受信クレーム: SharePoint にサインインする
SharePoint にサインインする
ユーザーが SharePoint Server にサインインするときに、ユーザーのトークンが検証され、ユーザーはそのトークンを使用して SharePoint にサインインします。 ユーザーのトークンは、クレーム プロバイダーによって発行されるセキュリティ トークンです。
注:
1 つの SharePoint ファームとファーム間の SharePoint 要求認証に対する要求認証の詳細については、「TechNet での 要求認証の計画 」を参照してください。
Windows クレーム モードでのサインイン
Windows クレーム モードのサインインでは、ネゴシエート (NTLM/Kerberos) を使用して統合 Windows 認証チャレンジでサインインが行われます。 ただし、 WindowsIdentity オブジェクト (Windows ユーザーを表す) が作成された後、SharePoint Server は WindowsIdentity オブジェクトを ClaimsIdentity オブジェクト (ユーザーのクレーム ベースの表現を表す) に変換します。
SharePoint Server はその後クレーム オーグメントを行い、SharePoint Server によって発行された結果トークンを処理します。 つまり、SharePoint Server がネイティブ Windows ログイン モードであるとクライアントによって見なされていても、SharePoint Server の一部の機能 (サービス アプリケーションのマルチテナント サポート、カスタム クレーム プロバイダーなど) が動作します。 Windows クレーム モードでのサインインは、SharePoint Server に組み込まれている既定の動作です。
クレーム サインインのすべて種類が、パッシブ サインインに依存しています。 パッシブ サインインは、Windows チャレンジを使用して行われますが、302 のリダイレクトを介して届く別のログイン ページから行われます。 このモードは、複数のサインイン方法が有効になっており、サポートされているクレーム プロバイダーをユーザーが選択しなければならないときに役に立ちます。 Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。 Office クライアントの中には、異なるプロトコルに従うものもあります。
SAML パッシブ サインイン モード
SAML (Security Assertion Markup Language) パッシブ サインインでは、ユーザーがサインインするときに、クライアント (Web ページの場合があります) が指定されたクレーム プロバイダー (Windows Live ID クレーム プロバイダーなど) にリダイレクトされます。 クレーム プロバイダーがユーザーを認証した後で、SharePoint Server は、クレーム プロバイダーによって提供された SAML トークンを取得して処理し、クレームを拡張します。
Active Directory フェデレーション サービス (ADFS)、Windows Live ID クレーム プロバイダーなど、SAML ベースのクレーム プロバイダーについては、SAML パッシブ サインイン モードを使用したサインインのみがサポートされています。 SAML パッシブ サインインは SharePoint Online ID モデルです。
注:
SAML パッシブ サインインは、サインインのプロセスを表します。 信頼済みログイン プロバイダーからのトークンをそのまま受け入れるよう Web アプリケーションのサインインを構成する場合、この種類のサインインは SAML パッシブ サインインと呼ばれます。 信頼済みログイン プロバイダーとは、SharePoint が信頼する外部 (つまり、SharePoint の外部) セキュリティ トークン サービス (STS) です。
Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。
ASP.NET メンバーシップおよびロール パッシブ サインイン
ASP.NET メンバーシップおよびロール パッシブ サインインでは、クライアントを、ASP.NET ログイン コントロールがホストされている Web ページにリダイレクトすることによってサインインが行われます。 ユーザー ID を表す ID オブジェクトを作成した後、SharePoint Server はそれを ClaimsIdentity オブジェクト (ユーザーのクレーム ベースの表現を表す) に変換します。
SharePoint Server はその後、クレーム オーグメントを行います。 Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。
Windows クラシック モードでのサインイン
Windows クラシック モードでのサインインは、このリリースでは使用できません。 Windows クラシック モードのサインインでは、ネゴシエート (NTLM/Kerberos) を使用して統合 Windows 認証チャレンジでサインインが行われます。 このモードを使用してユーザーがサインインすると、クレーム オーグメントが行われないので、一部の機能 (サービス アプリケーションのマルチテナント サポート、カスタム クレーム プロバイダーなど) が動作しません。
サービス アプリケーションの中には、一部の機能でクレーム モードを必要とする場合があります。
匿名アクセス
Web アプリケーションの匿名アクセスを有効にできます。 Web アプリケーション内のサイトの管理者が匿名アクセスを許可できます。 匿名ユーザーがセキュリティ保護されているリソースにアクセスするには、ログオン ボタンをクリックして資格情報を送信します。
SharePoint Server はその後、クレーム オーグメントを行います。 Win32 クライアントは、Office クライアントで実装されているフォーム ベース認証をサポートしている必要があります。