使用可能な認証モード

  • [アーティクル]

最終更新日: 2010年4月16日

適用対象: SharePoint Server 2010

この記事の内容
パススルー認証
RevertToSelf 認証
WindowsCredentials 認証
資格情報認証
DigestCredentials 認証
重要

Microsoft Business Connectivity Services (BCS) を使用して Web または WCF サービスに接続する場合、以下の認証モードを使用できます。

パススルー認証

パススルー認証は、クライアントの認証情報を外部システムに渡すオペレーティング システムの機能です。BCS は、データベース接続と Web/WCF サービス接続の両方についてパススルー認証をサポートしています。パススルー認証を使用する場合は、エンド ユーザーの ID で認証されます。

Web ページから BDC にアクセスすると、BDC は Microsoft インターネット インフォメーション サービス (IIS) のワーカー プロセス w3wp.exe で実行されます。このプロセスの ID は、ログオン ユーザーを偽装している IIS アプリケーション プール アカウントです。BDC がバックエンド サーバーに対して認証を行うときにログオン ユーザーの ID が失われることを回避するには、IIS を実行しているサーバーと他のコンピューターの間で Kerberos 委任を有効にする必要があります。Kerberos 委任により、受信側のサーバーが、認証要求を適切な場所に送信できるようになります。

BDC は、クロールのために使用される場合、フィルターのデーモン プロセス mssdmn.exe で実行されます。フィルター デーモン プロセスのスレッドは、バックエンド コンテンツ ソースにアクセスするため、バックエンド コンテンツ ソースに関連付けられているコンテンツ アクセス アカウントを偽装します。

パススルー認証を使用する場合の欠点は、オペレーティング システムで提供されるのがユーザー名とパスワードだけであることです。このため、企業で要素が 2 つある認証 (ユーザー名とパスワードに加えて、特定の個人情報を持っていることをユーザーに要求する場合) を使用する場合、パススルー認証は使用できません。

パススルー認証は簡単に使用できるため、テスト環境での使用には適しています。また、Web サービスまたは対象のサーバーが匿名認証や SSL 接続を使用している場合にも使用できます。

RevertToSelf 認証

ユーザーが Windows 認証を使用してログオンすると、IIS はその特定のアカウントを偽装します。IIS はアプリケーション プール ID で実行されている間はログオン ユーザーを偽装し、要求は、偽装されたユーザーの下で実行され、次の処理に渡されます。

RevertToSelf 認証を使用すると、この偽装を元に戻し、IIS アプリケーション プールに構成されている、元になっているアカウントとして認証することができます。

注意注意

認証用のユーザー定義のコードに RevertToSelf を使用すると、アプリケーション プール ID に特権を付与することにより、ユーザーにバックエンド サーバーのシステム レベルの特権を付与できます。ユーザー定義のコードは、運用システムで実行する前に徹底したテストを実施してください。

WindowsCredentials 認証

Microsoft SharePoint Server 2010 は、指定された Secure Store プロバイダーからの Windows 資格情報を使用して認証を行います。Web または WCF サービスで Windows 認証を使用する場合はこのモードを使用します。このモードを使用する前に、Secure Store Service をセットアップする必要があります。Windows 資格情報を使用する場合、BDC は、Secure Store Service から返されたユーザー名フィールドを domain\user に分割し、ドメイン、ユーザー名、パスワードを使用して認証を実行します。

資格情報認証

Microsoft SharePoint Server 2010 は、指定された Secure Store プロバイダーから提供される Windows 認証以外の資格情報を使用して、Web/WCF サービス システムを認証します。これらの資格情報は、Web サービス サーバーの構成に応じて、基本認証またはダイジェスト認証に使用されます。基本認証とダイジェスト認証では資格情報が適切に保護されないため、SSL と IPSec の両方またはそのどちらかを使用して、Web サービス サーバーと、BDC を実行するサーバーとの間の通信をセキュリティで保護する必要があります。

Web サービスで Windows 資格情報以外の資格情報を使用する場合はこのモードを使用します。このモードを使用する前に、Secure Store Service をセットアップする必要があります。資格情報を使用する場合、WindowsCredentials モードの場合のように、BDC は Secure Store Service から返されたユーザー名フィールドを domain\user に分割しようとせず、ユーザー名とパスワードを直接使用して認証を行います。

DigestCredentials 認証

Microsoft SharePoint Server 2010 は、HTTP ダイジェスト資格情報を使用して WCF サービス システムを認証することもできます。詳細については、「ClientCredentials.HttpDigest プロパティ」を参照してください。

重要

BDC が WSDL に接続できないことを示す、アプリケーション定義関連のインポート エラーが発生する場合、WSDL がパブリックでない可能性があります。このような場合、このトピックで説明したいずれかのモードを使用して認証の設定を行うか、WSDL をローカル システムに手動でコピーして WSDLFetchURL をファイルの URL に指定します。