外部システムに接続するために Secure Store Service を使用する
最終更新日: 2010年9月24日
適用対象: SharePoint Server 2010
この記事の内容
ターゲット アプリケーションの種類
ユーザーのためのログオン アカウント情報
ターゲット アプリケーションのためのアカウント情報
Microsoft Business Connectivity Services (BCS) ソリューションでは、現在のユーザーが異なる方法で識別されている、あるいは認証のために異なるアカウントを持っている外部システムへの認証を試行することが非常に一般的です。このような場合、Secure Store Service を使用して、外部システムが必要とするユーザー資格情報を格納およびマップすることができます。また、複数のユーザーが外部システム上で一連の資格情報を使用して、その外部システムにアクセスできるように Secure Store Service を設定することができます。
たとえば、Fred という名前のユーザーが SharePoint Server を実行中のサーバーにアカウントを持ち、CRM アプリケーションでもう 1 つのアカウントを持っている場合、Secure Store Service メカニズムは彼の CRM 資格情報が SharePoint Server 上の Secure Store Service データベースに保存できるようにします。結果として、彼が CRM アプリケーションからデータを取得するために Business Connectivity Services ソリューションを使用した場合、Business Connectivity Services がサーバー上の Secure Store Service データベースを参照して、CRM に彼の資格情報を提供します。このようにして、Fred は個別に CRM アプリケーションにログオンしなくても、自動的に CRM アプリケーションにログオンできます。
Secure Store Service は、外部システムに接続するときにダブルホップ問題が起きた場合にも役立ちます。すなわち、接続しようとしている SharePoint Server と外部システムが異なるコンピューター上にある場合です。このような場合、Business Connectivity Services サービスをホストするネットワーク アカウントが外部システム上で権限を与えられる RevertToSelf を認証メカニズムとして使用するか、あるいは Secure Store Service を使用して、ユーザーのアカウントにそのユーザーの資格情報をマップすることができます。
Microsoft Office クライアントで同様の機能を提供するために、Business Connectivity Services は Windows 資格情報ストアを使用する Secure Store Service プロバイダーを提供します。
Secure Store Service 環境では、外部システムは、ターゲット アプリケーションと呼ばれます。Business Connectivity Services ソリューションが接続するそれぞれの外部システムについて、対応するターゲット アプリケーションを、SharePoint Serverの全体管理を使用して Secure Store Service で設定する必要があります。
.gif "注意") 注意 |
|---|
またカスタム Secure Store プロバイダーを作成して、Microsoft SharePoint 2010 で利用可能な ISecureStoreProvider インターフェイスを実装することにより、外部システムが必要とするユーザー資格情報を格納してマップすることができます。しかし、Microsoft SharePoint Designer 2010 は、カスタム Secure Store プロバイダー実装を使用する外部コンテンツ タイプの作成をサポートしない点に注意してください。 |
ターゲット アプリケーションの種類
ターゲット アプリケーションにはいくつかの種類があります。これらは 2 つの広義のカテゴリー (個別のターゲット アプリケーションとグループのターゲット アプリケーション) に分類されます。ターゲット アプリケーションの種類は、ユーザー資格情報のマップに使用されるアカウントの種類に対応します。それぞれのユーザーがターゲット アプリケーションにアカウントを持っている場合は、個別の種類を選択します。ターゲット アプリケーションがすべてのユーザーに対して 1 つのアカウントを使用する場合は、グループの種類を選択します。残りのターゲット アプリケーションの種類は、これらの 2 つの主要な種類に基づきます。以下の表では、Secure Store Service ターゲット アプリケーションの、利用できるすべての種類について説明します。表 1 では、ターゲット アプリケーションの種類について説明します。
表 1. ターゲット アプリケーションの種類
|
ターゲット アプリケーションの種類 |
説明 |
|---|---|
|
個別のターゲット アプリケーション |
|
|
Individual |
外部システム上の一意の資格情報セットに各個人をマップするために使用されます。 |
|
IndividualWithTicketing |
外部システム上の一意の資格情報セットに各個人をマップするために使用され、資格情報を取得するために別のアカウント (通常サービス アカウント) が後から使用できるチケットを発行できます。チケットを使用するアカウントは、ターゲット アプリケーションのチケット引き換えユーザーのメンバーである必要があります。チケットの取得と使用方法の詳細については、SecureStoreProvider クラスの IssueTicket() メソッドと GetCredentialsUsingTicket(String, String) メソッドを参照してください。 |
|
RestrictedIndividual |
呼び出しコンテキストに対するアクセスが制限された外部コンテンツの一意の資格情報セットに各個人をマップするために使用されます。これらの資格情報を取得するには、GetRestrictedCredentials(String) メソッドを呼び出す必要があります。Secure Store Service プロバイダーでは、完全に信頼されたコードのみが GetRestrictedCredentials メソッドを呼び出すことができます。 |
|
グループのターゲット アプリケーション |
|
|
Group |
外部システム上の資格情報の単一セットに、1 つ以上のグループのすべてのメンバーをマップするために使用されます。 |
|
GroupWithTicketing |
外部システム上の資格情報の単一セットに、1 つ以上のグループのすべてのメンバーをマップするために使用され、資格情報を取得するために別のアカウント (通常サービス アカウント) が後から使用できるチケットを発行できます。チケットを使用しようとするアカウントは、ターゲット アプリケーションのチケット引き換えユーザーのメンバーである必要があります。チケットの取得と使用方法の詳細については、SecureStoreProvider クラスの IssueTicket() メソッドと GetCredentialsUsingTicket(String, String) メソッドを参照してください。 |
|
RestrictedGroup |
呼び出しコンテキストに対するアクセスが制限された外部システム上の資格情報の単一セットに、1 つ以上のグループのすべてのメンバーをマップするために使用されます。これらの資格情報を取得するには、GetRestrictedCredentials(String) メソッドを呼び出す必要があります。Secure Store Service プロバイダーでは、完全に信頼されたコードのみが GetRestrictedCredentials メソッドを呼び出すことができます。 |
ユーザーのためのログオン アカウント情報
一般的には、ユーザー名とパスワードのみが必要です。高度にセキュリティ保護された環境では、ユーザー識別のためにその他の要素を必要とすることがあります。一部のシステムではアプリケーションを識別するために、ユーザーからその他の情報を必要とすることがあります。たとえば、Oracle にアクセスする場合は、ユーザーは以下の表 2. に示された情報を入力することが必要になる場合があります。
表 2. Oracle にアクセスするためにユーザーが入力する情報
フィールド |
この情報を入力する |
|---|---|
フィールド 1 |
Oracle ユーザー名 |
フィールド 2 |
Oracle ユーザー パスワード (マスク オプションでは [はい] を選択する) |
フィールド 3 |
Oracle データベース名 |
CRM アプリケーションにアクセスするには、ユーザーは表 3. に示された情報を入力することが必要になる場合があります。
表 3. CRM アプリケーションにアクセスするためにユーザーが入力する情報
フィールド |
この情報を入力する |
|---|---|
フィールド 1 |
CRM ユーザー名 |
フィールド 2 |
CRM パスワード (マスク オプションでは [はい] を選択する) |
フィールド 3 |
CRM システム番号 |
フィールド 4 |
CRM クライアント番号 |
フィールド 5 |
言語 |
ターゲット アプリケーションのためのアカウント情報
エンタープライズ アプリケーションに接続するためにグループ アカウントを使用している場合、アカウント資格情報を入力する必要があります。ターゲット アプリケーションを追加した後で、Secure Store Service 管理者あるいはターゲット アプリケーションの管理者アカウントのメンバーが、SharePoint サーバーの全体管理の Secure Store Service 管理ユーザー インターフェイスを使用して、外部システムに接続するアカウント名と使用するパスワードを指定します。
SharePoint サーバーの全体管理サイトを使用して Secure Store Service の外部システムのアカウント情報を入力する管理者は、グループ アカウントのパスワードも知っている必要があります。
Secure Store Service でターゲット アプリケーションを作成し、アカウント資格情報を設定する方法については、「Secure Store Service を構成する (SharePoint Server 2010)」を参照してください。