信頼度の高い SharePoint アドインをパッケージ化して発行する

前提条件

以下のことが必要です。

• オンプレミスの SharePoint 開発環境。 セットアップの手順については、「SharePoint アドインのオンプレミスの開発環境をセットアップする」を参照してください。

• リモート Web アプリケーションのホストとなる IIS Web サーバー。 IIS マネージャーがインストールされている必要があります。

• Visual Studio がリモート、または SharePoint をインストールしたコンピューターにインストールされていること。

• Microsoft Office Developer Tools for Visual Studio。

• Web 配置が Visual Studio コンピューター上にインストールされていて、リモート Web アプリケーション サーバー上にインストールされている Web 配置と同じバージョンであること。

表 1 に、SharePoint アドインの作成に関する概念を理解するうえで役立つ記事のリストを示します。

表 1. 高信頼アドインの発行に関する基本概念

高信頼アドインを登録する

アドインを公開する前に、SharePoint ファームのアドイン管理サービスに登録する必要があります。 高信頼 SharePoint アドインは、常にそのアドインがインストールされる SharePoint ファームに登録されます。 (これらは Office ストアからは販売できません。) 登録は次の手順で説明するとおり、http://SharePoint_website/_layouts/15/appregnew.aspx のページで処理されます。

アドインを登録する方法

1. http://SharePoint_website/_layouts/15/appregnew.aspx ページに移動します。

2. [生成] ボタンを選択してアドイン ID とシークレットの値を生成します。 (シークレットは実際には高信頼 SharePoint アドインでは使用されませんが、フォームでは必要とされます。)

3. アドインのリモート Web アプリケーションが実行されるドメインのベース URL を指定します。 ドメインにはプロトコル (HTTPS) を含めませんが、ポートが 443 でない場合にリモート コンポーネントでそのリクエストに使用されるポートを含める必要があります (www.contoso.com:5555 orMyAppServer:4444 など)。

4. リダイレクト URI が必要な場合は、その値も入力します。 リダイレクト URI の使用方法については、「SharePoint アドインの認証コード OAuth フロー」を参照してください。

   ページ上のフォームは、次の図のようになります。 この例の場合、リモート Web アプリケーション サーバーが HTTPS 要求をリッスンするポートは既定の 443 であるため、アドイン ドメインにポートを指定する必要はありません。

   

5. [作成] を選択します。 アドインについて入力した情報は、次のページに表示されます。 Visual Studio の発行ツールを使用するときに必要になるため、この情報はすぐに使えるようにしておいてください。 ページのクイック スクリーンショットを撮っておくとよいでしょう。

高信頼 SharePoint アドイン用の証明書を取得、管理、配置するための方針を選択する

SharePoint アドインの開発とデバッグにおいて開発者が Visual Studio で F5 を使用している場合、「高信頼 SharePoint アドインを作成する」で説明されているように、開発者は自己署名証明書を使用できます。しかし、アドインの発行時に自己署名証明書を使用すると、リモート Web アプリケーションの開始ページが表示される前に、警告ページがブラウザーに表示されます。 ユーザーは、続行するかどうかを選択する必要があります。 次の図は、そのような警告の例を示します。

自己署名証明書の警告

開発者にとっては、これは問題ありませんが、カスタマーにとっては不快になる場合があります。 そのため運用環境に公開する前に、カスタマーは信頼できるサード パーティによって署名された証明書を取得する必要があります。 サード パーティは、商用証明機関 (CA) またはオンプレミスの CA のいずれかです。 商用 CA については、Web サーバーに対する「イントラネット専用」証明書が業界で段階的に廃止されていることに注意してください。そのような証明書はすべて、2016 年 11 月に期限切れになりました。 高信頼 SharePoint アドインについては、この種の証明書は必要ありません。インターネット用の Web サーバーに使用できる証明書は、イントラネット Web サーバーにも使用できますが、一般的にイントラネット Web サーバーの方がコストがかかるためです。

証明書は、個人情報の交換 (pfx) とセキュリティ証明書 (cer) の 2 つの形式にする必要があります。 最初に取得したときにこの形式のどちらでもない場合、カスタマーはユーティリティを使用して変換できます。 また、この記事で後述するように、pfx 形式のバージョンを取得したら、pfx ファイルを IIS にインポートし、その後 cer バージョンをエクスポートすることができます。

最初に証明書を cer 形式で取得した場合は、公開キーと秘密キーの両方が含まれます。 通例として、SharePoint で使用されている .cer ファイルには秘密キーは含まれません。 後述するように、元の証明書を IIS にインポートし、その後、秘密キーを含まない新しい cer バージョンをエクスポートすることを検討してください。 .pfx ファイルと .cer ファイルの詳細については、「ソフトウェア発行者の証明書」を参照してください。

また、カスタマーは単一の証明書を高信頼 SharePoint アドインすべてに使用するか、または、それぞれに個別の証明書を使用するかを検討する必要があります。 この決定についての詳細は、「高信頼 SharePoint アドインに 1 つの証明書を使用するか多数の証明書を使用するかを決定する」を参照してください。

証明書によるリモート Web サーバーの構成

以下の手順は、リモート Web アプリケーションをホストするリモート Web サーバー上で実行します。

リモート Web サーバーおよび pfx 証明書を構成する方法

1. .pfx 証明書に強力なパスワードを指定します。 詳細については、「強力なパスワードを作成するためのガイドライン」および「強力なパスワード」を参照してください。

2. 証明書を、リモート Web サーバー上の IIS にインポートします。そのための手順は、次のとおりです。

   1. IIS マネージャーの左側のツリー ビューで、サーバー名ノードを選択します。

   2. [サーバー証明書] アイコンをダブルクリックします。

   3. 右側の [アクション] ウィンドウで、[インポート] を選択します。

   4. [証明書のインポート] ダイアログで、[参照] ボタンを使用して .pfx ファイルを参照し、証明書のパスワードを入力します。

   5. IIS Manager 8 を使用している場合は、[証明書ストアの選択] リストがあります。 [個人] を選択します。 (これはユーザーではなく、コンピューターの "個人" 証明書の記憶域を示しています。)

   6. cer バージョンがまだない場合、あるいは、それはあるが秘密鍵が含まれている場合、[ この証明書のエクスポートを許可する] にチェックマークを付けます。

   7. [OK] を選択します。

Windows 証明書ストアを開く方法

1. 「MMC 3.0 を開く」の説明に従って、同じサーバーで、Microsoft 管理コンソールを開きます。

2. 「証明書スナップインを MMC に追加する」で説明されているとおり、コンピューター アカウントの証明書スナップインを追加します。 ユーザーやサービスではなく、必ずコンピューター用の手順を使用してください。 メッセージが表示されたら、"別の" コンピューターではなく、 ローカル コンピューターを選択します。

ISS Manager 8 を使用している場合、次の手順はスキップしてください。

IIS Manager 7 の場合の追加のステップ: 証明書を Windows 証明書ストアに入れる

1. サーバー ファイル システム上に、証明書のためのごく一時的な保管場所として使用するフォルダーを作成します。

2. IIS マネージャーの左側のツリー ビューで、サーバー名ノードを選択します。

3. [サーバー証明書] アイコンをダブルクリックします。

4. [サーバー証明書] のリストで証明書を右クリックし、[エクスポート] を選択します。

   

5. 作成したフォルダーにファイルをエクスポートし、そのパスワードを入力します。

6. 「証明書をインポートする」の説明に従って、Microsoft 管理コンソールで証明書をインポートします。 [個人] ストアを指定してください。

7. 次の手順のため、コンソールは開いたままにします。

8. 最初の手順で作成したフォルダーとその中の証明書ファイルを削除します。 ファイル システムにも証明書がある場合、証明書ストアに証明書を保持するセキュリティ上の利点がなくなります。

次の手順は、IIS Manager 7 と 8 の両方に当てはまります。

証明書のシリアル番号を取得するには、

1. [ Microsoft 管理コンソール] で、[ 証明書 (ローカル コンピューター) ] スナップインの [ 個人] フォルダーの下にある [ 証明書] フォルダーに移動します (まだ開かれていない場合)。

2. SharePoint アドインの証明書をダブルクリックして開いた後、[詳細] タブを開きます。

3. [シリアル番号] フィールドを選択して、シリアル番号の全体がボックス内に表示されるようにします。

4. シリアル番号 (スペースを含めない) をテキスト ファイルにコピーし、それを SharePoint アドインの開発者に渡します。

   ヒント

   一部の開発者ブログ投稿やフォーラムの質問では、シリアル番号をクリップボードに直接コピーすると、非表示の文字を含む文字列が作成され、SharePoint アドインのコードでシリアル番号が認識されなくなるという現象が報告されています。 番号をコピーする代わりに手動で入力することを検討してください。

次に、証明書の cer バージョンを作成します。 それには、リモート Web サーバーの公開鍵が含まれており、SharePoint がリモート Web アプリケーションからの要求を暗号化解除したり、それらの要求でトークンへのアクセスを検証したりするのに使用されます。 それは、リモート Web サーバー上で作成された後、SharePoint ファームに移されます。

cer 証明書を作成する方法

1. IIS マネージャーの左側のツリー ビューで、サーバー名ノードを選択します。

2. [サーバー証明書] をダブルクリックします。

3. [サーバー証明書] ビューで、証明書をダブルクリックして、証明書の詳細を表示します。

4. [詳細] タブで [ファイルにコピー] を選択して、証明書エクスポート ウィザードを起動し、[次へ] を選択します。

5. 既定値の [いいえ、秘密キーをエクスポートしません] を使用し、[次へ] を選択します。

6. 次のページで既定値を使用して、[次へ] を選択します。

7. [参照] を選択して任意のフォルダーを参照します。 (cer ファイルは強制的にこのコンピューターから移動されます。) ファイルを pfx ファイルと同じ名前にし、[保存] を選択します。 証明書は .cer ファイルとして保存されます。

8. [次へ] を選択します。

9. [完了] を選択します。

証明書を使用するように SharePoint を構成する

このセクションで説明されている手順は、SharePoint 管理シェルがインストールされている任意の SharePoint サーバー上で実行できます。

cer ファイルを SharePoint に配布する方法

1. フォルダーを作成し、以下の IIS アドイン プールのアドイン プール ID に、そのフォルダーの読み取り権限が付与されていることを確認します。

   • SecurityTokenServiceApplicationPool

   • テスト用 SharePoint Web サイトの親 SharePoint Web アプリケーションをホストする IIS Web サイトに対応するアドイン プールです。 SharePoint - 80 IIS Web サイトに対応するプールは OServerPortalAppPool という名前になります。

2. cer ファイルをリモート Web サーバーから、SharePoint サーバー上で今作成したフォルダーに移動します (コピーはしないでください)。 ファイルは一時的にこのフォルダーに保存されます。

以下の手順により、証明書を、SharePoint における信頼できるトークン発行元として構成します。 これは、各高信頼 SharePoint アドイン についてそれぞれ 1 回だけ実行されます。

証明書を構成する方法

1. 高信頼構成 Windows PowerShell スクリプト、または必要とするスクリプトをまだ作成していければ、それらを作成します。それについては、「SharePoint の高信頼設定スクリプト」で説明されています。

2. スクリプトを SharePoint サーバーにコピーします。

3. SharePoint 管理シェル を管理者として開き、該当するスクリプトを実行します。

4. スクリプトの 1 つは、顧客が単一の証明書を複数の SharePoint アドイン で共有している場合に使用することを意図したものです。 そのスクリプトを使用する場合、それによって出力されるファイルを、高信頼 SharePoint アドイン の開発者に渡してください。

5. cer ファイルを SharePoint サーバーのファイル システムから削除します。

   注:

   トークン発行元としての証明書の登録はただちに有効にはならず、それまではアドインを使用できません。 すべての SharePoint サーバーで新しいトークン発行元が認識されるまで、最大 24 時間かかる場合があります。 すべての SharePoint サーバーで iisreset を実行し、そのとき SharePoint ユーザーの作業を中断せずに済めば、発行元をただちに確認できます。

web.config ファイルを修正する

web.config ファイルを編集し、appSettings ノードの以下のキーについて新しい値が含まれるようにします。

• ClientID: これは、appregnew.aspx で生成された Web アプリケーションのクライアント ID (GUID) です。

• ClientSigningCertificateSerialNumber:(Microsoft Office Developer Tools for Visual Studio でキーを追加しなかった場合は、このキーを追加する必要があります )。これは証明書のシリアル番号です。 値には、スペースもハイフンも含まれていてはなりません。

• IssuerId: これは (小文字で示される) トークン発行元の GUID です。 その値は、カスタマーの証明書戦略によって異なります。

  • 信頼の高い SharePoint アドインに、他の SharePoint アドインと共有していない独自の証明書がある場合、 IssuerId は と同じです ClientId。

  • SharePoint アドインが他の SharePoint アドインで使用されている同じ証明書を共有している場合、IssuerId は任意の GUID です。 「SharePoint の信頼度の高い構成スクリプト」に示すこのシナリオのスクリプトによって、この GUID を含むテキスト ファイルが生成されます。 IT スタッフは出力したファイルを web.config ファイルの IssuerId として挿入するようにアドイン開発者に渡します。

以下に例を示します。 高信頼 SharePoint アドイン には ClientSecret キーがないことに注意してください。

<appSettings>
  <add key="ClientID" value="c1c12d4c-4900-43c2-8b89-c05725e0ba30" />
  <add key="ClientSigningCertificateSerialNumber" value="556a1c9c5a5415994941abd0ef2f947b" />
  <add key="IssuerId" value="f94591d5-89e3-47cd-972d-f1895cc158c6" />
</appSettings>

TokenHelper ファイルを修正する

Office Developer Tools for Visual Studio によって生成される TokenHelper.cs (または .vb) ファイルは、Windows 証明書ストアに保管されている証明書で動作するように、また、シリアル番号でそれを取り出すように修正する必要があります。 以下にその一例を示します。 この例では C# が使用されています。

TokenHelper を修正する方法

1. ファイルの部分の#region private fields下部付近には、および ClientCertificateのClientSigningCertificatePathClientSigningCertificatePassword宣言があります。 それら 3 つをすべて削除します。

2. それらがあった場所に、以下の行を追加します。

   private static readonly string ClientSigningCertificateSerialNumber 
       = WebConfigurationManager.AppSettings.Get("ClientSigningCertificateSerialNumber");
   

3. SigningCredentials フィールドを宣言する行を探します。 それを次の行に置き換えます。

   private static readonly X509SigningCredentials SigningCredentials 
       = GetSigningCredentials(GetCertificateFromStore());
   

4. ファイルの #region private methods の部分に移動し、以下の 2 つのメソッドを追加します。

   private static X509SigningCredentials GetSigningCredentials(X509Certificate2 cert)
   {
       return (cert == null) ? null 
                           : new X509SigningCredentials(cert, 
                                                       SecurityAlgorithms.RsaSha256Signature, 
                                                       SecurityAlgorithms.Sha256Digest);
   }
   
   private static X509Certificate2 GetCertificateFromStore()
   {
       if (string.IsNullOrEmpty(ClientSigningCertificateSerialNumber))
       {
           return null;
       }  
   
       // Get the machine's personal store
       X509Certificate2 storedCert;
       X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine); 
   
       try
       {
           // Open for read-only access                 
           store.Open(OpenFlags.ReadOnly);
   
           // Find the cert
           storedCert = store.Certificates.Find(X509FindType.FindBySerialNumber, 
                                               ClientSigningCertificateSerialNumber, 
                                               true)
                       .OfType<X509Certificate2>().SingleOrDefault();
       }
       finally
       {
           store.Close();
       }
   
       return storedCert;
   }
   

Visual Studio のウィザードを使用して、リモート Web アプリケーションと SharePoint アドインをパッケージ化して発行する

リモート Web アプリケーションをパッケージ化する方法

1. ソリューション　エクスプローラーで、Web アプリケーション プロジェクト (SharePoint アドイン プロジェクトではない) を右クリックし、[ 公開] を選択します。

2. [プロファイル] タブにあるドロップダウン リストから [新しいプロファイル] を選択します。

3. ダイアログが表示されたら、プロファイルに適切な名前を付けます。 たとえば、「Payroll SP アドイン - リモート Web アプリケーション」などです。

4. [接続] タブの [発行方法] リストで、[Web 配置パッケージ] を選択します。

5. [パッケージの場所] で任意のフォルダーを使用します。 後の手順を簡素化するため、空のフォルダーにしてください。 プロジェクトの bin フォルダーのサブフォルダーを使用するのが一般的です。

6. サイト名については、Web アプリケーションをホストする IIS Web サイトの名前を入力します。 名前は「PayrollSite」などのようにし、プロトコルやポートを含めず、スラッシュは使用しないでください。 Web アプリケーションを既定の Web サイトの子にする場合は、「default website/PayrollSite」のように default website/<website name> を使用します (IIS Web サイトがない場合は、後述する Web 配置パッケージを実行すると作成されます)。

7. [次へ] を選択します。

8. [設定] タブの [構成] リストで、[リリース] または [デバッグ] を選択します。

9. [次へ]>[発行] の順に選択します。 後の手順で Web アプリケーションのインストールに使用する zip ファイルと、他のさまざまなファイルが、パッケージの場所に作成されます。

SharePoint アドイン パッケージを作成する方法

1. ソリューションの SharePoint アドイン プロジェクトを右クリックし、[発行] を選択します。

2. [現在のプロファイル] リストで、この前の手順で作成したプロファイルを選択します。

3. [編集] ボタンの横に小さな黄色の警告記号が表示されたら、[編集] を選択します。 web.config ファイルに含めたものと同じ情報を求めるフォームが開きます。 Web 配置パッケージの発行方法を使用しているため、この情報は必要ありませんが、フォームを空白のままにすることはできません。 4 つのテキスト ボックスに任意の文字を入力し、[完了] を選択します。

4. [アドインのパッケージ化] ボタンを選択します。 ([ Web プロジェクトのデプロイ] を選択しないでください。このボタンは、最後の手順の最後の手順で行ったことを繰り返すだけです)。[ パッケージ] アドイン フォームが開きます。

5. [Web サイトがホストされている場所] ボックスで、リモート Web アプリケーションのドメインの URL を入力します。 プロトコル、HTTPS を含める必要があります。Web アプリケーションが HTTPS 要求をリッスンするポートが 443 ではない場合は、ポートも含める必要があります。例えば https://MyServer:4444. (これは Office Developer Tools for Visual Studio が SharePoint アドインのためのアドイン マニフェストで ~remoteAppUrl トークンを置き換えるために使用する値です。)

6. [アドインのクライアント ID] ボックスに、appregnew.aspx ページで生成され、web.config ファイルにも入力したクライアント ID を入力します。

7. [完了] を選択します。 アドイン パッケージが作成されます。

リモート Web アプリケーションを発行し、SharePoint アドインをインストールする

Web アプリケーションを発行する方法

1. リモート Web アプリケーションをパッケージ化した際に [パッケージの場所] として使用したフォルダーに移動し、その中のすべてのファイルを、リモート サーバーの 1 つのフォルダーにコピーします。

2. このフォルダーにある project_name.deploy-readme.txt ファイル (project_name は Visual Studio Web アプリケーション プロジェクトの名前) を開き、ファイル内に記されている指示に従って、project_name.deploy.cmd ファイルを使用して Web アプリケーションをインストールします。

Web アプリケーションのプロトコル バインディングを構成する方法

1. IIS マネージャーの [接続] ウィンドウで、新しい Web サイトを選択します。 (新しい Web アプリケーションが既定の Web サイトの子である場合、[既定の Web サイト] を選択し、既定の Web サイトについてこの手順を実行します。)

2. [アクション] ウィンドウで [バインディング] を選択します。

3. [サイト バインディング] ダイアログで [追加] を選択します。 表示される [サイト バインディングの追加] ダイアログで、以下の手順を実行します。

   1. [種類] リストで [HTTPS] を選択します。

   2. [IP アドレス] リストで [すべて割り当てられていない] を選択します。

   3. [ポート] ボックスにポートを入力します。 appregnew.aspx で SharePoint アドインを登録した時点で (「高信頼アドインを登録する」を参照) アドイン ドメインのポートを指定した場合、それと同じ番号をここでも使用する必要があります。 appregnew でポートを指定しなかった場合、ここで 443 を使用してください。

   4. [SSL 証明書] リストで、前述の「証明書によるリモート Web サーバーの構成」でサーバーの構成に使用した証明書を選択します。

   5. [OK] を選択します。

4. [閉じる] を選択します。

Web アプリケーションの認証を構成する方法

1. 新しい Web アプリケーションが IIS にインストールされる場合、匿名アクセスできるように最初に設定されますが、高信頼 SharePoint アドインはほとんどすべてユーザーの認証を必要とするよう設計されるので、これを変更する必要があります。 IIS マネージャーの [接続] ウィンドウで、Web アプリケーションを選択します。 これは既定の Web サイトのピア Web サイト、または既定の Web サイトの子のいずれかになります。

2. 中央のウィンドウにある [認証] アイコンをダブルクリックします。[認証] ウィンドウが表示されます。

3. [匿名認証] を選択してから、[アクション] ウィンドウの [無効にする] を選択します。

4. Web アプリケーションで使用するように設計されている認証システムを選択して、[アクション] ウィンドウの [有効にする] を選択します。

   TokenHelper ファイルと SharePointContext ファイルの生成されたコードが、そのファイルのユーザー認証の部分に変更を加えることなく Web アプリケーションのコードで使用される場合、Web アプリケーションは [Windows 認証] を使用しているため、そのオプションを有効にする必要があります。

5. 生成されたコード ファイルを、それらのファイルのユーザー認証の部分に修正を加えることなく使用している場合、認証プロバイダーを構成することも必要です。そのためには、以下の手順を実行します。

   1. [認証] ウィンドウで [Windows 認証] を選択します。

   2. [プロバイダー] を選択します。

   3. [プロバイダー] ダイアログで、NTLM が [ネゴシエート] の上に一覧表示されていることを確認します。

   4. [OK] を選択します。

SharePoint アドインをアップロードしてインストールする方法

1. SharePoint アドインの *.app package ファイルを組織のアドイン カタログにアップロードします。 (高信頼 SharePoint アドインは Office ストアで配布することはできません。) 詳細については、「アドイン カタログにアドインを追加する」を参照してください。

2. アドイン カタログを含む同じ親 SharePoint Web アプリケーション内で、いずれかの Web サイトにアドインをインストールします。 SharePoint アドインのアップロードとインストールの詳細は、「SharePoint アドインを SharePoint サイトに追加する」を参照してください。

関連項目

• Visual Studio を使用して SharePoint アドインを公開する
• SharePoint アドインを登録する
• 高信頼認証を使用する SharePoint アドインを作成する
• SharePoint アドインの承認と認証