SharePoint Server で Secure Store Service を構成する

適用対象:yes-img-13 2013yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

この記事では、SharePoint Server ファームで Secure Store Service を構成する方法について説明します。 Secure Store には、それに関連する重要な計画上の考慮事項があります。 この記事の手順 を開始する前に、「SharePoint Server でセキュリティで保護されたストア サービスを計画 する」を参照してください。

SharePoint Server で Secure Store を構成する

Secure Store サービスは、アプリケーションとフロントエンド サーバーの役割で実行されます。 Secure Store サービス アプリケーションを作成すると、自動プロビジョニングされます。

Secure Store を構成するには、以下の手順に従います。

  1. 管理アカウントを SharePoint Server に登録し、Secure Store アプリケーション プールを実行します。

  2. ファーム内のアプリケーション サーバーで Secure Store Service を起動します。 (SharePoint Server 2013 のみ)

  3. Secure Store Service サービス アプリケーションを作成します。

アプリケーション プールを実行するには、標準のドメイン アカウントが必要です。 このアカウントには特定の権限は必要ありません。 Active Directory にアカウントが作成されたら、次の手順に従って、アカウントを SharePoint Server に登録します。

管理アカウントを登録するには

  1. SharePoint サーバーの全体管理 Web サイト ホーム ページで、左側のナビゲーションの [ セキュリティ] をクリックします。

  2. [セキュリティ] ページの [ 一般的なセキュリティ] セクションで、[ 管理アカウントの構成] をクリックします。

  3. [管理アカウント] ページで、[ 管理アカウントの登録] をクリックします。

  4. [ ユーザー名] ボックスに、アカウントの名前を入力します。

  5. [ パスワード] ボックスに、アカウントのパスワードを入力します。

  6. SharePoint Server でアカウントのパスワードの変更処理を行う場合は、[ パスワードの自動変更を有効にする] ボックスを選択し、使用するパスワード変更パラメーターを指定します。

  7. [OK] をクリックします。

SharePoint Server 2013 を使用している場合は、ファーム内のアプリケーション サーバーで Secure Store Service を起動する必要があります。 (SharePoint Server 2016 を使用している場合、サービスは MinRole によって自動的に開始されます)。

Secure Store Service を開始するには (SharePoint Server 2013)

  1. サーバーの全体管理ホーム ページの [ システム設定] セクションで、[ サーバーのサービスの管理] をクリックします。

  2. [ サービス] ボックスの一覧で、[ サーバー] ドロップダウン リストをクリックし、[ サーバーの変更] をクリックします。

  3. Secure Store Service を実行するアプリケーション サーバーを選択します。

  4. [ サービス] ボックスの一覧で、[ Secure Store Service] の横にある [ 開始] をクリックします。

次に、Secure Store Service サービス アプリケーションを作成する必要があります。 以下の手順を使用して、サービス アプリケーションを作成します。

Secure Store Service サービス アプリケーションを作成するには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. [サービス アプリケーションの管理] ページで、[ 新規] をクリックして、[ Secure Store Service] をクリックします。

  3. [ サービス アプリケーション名] ボックスに、サービス アプリケーションの名前を入力します (例: Secure Store Service)。

  4. [ データベース サーバー] ボックスに、Secure Store データベースを作成する SQL Server のインスタンスを入力します。

    注:

    Secure Store データベースには機密情報が含まれているため、Secure Store データベースを、他の SharePoint Server とは異なる SQL Server のインスタンスに展開することをお勧めします。

  5. [ 新しいアプリケーション プールを作成する] オプションをクリックし、テキスト ボックスにアプリケーション プールの名前を入力します。

  6. [ 構成可能] オプションを選択し、ドロップダウン リストから、以前に管理アカウントを作成したアカウントを選択します。

  7. [OK] をクリックします。

Secure Store Service が構成されました。 次は、Secure Store データベースを暗号化するための暗号化キーを作成します。

Secure Store 暗号化キーの使用

Secure Store Service を使用する前に、暗号化キーを作成する必要があります。 このキーは、Secure Store Service データベース内に保存されている資格情報を暗号化および解読するときに使用されます。

暗号化キーを生成する

初めて Secure Store Service アプリケーションにアクセスするときに行うことは、新しい暗号化キーを生成することだけです。 キーが生成されたら、他の Secure Store 機能も利用できるようになります。

新しい暗号化キーを生成するには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. [Secure Store Service アプリケーション] をクリックします。

  3. [ キーの管理] グループで、[ 新しいキーの生成] をクリックします。

  4. [新しいキーの生成] ページで、[パス フレーズ] ボックスにパス フレーズ文字列を入力し、[パス フレーズの確認入力] ボックスに同じ文字列を入力します。 このパス フレーズが Secure Store データベースの暗号化に使用されます。

    重要

    パス フレーズ文字列は 8 文字以上で、次の 4 つの要素のうち少なくとも 3 つを含める必要があります。 > 大文字 > 小文字 > 数字 > 次のいずれかの特殊文字 > ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    重要

    入力するパス フレーズは保存されません。 パス フレーズをメモしておき、安全な場所に保管してください。 このパス フレーズは、サーバー ファームに新しいアプリケーション サーバーを追加するときなど、キーを更新する場合に必要になります。

  5. [OK] をクリックします。

セキュリティ上の予防措置として、または定期的なメンテナンスの一環として、新しい暗号化キーを生成し、Secure Store Service をその新しいキーに基づいて強制的に再暗号化することができます。 再暗号化には同じ手順を使用できます。

注意

新しいキーを生成する前に、Secure Store Service アプリケーションのデータベースをバックアップする必要があります。

Secure Store 暗号化キーの更新

暗号化キーを更新すると、そのキーがファーム内のすべてのアプリケーション サーバーにコピーされます。 以下のいずれかに当てはまる場合は、暗号化キーの更新が必要になる可能性があります。

  • サーバー ファームに新しいアプリケーション サーバーを追加した場合。

  • 以前にバックアップした Secure Store Service データベースを復元する場合で、かつバックアップ後に暗号化キーを変更した場合。

  • "マスター キーを取得できない" という内容のエラー メッセージが表示された場合。

暗号化キーを更新するには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. [Secure Store Service アプリケーション] をクリックします。

  3. [ キーの管理] グループで、[ キーの更新] をクリックします。

  4. [**パス フレーズ**] ボックスに、最初に暗号化キーを生成するときに使用したパス フレーズを入力します。

    ここで入力するパス フレーズは、Secure Store Service アプリケーションを初期化したときに使用したパス フレーズか、または [ 新しいキーの生成] コマンドを使用して新しいキーを作成したときに使用したパス フレーズです。

  5. [OK] をクリックします。

資格情報を Secure Store に格納する

Secure Store に資格情報を格納するには、Secure Store ターゲット アプリケーションを使用します。 ターゲット アプリケーションは、ユーザー、グループ、または要求の資格情報を、Secure Store データベースに格納されている一連の暗号化された資格情報にマップします。 ターゲット アプリケーションを作成した後、外部コンテンツ タイプまたはアプリケーション モデルに関連付けるか、Excel Online や Visio Services などのビジネス インテリジェンス サービスと関連付けて外部データ ソースへのアクセスを提供できます。 SharePoint Server サービス アプリケーションがターゲット アプリケーションを呼び出すと、Secure Store は、要求を行うユーザーがターゲット アプリケーションの承認されたユーザーであることを確認し、暗号化された資格情報を取得します。 その後、資格情報は SharePoint Server サービス アプリケーションによってユーザーの代わりに使用されます。

ターゲット アプリケーションを作成するには、以下の作業を行う必要があります。

  1. ターゲット アプリケーション自体を作成し、Secure Store データベースに格納する資格情報の種類 (ターゲット アプリケーションの管理者、資格情報の所有者) を指定します。

  2. 格納する資格情報を指定します。

ターゲット アプリケーションを作成する

ターゲット アプリケーションは、サーバーの全体管理の [Secure Store Service アプリケーション] ページに設定されます。 以下の手順を使用して、ターゲット アプリケーションを作成します。

ターゲット アプリケーションを作成するには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. [Secure Store Service アプリケーション] をクリックします。

  3. [ ターゲット アプリケーションの管理] グループで、[ 新規作成] をクリックします。

  4. [ ターゲット アプリケーション ID] ボックスに、テキスト文字列を入力します。

    これは、このターゲット アプリケーションを特定するために外部的に使用する一意の文字列です。

  5. [ 表示名] ボックスに、ターゲット アプリケーションの識別子をユーザー インターフェイスに表示する場合に使用されるテキスト文字列を入力します。

  6. [ 連絡先の電子メール] ボックスに、このターゲット アプリケーションの主要な担当者の電子メール アドレスを入力します。

    ここには、任意の有効な電子メール アドレスを指定できます。Secure Store Service アプリケーションの管理者の ID である必要はありません。

  7. 種類が [個別] (下記参照) のターゲット アプリケーションを作成すると、アクセス先データ ソースの個別の資格情報をユーザーが追加できるカスタム Web ページを実装できます。 この場合は、ターゲット アプリケーションに資格情報を渡すためのカスタム コードが必要になります。 このようなページを実装した場合は、このページの完全な URL を [ターゲット アプリケーション ページの URL] フィールドに入力します。 2 つのオプションがあります。

  • 既定のページを使用する: ターゲット アプリケーションを使用して外部データにアクセスするすべての Web サイトには、自動的に追加された個別のサインアップ ページがあります。 このページの URL は http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspxですか?TargetAppId=<TargetApplicationID>。ここで <TargetApplicationID> は[ ターゲット アプリケーション ID ] ボックスに入力された文字列です。 このページの場所を公開することで、ユーザーが外部データ ソースの資格情報を追加できるようになります。

  • [カスタム ページを使用]: ユーザーが個別の資格情報を指定できるカスタム Web ページを提供します。 カスタム ページの URL をこのフィールドに入力します。

  • [なし]: サインアップ ページはありません。 個別の資格情報は、Secure Store Service アプリケーションを使用する Secure Store Service 管理者のみが追加します。

  1. [ ターゲット アプリケーションの種類] ドロップダウン リストで、ターゲット アプリケーションの種類を選択します。グループ資格情報を使用する場合は「 グループ」を、各ユーザーが外部データ ソース上の一意の資格情報セットにマッピングされる場合は「 個別」を入力します。

    注:

    ターゲット アプリケーションを作成するには、2 つの主な種類があります。 > グループは、1 つ以上のグループのすべてのメンバーを外部データ ソース上の 1 つの資格情報セットにマッピングします。 > 個々のユーザーを外部データ ソース上の一意の資格情報セットにマッピングします。

  2. [次へ] をクリックします。

  3. [Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページを使用して、外部データ ソースに資格情報を提供する際に必要となるさまざまなフィールドを構成します。 既定では、[Windows ユーザー名] と [Windows パスワード] の 2 つのフィールドが指定されています。

    外部データ ソースに資格情報を提供するためのフィールドをさらに追加するには、[ Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページで [ フィールドの追加] をクリックします。

    既定では、新しいフィールドの種類は [汎用] です。 次のフィールドの種類を使用できます。

フィールド 説明
汎用
他のいずれのカテゴリにも属さない値です。
ユーザー名
ユーザーを識別するユーザー アカウントです。
Password
秘密の単語または語句です。
暗証番号 (PIN)
個人を識別する番号です。
キー
暗号化アルゴリズムの機能的出力、つまり暗号を決定するパラメーターです。
Windows ユーザー名
ユーザーを識別する Windows ユーザー アカウントです。
Windows パスワード
Windows アカウントの秘密の単語または語句です。
証明書
証明書です。
証明書のパスワード
証明書のパスワードです。
  • 新しいフィールドまたは既存のフィールドの種類を変更するには、フィールドの種類の横に表示される矢印をクリックして、フィールドの新しい種類を選択します。

    注:

    このターゲット アプリケーションに資格情報を設定する場合は、追加したすべてのフィールドにデータが入力されている必要があります。

  • ユーザーがフィールドに入力する際に表示される名前を変更できます。 [Secure Store のターゲット アプリケーションの資格情報のフィールドを指定します] ページの [フィールド名] 列で、現在のテキストを選択して新しいテキストを入力すると、フィールド名を変更できます。

  • フィールドがマスクされている場合は、ユーザーが入力する文字は表示されず、アスタリスク "*" などのマスク文字に置換されます。 フィールドをマスクするには、ページの [マスク表示] 列で、対応するフィールドのチェック ボックスをオンにします。

  • フィールドを削除するには、ページの [ 削除] 列で、対応するフィールドの削除アイコンをクリックします。

    資格情報フィールドの編集が終了したら、[ 次へ] をクリックします。

  1. [ メンバーシップの設定を指定します] ページの [ ターゲット アプリケーションの管理者] フィールドに、ターゲット アプリケーション設定を管理するためのアクセス権を持っているすべてのユーザーを指定します。

  2. ターゲット アプリケーションの種類が [グループ] である場合は、[ メンバー] フィールドに、このターゲット アプリケーションで資格情報セットにマッピングするユーザー グループを指定します。

  3. [ OK] をクリックして、ターゲット アプリケーションの構成を完了します。

Secure Store ターゲット アプリケーションの資格情報を設定する

ターゲット アプリケーションを作成した後、そのターゲット アプリケーションの管理者は、ターゲット アプリケーションに資格情報を設定できます。 これらの資格情報は、外部データ ソースへのアクセスを提供するために、呼び出し元のアプリケーションによって使用されます。 ターゲット アプリケーションの種類が [個別] である場合は、ユーザーが各自の資格情報を指定できるようにすることもできます。

ターゲット アプリケーションの資格情報を設定するには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. [Secure Store Service アプリケーション] をクリックします。

  3. ターゲット アプリケーション リストで、資格情報を設定するターゲット アプリケーションをポイントし、表示される矢印をクリックして、メニューで [ 資格情報の設定] をクリックします。

    ターゲット アプリケーションの種類が [グループ] である場合は、外部データ ソースの資格情報を入力します。 資格情報を設定するためのフィールドは、外部データ ソースが要求する情報に応じて異なります。

    ターゲット アプリケーションの種類が [個別] である場合は、外部データ ソース上の資格情報セットにマッピングされる個人のユーザー名を入力して、外部データ ソースの資格情報を入力します。 資格情報を設定するためのフィールドは、外部データ ソースが要求する情報に応じて異なります。

  4. [OK] をクリックします。

資格情報が設定されたターゲット アプリケーションは、Business Connectivity Services、Excel Services、Visio Services などの SharePoint Server サービスによって使用できるようになります。

Secure Store 監査ログを有効にする

Secure Store Service の監査エントリは、Secure Store Service データベースに保管されます。 既定では、監査ログ ファイルは無効になっています。

監査ログ エントリには、実行されたタイミング、成功したかどうか、成功しなかった場合に失敗した理由、実行した Secure Store Service ユーザー、必要に応じて、その代わりに実行された Secure Store Service ユーザーなど、Secure Store Service アクションに関する情報が格納されます。 そのため、監査ログ ファイルを有効にする正当な理由は、認証の問題のトラブルシューティングです。

サーバーの全体管理を使用して監査ログを有効にするには

  1. サーバーの全体管理のホーム ページの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

  2. Secure Store サービス アプリケーションを選択します。 (つまり、サービス アプリケーションを選択しますが、リンクをクリックして [Secure Store Service アプリケーションの設定] ページに移動しないでください)。

  3. リボンの [ プロパティ] をクリックします。

  4. [ 監査の有効化] セクションで、[ 監査ログ有効] ボックスをオンにします。

  5. 監査ログ ファイルからエントリを削除するまでの日数を変更するには、[削除までの日数] フィールドで日数を指定します。 既定値は 30 日です。

  6. [OK] をクリックします。

関連項目

その他のリソース

Secure Store Service cmdlets in SharePoint 2013