SharePoint Server の Business Connectivity Services セキュリティ タスクの概要
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Microsoft Business Connectivity Services (BCS) によって操作するデータのセキュリティを確保することは、あらゆる BCS ソリューションにおいて重要です。 SharePoint コンテンツ データベースに保存される通常の SharePoint データとは異なり、BCS ソリューションで表示されるデータは、外部システムの SharePoint 外にあります。 BCS は、SharePoint が外部データにアクセスする際に使用するチャネルを提供します。 BCS ソリューションでは、サイト アクセス許可などの通常の SharePoint Server のセキュリティ コントロールおよびリスト アクセス許可を操作する以外に、追加の通信およびセキュリティ レイヤーを処理する必要があります。 たとえば、外部システムは異なる認証メカニズムまたはプロバイダーを使用している可能性があり、この場合は、ユーザーが SharePoint Server へのアクセスに使用している資格情報とは異なる情報が必要です。 BCS ソリューションにはさらに多くのセキュリティ レイヤーがあるので、その分だけ必要なセキュリティ構成タスクも多数あります。
Business Connectivity Services のセキュリティに関するタスクは、IT 担当者、サイト コレクション管理者/サイト所有者、および開発者の 3 つのロールに割り当てられます。 ここでは、各ロールの作業について例を挙げながら説明します。
IT 担当者は、メタデータ ストアとそのコンテンツのセキュリティ管理を担当します。 また、Secure Store Service でのアカウントとグループ管理、および資格情報マッピングも処理します。
サイト コレクション管理者とサイト所有者は、外部システムが使用するセキュリティの種類と、コードなし、または宣言型の外部コンテンツ タイプを構成して通信する方法を理解する責任を負います。 また、外部リストとビジネス データ Web パーツに対するセキュリティの計画と適用も担当します。
BCS ソリューション開発者は、外部システムで採用されているセキュリティの種類と、BDC モデルを構成する方法について理解する必要があります。これにより、その外部システムと通信できるようになります。また、Office および SharePoint 用アプリの開発と展開に関連するセキュリティも担当します。
Business Connectivity Services のセキュリティ
**Business Data Connectivity サービスへの管理の委任
ファーム管理者が Business Data Connectivity Service のインスタンスを作成した後に最初に行う必要があるのは、サービスの管理を別のアカウント、できればファーム管理者権限がないアカウントに委任することです。 このベスト プラクティスは、最小限の特権を与えるという原則に従っています。 委任されたアカウントには、SharePoint サーバーの全体管理 Web サイトを開き、Business Data Connectivity Service サービス アプリケーションにアクセスするのに必要なアクセス許可が付与されます。 これは、サービスの管理に使用されるプライマリ アカウントになります。 付与できる、または無効にできるのは、フル コントロールのアクセス許可だけです。
メタデータ ストアとそのコンテンツでのアクセス許可の管理
メタデータ ストアには、Business Data Connectivity サービス アプリケーションで使用される外部コンテンツ タイプ、外部システム、BDC モデル定義が保持されます。 BCS サービス管理者の主なジョブの 1 つは、メタデータ ストアとそのメタデータ ストアに含まれるすべてのアイテムのセキュリティを管理することです。 メタデータ ストア内のアイテムは、2 つの方法でアクセス許可を取得します。 まず、メタデータ ストア、BDC モデル、外部システム、または外部コンテンツ タイプにアクセス許可を直接適用できます。 2 つ目の方法は、上位の項目から継承することです。 両方の方法を次の図に示します。
図: メタデータ ストアのアクセス許可
継承 継承は 2 つの方法で行われます。 1 つは、メタデータ ストアに追加された任意のアイテムが、メタデータ ストア自体のアクセス許可構成を継承するというものです。 もう 1 つは、メタデータ ストア、外部システム、および外部コンテンツ タイプのアイテムが、階層でそのアイテムの下位にあるアイテムのアクセス許可を強制的に上書きするというものです。 これは、[ アクセス許可をすべてに反映 する] を選択し、親アイテムに対するアクセス許可を設定するときに [OK] を クリックすると発生します。
直接適用 アイテムのアクセス許可がニーズを満たしていない場合は、アクセス許可を手動で調整できます。
4 つのアクセス許可を直接適用できます。
編集 ユーザーまたはグループがアイテムを編集できるようにします。
実行 ユーザーまたはグループが、メタデータ ストアで外部コンテンツ タイプの操作 (作成、読み取り、更新、削除、クエリ) を実行できるようにします。 BCS ソリューションのすべてのユーザーに、関連する外部コンテンツ タイプでの実行アクセス許可が必要です。
クライアントで選択可能 ユーザーまたはグループが、外部リスト用外部コンテンツ タイプおよび SharePoint 用アプリケーションを使用できるようにします。それには、これらを外部アイテム ピッカーで使用可能にします。
アクセス許可の設定 ユーザーまたはグループが、アイテムでアクセス許可を設定できるようにします。 すべてのアイテムに、"アクセス許可の設定" アクセス許可を持つユーザーまたはグループが少なくとも 1 つ必要です。
メタデータ ストア アクセス許可を管理するときの推奨事項
アカウントを 1 つ (Business Connectivity Services 管理者アカウントなど) を選択し、そのアカウントに [アクセス許可の設定] アクセス許可をメタデータ ストア レベルで付与します。 これにより、すべてのアイテムに [アクセス許可の設定] アクセス許可が付与され、安全に管理された管理アカウントを持つユーザーまたはグループが 1 つ必要であるという要件を満たすようになります。 明示的にアカウントを設定しない場合は、ファーム アカウントが既定で使用されます。 [アクセス許可をすべてに伝達する] オプションは選択しないでください。 すべてのアイテムが、メタデータ ストアへの追加時にこの構成を継承するので、 [アクセス許可をすべてに伝達する] オプションを選択する必要はありません。 これにより、不要なアカウントが、不必要に外部システム、BDC モデル、または外部コンテンツ タイプにアクセスするのを防ぐこともできます。
直接アプリケーションメソッドを使用し、個々の項目に対するアクセス許可を構成します。再び [ すべてのアクセス許可を反映 する] オプションを選択しません。 これにより、各オブジェクトに対して一意のアクセス許可の構成を維持できます。
保守および運用計画の一環として、メタデータ ストア レベルから階層の下位へとアクセス許可の構成を定期的に確認し、各アイテムのアクセス許可の構成が正しいことを確かめます。 アクセス許可の構成が適切な構成から逸れている場合は、手動で再構成することをお勧めします。
" すべてのアクセス許可を伝達する" オプションは、親アイテムとその子アイテムのすべてのアクセス許可を完全にリセットする必要がある場合にのみ使用します。 これは破壊的なプロセスで、子アイテムのカスタム アクセス許可すべてが失われることに注意してください。 この操作により、アクセス許可を失ったユーザーまたはグループの BCS ソリューションが機能しなくなる可能性があります。
Secure Store Service でのアカウントとグループのマッピング**
BCS は、Kerberos の制約付き委任を構成している場合を除き、SharePoint Server ファーム外部のユーザーの資格情報をデータが存在する外部システムに渡すことはできません。 Kerberos の制限付き委任の構成と保守は容易ではありません。 これに代わる方法として、Secure Store Service を使用できます。 Secure Store を使用すると、外部システムにアクセスにするために BCS が使用できる資格情報のセットにユーザーのグループをマップすることができます。
マッピングは 2 とおりの方法で構成できます。
グループ マッピング グループ マッピング ターゲット アプリケーションでは、AD DS ユーザー アカウントとセキュリティ グループを Secure Store に追加し、それを外部システム用の 1 つの資格情報セットにマップします。 BCS ソリューションへのアクセスを管理する方法としては、これが一番簡単です。
個別のマッピング 個別のマッピング ターゲット アプリケーションでは、1 つの AD DS ユーザー アカウントのみを、外部システム用の 1 つの資格情報セットにマップできます。 基本的に、これは 1 対 1 マッピングです。 このマッピングは、通常、管理するアカウントが非常に少ない場合、または外部システムでアクセスおよびアクティビティを追跡する必要がある場合に行います。
Business Data Connectivity Service Application でのアクセス許可の管理
既定では、ファーム内のすべての Web アプリケーションが、サーバー ファーム アカウントを使って Business Data Connectivity Service Application にアクセスできます。 これを変更し、Business Data Connectivity Service Application のアクセスを特定の Web アプリケーションに限定するには、サーバー ファーム アカウントを削除して、必要な Web アプリケーションのアプリケーション プール ID アカウントを追加します。 これにより、どの Web アプリケーションが Business Data Connectivity Service Application にアクセスできるようにするかを制御します。 詳細については、「SharePoint Server で発行されたサービス アプリケーションにアクセス許可を設定する」を参照してください。
Business Data Connectivity Service Application を他のファームに発行する場合は、使用側ファームのファーム ID を追加する必要があります。 詳細については、「SharePoint Server のファーム間でサービス アプリケーションを共有する」を参照してください。