドウは値を受け付けます。これは、STS がクレーム値を解決、検索、リストする方法を指定する業界標準が存在しないからです。
ユーザーは組み込みのクレーム プロバイダーをオーバーライドして、カスタム検索、名前の解決、およびリスト機能を実装できます。これは、たとえば信頼された SAML トークン発行者を使用するシナリオでは特に便利です。
認証済みユーザーまたはすべてのユーザーのクレーム
SharePoint Server 2010 には、認証済みユーザーなどの概念の実装サポートを有効にする、特定の組み込みクレーム プロバイダーがいくつか存在します。これは、すべてのユーザーのクレームとも呼ばれます。このシナリオにより、指定された認証プロバイダーからすべてのユーザーに対して権限を付与できます。
注意
認証プロバイダーには、Windows Active Directory、フォーム ベース認証、または信頼された SAML トークン発行者 (つまり STS) があります。
SharePoint Server 2010 には、分類サービスによって使用される内部クレームを追加するシステム クレーム プロバイダーもあります。たとえば、このクレーム プロバイダーは、ファーム ID およびアプリケーション プール アカウントを追加します。
クレームを元のトークンに追加する
組み込みのクレーム プロバイダーの中には、元の "トークン" からクレームを追加するときに使用されるものもあります。"トークン" という言葉を引用符で囲むのは、一部の認証プロバイダーが本当のトークンを提供しないからです。たとえば、フォーム ベース認証 (つまり、ASP.NET メンバーシップとロールのプロバイダー) がこれに当てはまります。この場合は、概念的な観点からトークンをとらえます。
追加のクレームをユーザーの元のクレーム トークンに追加しなければならないことがあります。このシナリオでは、クレーム プロバイダーが必要になる可能性があります。たとえば、SAP ロールをユーザーの元のクレームに追加するときに、クレーム プロバイダーを必要とする場合があります。
元のトークンに属さない ID
ユーザー選択およびトークンのクレームに関してシステムに特定の要件があるシナリオについて考えてみます。このシナリオでは、Microsoft .NET Passport Unique ID (PUID) および元のユーザーに基づいてユーザーの ID を認識します。ただし、ユーザーの情報が属するのは元のユーザー トークンではありません。この情報のソースはカスタム Active Directory です。また、ユーザーが所属する可能性のある追加の Active Directory グループもあります。これは、元のユーザー トークン (Windows Live ID が発行) には含まれません。このシナリオでは、クレーム プロバイダーを作成して、システム固有のニーズを満たすことができます。