フェデレーションのセキュリティ (Search Server 2008)
更新日: 2008年10月
適用対象: Microsoft Search Server 2008
トピックの最終更新日: 2008-10-02
ここでは、Microsoft Search Server 2008 のフェデレーション機能のセキュリティのベスト プラクティスについて説明します。対象読者は情報技術担当者、システム アーキテクト、および検索サービスの管理者です。
検索フェデレーションの概要
フェデレーション検索を使用すると、エンド ユーザーが Open-search 1.1 に準拠する 1 つ以上の検索エンジンをクエリできる 1 つのクエリを発行して、単一の検索結果ページ上の個別の Web パーツに各検索エンジンの結果を表示できます。検索できるソースは、企業のコンテンツ リポジトリ、その他の検索エンジン、またはコンテンツ インデックスの一部です。検索フェデレーションの詳細については、「Federated Search Overview (英語)」(https://go.microsoft.com/fwlink/?linkid=122651&clcid=0x411) および「フェデレーションを操作する (Search Server 2008)」を参照してください。
認証の種類
フェデレーション検索には、いくつかの種類のユーザー認証、ユーザーごとの資格情報および共通の資格情報を使用できます。ただし、ユーザーごとの認証では、資格情報の収集に、Kerberos 以外の認証用の Web パーツ拡張が必要です。場所定義の認証および資格情報セクションで、フェデレーション場所の認証の種類を指定します。認証の種類には、次のいずれかを指定できます。
匿名
フェデレーション場所への接続に、資格情報は不要です。
共通
フェデレーション場所へのすべての接続で、同じ資格情報セットが使用されます。
ユーザーごと
検索クエリを送信したユーザーの資格情報が、フェデレーション場所への接続に使用されます。
共通およびユーザーごとの認証では、次の認証プロトコルのいずれか 1 つを指定する必要があります。
基本
基本認証は HTTP の仕様の一部であり、ほとんどのブラウザでサポートされています。
セキュリティに関するメモ 基本認証を使用する Web ブラウザは、パスワードを、暗号化されていない形式で送信します。悪意のあるユーザーが、公開されているツールを使用して、ネットワークの通信を盗聴し、パスワードを傍受して解読する可能性があります。したがって、専用線接続や SSL (Secure Sockets Layer) 接続のような、セキュリティ保護されている接続でない限り、基本認証は推奨されません。 ダイジェスト
ダイジェスト認証は、W3C (World Wide Web コンソーシアム) Web サイトの RFC 2617 仕様で定義されているように、HTTP 1.1 プロトコルに依存しています。HTTP 1.1 準拠が必要なため、一部のブラウザでは、ダイジェスト認証はサポートされていません。ダイジェスト認証が有効な場合、HTTP 1.1 に準拠していないブラウザがファイルを要求すると、その要求は拒否されます。これは、ダイジェスト認証がクライアントでサポートされていないためです。ダイジェスト認証は Windows ドメインでのみ使用できます。ダイジェスト認証は、Microsoft Windows Server 2008、Microsoft Windows Server 2003、および Microsoft Windows 2000 Server ドメイン アカウントでのみ機能します。そのアカウントでは、パスワードを、暗号化されたプレーン テキストとして保存する必要があります。
NTLM
ユーザー レコードは、セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory データベースに保存されます。各ユーザー アカウントは、2 つのパスワードに関連付けられます (LAN Manager 互換パスワードと Windows パスワード)。各パスワードは、暗号化されて SAM データベースまたは Active Directory データベースに保存されます。
Kerberos (ユーザーごとの認証のみ)
Kerberos プロトコルを使用することによって、ネットワーク接続のそれぞれの側は、接続相手が、自分が要求した相手であることを確認できます。NTLM では、サーバーはクライアントの ID を確認できますが、クライアントはサーバーの ID を確認できません。また、サーバーが別のサーバーの ID を確認することもできません。NTLM 認証は、サーバーを信頼できるネットワーク環境用に設計されています。
Forms
フォーム認証 Cookie は、フォーム認証チケットのコンテナにすぎません。各要求はチケットをフォーム認証 Cookie の値として渡します。渡された値は、サーバー上で、フォーム認証によって、認証ユーザーの識別に使用されます。 ただし、cookieless フォーム認証は、チケットを、暗号化された形式で URL に渡します。cookieless フォーム認証は、クライアント ブラウザが Cookie をブロックする可能性があるために使用されます。この機能は Microsoft .NET Framework 2.0 で導入されました。
フェデレーション検索のセキュリティによるトリミング
フェデレーション検索を使用するときの重要な考慮事項として、セキュリティによる検索結果のトリミングが挙げられます。セキュリティによるトリミングとは、返される結果を、ユーザー アカウント権限に基づいてフィルタ処理する方法です。既定では、検索結果のセキュリティによるトリミングは、次の場所から返される結果に適用されます。
ローカル ファーム
フェデレーション場所が OpenSearch の場所であり、ユーザーごとの認証用に構成されているシナリオでは、Kerberos 認証が使用される場合、ユーザー資格情報が自動的に渡されます。ただし、ユーザー資格情報は、Kerberos 以外の認証プロトコルでは自動的に渡されません。 このようなシナリオで、現在のユーザーの結果に、セキュリティによるトリミングが適用されるようにするには、フェデレーション検索結果 Web パーツを拡張してユーザー資格情報を収集します。詳細については、「Creating a Custom Federated Search Web Part with a Credentials UI (英語)」(https://go.microsoft.com/fwlink/?linkid=122653&clcid=0x411) を参照してください。
Kerberos 認証を使用しない場合に、各ユーザーの OpenSearch の場所 (ローカル ファーム以外のすべての場所) の検索結果にセキュリティによるトリミングが適用されるようにするときも、フェデレーション検索 Web パーツを拡張してユーザー資格情報が収集されるようにする必要があります。
Search Server 2008 のセキュリティの詳細については、「Search Server 2008 のセキュリティと保護」および「検索のセキュリティに関する考慮事項 (Search Server 2008)」を参照してください。