ビジネス インテリジェンス サービス アプリケーション用の Secure Store

  • [アーティクル]

 

適用先: SharePoint Server 2010

トピックの最終更新日: 2016-11-30

ここでは、Microsoft SharePoint Server 2010 のビジネス インテリジェンス機能が Secure Store Service を使用して外部データ ソース (SQL Server など) へのアクセスを SharePoint Server 2010 ユーザーに提供する方法について説明します。この記事の目的に関係のある SharePoint Server 2010 ビジネス インテリジェンスのサービス アプリケーションは次のとおりです。

  • Excel Services

  • PerformancePoint Services

  • Visio Services

SharePoint Server 2010 ビジネス インテリジェンスのサービス アプリケーションは、2 種類のデータ アクセス方法をユーザーに提供します。

  • 制限付きの Kerberos 委任を使用する統合 Windows 認証

  • Secure Store Service

この記事では、Secure Store Service について、およびビジネス インテリジェンス サービス アプリケーションに対するその関係について説明します。制限付きの Kerberos 委任を使用する統合 Windows 認証の使用方法については、「Kerberos 認証を計画する (SharePoint Server 2010)」を参照してください。

Secure Store Service

Secure Store は SharePoint Server 2010 の機能であり、データにアクセスを試みる SharePoint Server 2010 ユーザーの代わりにビジネス インテリジェンス サービス アプリケーションがデータ アクセスで一連の資格情報を使用できるようにすることで、SharePoint Server 2010 の外部のデータ (たとえば、SQL Server データ) へのアクセスを提供します。このようにユーザーの代わりにビジネス インテリジェンス サービス アプリケーションが資格情報を使用することを、"偽装" といいます。

Secure Store は、ビジネス インテリジェンス サービス アプリケーション、ユーザー、資格情報の間のこのようなマッピングを、"ターゲット アプリケーション" を使用することで実現します。Secure Store のターゲット アプリケーションはメタデータのコレクションであり、ビジネス インテリジェンス サービス アプリケーションが外部データにアクセスするときの偽装に使用する特定の資格情報のセットにアクセスできるユーザーが指定されています。このメタデータは、Secure Store データベースに資格情報自体と一緒に格納されています。資格情報は暗号化されています。

SharePoint Server 2010 は Secure Store のターゲット アプリケーションをさまざまな方法で使用できますが、SharePoint Server 2010 ビジネス インテリジェンスのシナリオに関しては、ターゲット アプリケーションはファーム管理者が構成可能な以下の設定で構成されています。

  • 管理者   ターゲット アプリケーションの管理者は、特定の Secure Store ターゲット アプリケーションを管理するための特権を持っているユーザーです。必要に応じて、ファーム管理者または特定の 1 人または複数のユーザーがなることができます。PerformancePoint Services が作成するターゲット アプリケーションの場合、管理者は PerformancePoint Services によって自動的に構成され、無人サービス アカウントを構成するユーザーが管理者として追加されます。

  • メンバー   ターゲット アプリケーションのメンバーは、ビジネス インテリジェンス サービス アプリケーションが外部データにアクセスするときにターゲット アプリケーションの資格情報を偽装されるユーザーです。1 人のユーザー、複数のユーザー、または Active Directory グループがなることができます。メンバーは "資格情報の所有者" とも呼ばれます。PerformancePoint Services が作成するターゲット アプリケーションの場合、PerformancePoint Services アプリケーション プールによって使用されるサービス アカウントがメンバーとして使用されます。

  • 資格情報   ターゲット アプリケーションの資格情報は、データ ソースに直接アクセスできる Active Directory アカウントで構成されます。このアカウントには必要なデータ アクセスを直接許可する必要があります。外部データ ソースへのアクセスは SharePoint Server 2010 によっては制御されません。このアカウントは、データ アクセスを許可するだけの低い特権のアカウントにする必要があります。ビジネス インテリジェンス サービス アカウントはこのアカウントを偽装して、ユーザーがデータにアクセスできるようにします。

Excel Services および Visio Services の場合、ファーム管理者は Secure Store を使用して管理者、メンバー、および資格情報を直接構成できます。PerformancePoint Services の場合は、これらの値は [PerformancePoint Service アプリケーションの設定] を使用して構成する必要があり、Secure Store では変更できません。

Visio Services および Excel Services は、次の 2 つの方法のどちらかで Secure Store を使用できます。

  • 指定されたターゲット アプリケーション   特定のターゲット アプリケーションが、Excel ワークシートまたは Visio Web 図面で指定されています。ユーザーがワークシートまたは Web 図面にアクセスすると、Secure Store はそのターゲット アプリケーションと関連付けられている資格情報をデータ アクセスに使用します。Visio Services の場合、このターゲット アプリケーションは SharePoint Server 2010 でホストされている ODC ファイルを使用して指定されている必要があります。

  • 指定されていないターゲット アプリケーション (無人サービス アカウント)   ターゲット アプリケーションは、Excel ワークシートまたは Visio Web 図面では指定されていません。外部データ ソースに接続されたワークシートまたは Web 図面にユーザーがアクセスすると、Secure Store は Excel Services または Visio Services のグローバル設定で指定されているターゲット アプリケーションを使用します。ターゲット アプリケーションがビジネス インテリジェンス サービス アプリケーションに対してグローバルに指定されている場合、ターゲット アプリケーションの資格情報は "無人サービス アカウント" と呼ばれます。

PerformancePoint Services は、特定の Secure Store ターゲット アプリケーションを指定できません。無人サービス アカウントでのみ Secure Store を使用できます。

発生する基本的なイベントのシーケンスは次のとおりです。

  1. SharePoint Server 2010 のユーザーが、Excel Services ワークシート、Visio Services Web 図面、PerformancePoint Services ダッシュボードなどのデータに接続されたオブジェクトにアクセスします。

  2. データ認証に Secure Store を使用するようにオブジェクトが構成されている場合、ビジネス インテリジェンス サービス アプリケーションは、Secure Store Service を呼び出して、オブジェクトで指定されているターゲット アプリケーションにアクセスします。

  3. ユーザーがそのターゲット アプリケーションのメンバーである場合、ターゲット アプリケーションに格納された資格情報が 返されて、ビジネス インテリジェンス サービス アプリケーションはデータ アクセスの間、資格情報を偽装します。

  4. ワークシート、Web 図面、またはダッシュボードのコンテキストで、データがユーザーに表示されます。

データ接続ファイル

すべてのビジネス インテリジェンス サービス アプリケーションは、データ接続ファイルを使用して、認証情報を指定できます。Excel Services および Visio Services は Office データ接続 (.ODC) ファイルを使用し、PerformancePoint Services は PerformancePoint Services データ接続 (.PPSDC) ファイルを使用します。このようなファイルを使用することで、複数の Excel Services ワークシート、Visio Services Web 図面、または PerformancePoint Services ダッシュボードが、共通のデータ アクセス パラメーターのセットを共有できます。

データ接続ファイルの使用方法は、SharePoint Server 2010 ビジネス インテリジェンス サービス アプリケーションによって異なります。各アプリケーションによるデータ接続ファイルの使用方法については、以下の各サービス アプリケーションのセクションを参照してください。

無人サービス アカウント

無人サービス アカウント とは、ビジネス インテリジェンス サービス アプリケーションのグローバル設定で指定されている Secure Store ターゲット アプリケーションの資格情報のことです。別の認証方法が指定されていない場合、このターゲット アプリケーションを使用してユーザーにデータ アクセスが提供されます。Visio Services の場合は、統合 Windows 認証が使用されないときは常に、たとえ接続ファイルで他の接続情報 (たとえば、SQL 認証文字列) が提供されていたとしても、無人サービス アカウントが必要です。

クライアントおよびサーバーからのデータ アクセス

Microsoft Excel 2010 および Microsoft Visio 2010 は、SharePoint Server 2010 とは独立して機能するクライアント アプリケーションです。これらは SharePoint Server 2010 に対してドキュメントを発行できますが、データ ソースへの認証に Secure Store を直接使用することはできません。データに接続されたワークシートまたは Web 図面を作成または編集するときは、統合 Windows 認証または別のアプリケーション認証方法を使用して、Excel 2013 または Visio 2013 からデータ ソースに直接接続する必要があります (使用できる他の認証方法としては、SQL 認証文字列や OLEDB 接続文字列などがあります)。ワークシートまたは Web 図面が SharePoint Server 2010 に発行された後は、Excel Services または Visio Services は Secure Store を使用してデータ ソースに接続し、ユーザーにコンテンツを表示できます。

PerformancePoint Services ダッシュボード デザイナーは、SharePoint Server 2010 と直接統合されています。ダッシュボード デザイナーは、無人サービス アカウントを使用し、Secure Store を直接使用して認証できます。結果として、無人サービス アカウントに必要なアクセス権があれば、ダッシュボード デザイナーのユーザーは統合 Windows 認証を使用してデータ ソースに直接アクセスする必要はありません。

Excel Services および Visio Services

Excel Services と Visio Services は Secure Store を同じように使用します。

  • どちらも、指定されている Secure Store ターゲット アプリケーションを ODC ファイルに格納できます。

  • どちらも無人サービス アカウントを使用できます。

ただし、Excel Services と Visio Services の間には、次に説明するようないくつかの重要な違いがあります。

Excel Services

Excel Services によって使用されるデータ接続は、SharePoint Server 2010 サイトへの発行の前に、Excel 2013 において構成される必要があります。Excel 2013 ワークシートは、データ接続情報を直接指定することも、接続情報が見つかる ODC ファイルへのポインターを含むこともできます。

データに接続された Excel 2010 ブックまたは ODC ファイルでは、次の認証設定を使用できます。

  • [統合 Windows 認証]   Excel Services を通して Excel 2013 ブックを表示するときは、Kerberos 委任を使用する統合 Windows 認証を指定して、各個別ユーザーを認証します。

  • [SSS ID]   データ ソース アクセスに使用する特定の Secure Store Service ターゲット アプリケーションを指定します。

  • [なし]   接続文字列で資格情報が指定されている場合は、それを使用します。それ以外の場合は、Excel Services のグローバル設定で指定されている Secure Store の無人サービス アカウントを使用します。

これらの設定は、Excel 2013 でワークシートまたは ODC ファイルを開くことによってのみ編集できます。

Visio Services

Visio Services では、Visio Web 図面のデータ接続に 2 つの方法がサポートされています。

  • 埋め込み接続情報

  • ODC ファイルを使用する外部接続情報

Visio 図面を作成してデータ ソースに直接接続すると、その Web 図面を SharePoint Server 2010 に発行するときに、Visio 2013 はデータ ソース情報をファイルに直接格納します。ユーザーが Web 図面を表示すると、Visio Services は Visio Services のグローバル設定で指定されている Secure Store 無人サービス アカウントを使用してデータ ソースに接続します。

Visio 2013 からデータ ソースに直接接続する代わりに、SharePoint Server 2010 に格納されている既存の ODC ファイルを使用してデータ ソースに接続した場合は、ユーザーが Web 図面を発行するときに、Visio 2013 はその ODC ファイルへのリンクを維持します。その後、Visio Services は、データ ソースに接続するときに、ODC ファイルに格納されている接続情報を使用します。特定の Secure Store ターゲット アプリケーションが ODC ファイルで指定されている場合は、これにそのターゲット アプリケーションの使用も含まれます。

Visio 2013 は ODC ファイルを編集できません。Visio Web 図面で ODC ファイルを使用するときは次のようにすることをお勧めします。Excel 2013 で ODC ファイルを作成し、それを SharePoint Server 2010 に発行した後、新しくデータに接続された図を作成するときは、Visio 2013 からデータ ソースとしてその ODC ファイルに接続します。データ クエリや認証情報の変更、ターゲット アプリケーションの指定、または他の設定の変更が必要な場合は、Excel 2013 を使用して ODC ファイルを編集する必要があります。

Visio Services は複雑な SQL クエリを解析できません。複雑なクエリを含む ODC ファイルを使おうとすると、Visio Services はクエリを実行してデータを取得できない可能性があります。

PerformancePoint Services

PerformancePoint Services は、無人サービス アカウントを介してのみ Secure Store を利用します。統合 Windows 認証か無人サービス アカウントかの選択は、データ ソースを作成または編集するときにダッシュボード デザイナーによって行われます。

PerformancePoint Services 無人サービス アカウント用の Secure Store ターゲット アプリケーションの構成は、PerformancePoint Services Service アプリケーションの設定の一部として管理者が行います。このターゲット アプリケーションが Secure Store のターゲット アプリケーションの一覧に表示さている間は、Secure Store で直接変更しないでください。

相違点のまとめ

この記事で説明したように、各ビジネス インテリジェンス サービス アプリケーションが Secure Store を利用する方法は異なります。次の表は、Secure Store の機能と、各ビジネス インテリジェンス サービス アプリケーションに対するオプションをまとめたものです。

注意

各ビジネス インテリジェンス サービス アプリケーションは統合 Windows 認証をサポートします。統合 Windows 認証が指定されている場合、Secure Store のオプションは使用されません。

サービス アプリケーション Secure Store データ接続

PerformancePoint Services

無人サービス アカウントのみ。

常に PPSDC ファイルを使用して行われます。

Excel Services

Secure Store ターゲット アプリケーションを、ODC ファイルで指定するか、または XLSX ファイルに埋め込むことができます。ターゲット アプリケーションが埋め込まれていない場合、または ODC ファイルで指定されていない場合は、無人サービス アカウントが使用されます。

スプレッドシートに埋め込まれるか、または ODC ファイルで指定されます。ODC ファイルは Excel 2013 で編集する必要があります。

Visio Services

Secure Store ターゲット アプリケーションは、ODC ファイルで指定できます。ODC ファイルが使用されていない場合、または ODC ファイルでターゲット アプリケーションが指定されていない場合は、無人サービス アカウントが使用されます。

統合 Windows 認証が使用されないときは常に、ODC ファイルで別のターゲット アプリケーションが指定されている場合を除き、無人アカウントが必要です。

Web 図面に埋め込まれるか、または ODC ファイルで指定されます。複雑なクエリのサポートは限定的です。ODC ファイルは Excel 2013 で編集する必要があります (Visio 2013 は ODC ファイルを編集できません)。

See Also

Concepts

Secure Store Service を構成する (SharePoint Server 2010)
Excel Services の概要 (SharePoint Server 2010)
セキュリティで保護されたストアでの Excel サービスの使用 (SharePoint Server 2010)
PerformancePoint Services の概要 (SharePoint Server 2010)
PerformancePoint Services のセキュリティを計画する (SharePoint Server 2010)
Visio Services を計画する (SharePoint Server 2010)