SharePoint での認証、承認、およびセキュリティAuthentication, authorization, and security in SharePoint

SharePoint の認証、承認、およびセキュリティの新機能What's new in SharePoint for authentication, authorization, and security

以下に、SharePoint に追加された強化機能をいくつか挙げます。The following are some of the enhancements added to SharePoint:

  • ユーザー サインインUser sign-in

    • SharePointは、クレーム認証とクラシック認証の両方の認証モードを引き続きサポートします。クレーム認証は SharePointの既定の認証オプションです。クラシックモード認証は使用されなくなり、Windows PowerShell の使用によってのみ管理できます。SharePointの多くの機能でクレームモードを使用する必要があります。SharePoint continues to offer support for both claims and classic authentication modes. Claims authentication is the default authentication option in SharePoint. Classic-mode authentication is deprecated and can be managed only by using Windows PowerShell. A lot of features in SharePoint require claims-mode.

    • SharePoint 2010 の MigrateUsers メソッドは使用されなくなり、アカウントを移行するための正しい手段ではなくなりました。アカウントを移行するには、 Convert-SPWebApplication という Windows PowerShell の新しいコマンドレットを使用します。詳細については、「 SharePoint でクラシックモードからクレームベース認証に移行する」を参照してください。The MigrateUsers method from SharePoint 2010 is now deprecated, it's no longer the correct way to migrate accounts. To migrate accounts, use the new Windows PowerShell cmdlet called Convert-SPWebApplication. For more information see Migrate from classic-mode to claims-based authentication in SharePoint.

    • クレーム プロバイダーを登録するための要件は除外されています。ただし、クレームの種類を事前に設定しておく必要があります。クレームの種類の文字を選択でき、クレームの種類の順序に制約はありません。Requirement to register claims providers is eliminated. However, you do have to pre-configure claims type. You can choose the characters for the claim type and there is no enforcement on the ordering of claim types.

    • SharePointは、Windows Server AppFabric キャッシュ機能を使用して、新しい分散キャッシュ サービスの FedAuth クッキーを追跡します。SharePoint tracks FedAuth cookies in the new distributed cache service using Windows Server AppFabric Caching.

    • 認証の問題のトラブルシューティングに役立つように、以前よりもはるかに多くのログが提供されます。Significantly more logging is provided to help troubleshoot authentication issues.

  • サービスおよびアプリケーションの認証Services and app authentication

    • SharePointでは、SharePoint 用のアプリケーションを作成できるようになりました。SharePoint アドインには独自の ID があり、アプリ プリンシパルというセキュリティ プリンシパルと関連付けられています。ユーザーやグループと同様に、アプリ プリンシパルにも特定のアクセス許可および権限があります。In SharePoint, you now have the ability to create apps for SharePoint. A SharePoint Add-in has its own identity and is associated with a security principal, called an app principal. Like users and groups, an app principal has certain permissions and rights.

    • SharePointでは、サーバー間のセキュリティ トークン サービス (STS) がサーバー間認証用のアクセス トークンを提供します。サーバー間の STS は、一時アクセス トークンを有効にして、Exchange Server 2013および Microsoft Lync 2013 などの他のアプリケーション サービスや、SharePoint用アプリケーションへのアクセスを可能にします。In SharePoint, the server-to-server security token service (STS) provides access tokens for server-to-server authentication. The server-to-server STS enables temporary access tokens to access other application services, such as Exchange Server 2013 and Microsoft Lync 2013, and apps for SharePoint.

認証と承認Authentication and authorization

SharePointでは、Web サイト、リスト、リスト フォルダーやライブラリ フォルダー、およびアイテムのレベルでユーザー アクセスのセキュリティがサポートされます。セキュリティ管理はすべてのレベルでロールに基づいており、SharePoint プラットフォーム全体に対して一貫したセキュリティ管理を提供します。オブジェクトに対する権限の割り当てには、一貫性のあるロール ベースのユーザー インターフェイスとオブジェクト モデルが使用されます。結果として、リスト レベル、フォルダー レベル、またはアイテム レ ベルのセキュリティに、Web サイト レベルのセキュリティと同じユーザー モデルが実装され、Web サイト全体でのユーザー権限とグループ権限の管理が容易になります。また、SharePointでは、リスト ライブラリとドキュメント ライブラリに含まれるフォルダーとアイテムに対する一意な権限もサポートされます。SharePoint supports security for user access at the website, list, list or library folder, and item levels. Security management is role-based at all levels, providing coherent security management across the SharePoint platform with a consistent role-based user interface and object model for assigning permissions on objects. As a result, list-level, folder-level, or item-level security implements the same user model as website-level security, making it easier to manage user rights and group rights throughout a website. SharePoint also supports unique permissions on the folders and items contained within lists and document libraries.

注意

SharePoint アドインの詳細については、「SharePoint アドインの承認と認証」を参照してください。Note: For information about authorization related to SharePoint Add-ins, see Authorization and authentication of SharePoint Add-ins.

承認とは、あるオブジェクトに対して特定のアクションを実行できるどのユーザーを決定することによって SharePointが Web サイト、リスト、フォルダー、またはアイテムのセキュリティを保護するプロセスです。承認プロセスでは、ユーザーが認証済みであることを前提としています。認証とは、SharePointが現在のユーザーを識別するプロセスです。SharePointでは、認証や ID 管理に独自のシステムを実装しておらず、代わりに外部システム (Windows 認証または Windows 以外の認証) に依存しています。Authorization refers to the process by which SharePoint provides security for websites, lists, folders, or items by determining which users can perform specific actions on a given object. The authorization process assumes that the user has already been authenticated, which refers to the process by which SharePoint identifies the current user. SharePoint does not implement its own system for authentication or identity management, but instead relies on external systems, whether Windows authentication or non-Windows authentication.

SharePointでは、以下の種類の認証をサポートしています。SharePoint supports the following types of authentication:

  • Windows: 基本、ダイジェスト、証明書、NTLM (Windows NT LAN Manager)、および Kerberos を含めたすべての Internet Information Services (IIS) と Windows 認証の統合オプションがサポートされています。Windows 認証では、IIS を使用して SharePointの認証を実行できます。Windows: All Internet Information Services (IIS) and Windows authentication integration options, including Basic, Digest, Certificates, Windows NT LAN Manager (NTLM), and Kerberos are supported. Windows authentication allows IIS to perform the authentication for SharePoint.

    Windows クレーム モードを使用した SharePoint へのサインインの詳細については、「受信クレーム: SharePoint にサインインする」を参照してください。For information about signing in to SharePoint by using Windows claims mode, see Incoming claims: Signing into SharePoint.

    重要: 偽装の中断の詳細については、「呼び出し元ユーザーの偽装を一時中断しないようにする」を参照してください。Important: For information about suspending impersonation, see Avoid suspending impersonation of the calling user.

  • ASP.NET フォーム: プラグ可能な ASP.NET フォーム ベースの認証システムを使用する、Windows 以外の ID 管理システムがサポートされています。このモードでは、SharePointはライトウェイト ディレクトリ アクセス プロトコル (LDAP)、ライトウェイト データベース ID 管理システムなど、外部に定義されたグループまたはロールを含めたさまざまな ID 管理システムを操作できます。フォーム認証では、ASP.NET を使用して SharePointの認証を実行できます。多くの場合、ログオン ページにリダイレクトすることになります。SharePointでは、ASP.NET フォームはクレーム認証でのみサポートされています。フォーム プロバイダーは、クレーム用に構成された Web アプリケーション内に登録する必要があります。ASP.NET Forms: A non-Windows identity management system that uses the pluggable ASP.NET forms-based authentication system is supported. This mode enables SharePoint to work with a variety of identity management systems, including externally defined groups or roles such as Lightweight Directory Access Protocol (LDAP) and light-weight database identity management systems. Forms authentication allows ASP.NET to perform the authentication for SharePoint, often involving a redirect to a log-on page. In SharePoint, ASP.NET forms are supported only under claims authentication. A forms provider must be registered within a web application that is configured for claims.

    ASP.NET メンバーシップとロール パッシブ サインインを使用した SharePoint へのサインインの詳細については、「受信クレーム: SharePoint にサインインする」を参照してください。For information about signing in to SharePoint by using ASP.NET membership and role passive sign-in, see Incoming claims: Signing into SharePoint.

注意

SharePoint では、大文字と小文字を区別するメンバーシップ プロバイダーの使用をサポートしていません。Note: SharePoint does not support working with a case-sensitive membership provider. メンバーシップ プロバイダーに関係なく、データベース内のすべてのユーザーに対して大文字と小文字を区別しない SQL ストレージが使用されます。It uses case-insensitive SQL storage for all users in the database, regardless of the membership provider.

クレームベースの ID および認証Claims-based identity and authentication

クレームベース ID は SharePointの ID モデルで、Windows ベース システムと Windows 以外のベース システムにまたがるユーザーの認証、複数種類の認証方式、リアルタイム認証の強化、プリンシパルの種類の拡充、アプリケーション間でのユーザー ID 委任など、さまざまな機能が含まれます。Claims-based identity is an identity model in SharePoint that includes features such as authentication across users of Windows-based systems and systems that are not Windows-based, multiple authentication types, stronger real-time authentication, a wider set of principal types, and delegation of user identity between applications.

ユーザーが SharePointにサインインするときに、ユーザーのトークンが検証され、そのトークンを使用して SharePoint にサインインします。ユーザーのトークンは、クレーム プロバイダーによって発行されるセキュリティ トークンです。サポートされているサインインあるいはアクセス モードは以下のとおりです。When a user signs in to SharePoint, the user's token is validated and then used to sign in to SharePoint. The user's token is a security token issued by a claims provider. The following are supported sign-in or access modes:

  • Windows クレームモードでのサインイン (既定)Windows claims-mode sign-in (default)

  • SAML パッシブ サインイン モードSAML passive sign-in mode

  • ASP.NET メンバーシップおよびロール パッシブ サインインASP.NET membership and role passive sign-in

  • Windows クラシックモード サインイン (このリリースでは非推奨)Windows classic-mode sign-in (deprecated in this release)

注意

SharePoint へのサインインおよびさまざまなサインイン モードの詳細については、「受信クレーム: SharePoint にサインインする」を参照してください。Note: For more information about signing into SharePoint and the different sign-in modes, see Incoming claims: Signing into SharePoint.

クレームを処理できるアプリケーションを構築する場合、ユーザーはアプリケーションに一連のクレームとして ID を提示します。クレームはそれぞれ、ユーザー名、電子メール アドレスなどです。このしくみの基本にあるのは、何らかの外部 ID システムが構成され、そこからアプリケーションに対して、ユーザーに関するすべての必要な情報 (および、受け取った ID データが信頼できる提供元から得られたものであることを示す暗号化済みの証拠) が個々の要求と共に提供されるという考え方です。When you build claims-aware applications, the user presents an identity to your application as a set of claims. One claim could be the user's name, another might be an email address. The idea here is that an external identity system is configured to give your application all the information that it needs about the user with each request, along with cryptographic assurance that the identity data received by your application comes from a trusted source.

このモデルでは、シングル サインオンの実現が非常に容易になり、ユーザーのアプリケーションは以下の点を考慮する必要がなくなります。Under this model, single sign-on is much easier to achieve, and your application is no longer responsible for the following:

  • ユーザーの認証Authenticating users

  • ユーザー アカウントおよびパスワードの保存Storing user accounts and passwords

  • ユーザー ID の詳細を検索するために企業のディレクトリを呼び出すCalling to enterprise directories to look up user identity details

  • その他のプラットフォームあるいは企業の ID システムとの統合Integrating with identity systems from other platforms or companies

このモデルでは、アプリケーションはユーザーによって提供されたクレームに基づいて、ID に関連する判断をします。これには、ユーザーの名前による簡単なアプリケーションの個人用設定から、アプリケーションのより高度な機能およびリソースにアクセスするためのユーザー認証に至るまで、幅広い用途が含まれます。Under this model, your application makes identity-related decisions based on claims supplied by the user. This could be anything from simple application personalization with the user's first name, to authorizing the user to access higher-value features and resources in your application.

注意

クレーム ベースの ID とクレーム プロバイダーの詳細については、「SharePoint のクレームベース ID と概念」と「SharePoint のクレーム プロバイダー」を参照してください。Note: For more information about claims-based identity and claims providers, see Claims-based identity and concepts in SharePoint and Claims provider in SharePoint.

フォームベース認証Forms-based authentication

フォームベースの認証では、メンバーシップ プロバイダーとロール マネージャーを実装することによって SharePointでのカスタム ID 管理を提供します。メンバーシップ プロバイダーは個別のユーザーを識別および認証するためのインターフェイスを定義し、ロール マネージャーは個別のユーザーを論理グループまたはロールにグループ化するためのインターフェイスを定義します。SharePoint では、メンバーシップ プロバイダーが、必須の System.Web.Security.Membership.ValidateUser メソッドを実装する必要があります。ユーザー名が指定されると、ロール プロバイダー システムは、そのユーザーが属するロールのリストを返します。Forms-based authentication provides custom identity management in SharePoint by implementing a membership provider, which defines interfaces for identifying and authenticating individual users, and a role manager, which defines interfaces for grouping individual users into logical groups or roles. In SharePoint, a membership provider must implement the required System.Web.Security.Membership.ValidateUser method. Given a user name, the role provider system returns a list of roles to which the user belongs.

メンバーシップ プロバイダーは、 System.Web.Security.Membership.ValidateUser メソッドを使用して資格情報を検証します (SharePointでは必須)。ただし、実際のユーザー トークンは、セキュリティ トークン サービス (STS) によって作成されます。STS は、メンバーシップ プロバイダーによって検証されたユーザー名、およびメンバーシップ プロバイダーによって提供されるユーザー名に関連付けられている一連のグループ メンバーシップからユーザー トークンを作成します。The membership provider is responsible for validating the credential information by using the System.Web.Security.Membership.ValidateUser method (required now in SharePoint). But, the actual user token is created by the security token service (STS). The STS creates the user token from the user name validated by the membership provider and from the set of group memberships associated with the user name that are provided by the membership provider.

注意

STS の詳細については、「SharePoint のクレームベース ID と概念」を参照してください。Note: For more information about STS, see Claims-based identity and concepts in SharePoint.

ロール マネージャーはオプションです。カスタムの認証システムがグループをサポートしない場合、ロール マネージャーは不要です。SharePointでは、URL ゾーン ( SPUrlZone ) ごとにメンバーシップ プロバイダーとロール マネージャーを 1 つずつサポートします。ASP.NET フォームのロールには、権限の継承は関連付けられていません。代わりに、SharePointでは、そのポリシーと承認によって権限をフォームのロールに割り当てます。SharePointでは、フォーム ベースの認証はクレーム ベース ID モデルに統合されています。追加拡張によって URL ゾーンごとに 1 つのロール プロバイダーという制限を回避する必要がある場合は、クレーム プロバイダーを利用できます。The role manager is optional. If a custom authentication system does not support groups, a role manager is not necessary. SharePoint supports one membership provider and one role manager per URL zone ( SPUrlZone ). The ASP.NET forms roles have no inherent rights associated with them. Instead, SharePoint assigns rights to the forms roles through its policies and authorization. In SharePoint, the forms-based authentication is integrated with the claims-based identity model. If you need additional augmentation to bypass the limit of having one role provider per URL zone, you can rely on claims providers.

注意

クレーム ベースの ID とクレーム プロバイダーの詳細については、「SharePoint のクレームベース ID と概念」と「SharePoint のクレーム プロバイダー」を参照してください。Note: For more information about claims-based identity and claims providers, see Claims-based identity and concepts in SharePoint and Claims provider in SharePoint.

ASP.NET メンバーシップおよびロール パッシブ サインインでは、クライアントを、ASP.NET ログイン コントロールがホストされている Web ページにリダイレクトすることによってサインインが行われます。ユーザー ID を示す ID オブジェクトが作成されたら、そのオブジェクトは、SharePointでユーザーのクレームベースの表現を表す ClaimsIdentity オブジェクトに変換されます。In ASP.NET membership and role passive sign-in, the sign-in happens by redirecting the client to a web page where the ASP.NET log-in controls are hosted. After the identity object that represents a user identity is created, SharePoint converts it to a ClaimsIdentity object (which represents a claims-based representation of a user).

注意

SharePoint へのサインインの詳細については、「受信クレーム: SharePoint にサインインする」を参照してください。Note: For more information about signing into SharePoint, see Incoming claims: Signing into SharePoint.

SharePointでは標準の ASP.NET ロール プロバイダー インターフェイスを使用して、現在のユーザーのグループ情報を収集します。認証目的としては、ロールとグループは同じものです。どちらも承認用の論理セットにユーザーをグループ化するための方法です。それぞれの ASP.NET ロールは、SharePointによってドメイン グループとして扱われます。SharePoint consumes the standard ASP.NET role provider interface to gather group information about the current user. For authentication purposes, roles and groups are the same thing: a way of grouping users into logical sets for authorization. Each ASP.NET role is treated as a domain group by SharePoint.

ASP.NET によって提供されるプラグ可能な認証フレームワークの詳細については、ASP.NET の開発者向けドキュメントを参照してください。For information about the pluggable authentication framework provided by ASP.NET, see ASP.NET developer documentation.

注意

フォーム ベース認証の詳細については、「SharePoint 製品とテクノロジのフォーム認証 (パート 1): 概要」を参照してください。For more information about forms-based authentication, see Forms authentication in SharePoint products and technologies (Part 1): Introduction.

関連項目See also