プラグ可能な認証プロバイダ

  • [アーティクル]

ASP.NET 2.0 で使用されるプラグ可能な認証モジュールと SharePoint 製品とテクノロジの最新バージョンを指定して、組み込み認証プロバイダを置き換えます。

実例

外部パートナーのアクセスのためにポータル サイトが計画されていますが、外部パートナーは Active Directory ドメイン コントローラ アカウントを持つ予定はありません。ポータルの開発チームは、プラグ可能なフォーム認証モジュールの作成を決定します。このモジュールは、Active Directory ドメイン コントローラと個別の認証データベースの両方にアクセスするための、豊富な機能の認証プロバイダを提供します。このプラグ可能認証プロバイダは、外部パートナーに公開される SharePoint Web アプリケーションにインストールされます。

詳細な技術情報

認証プロバイダは ASP.NET アプリケーションに認証サービスを提供する HTTP モジュールです。

Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007 では、以下の種類の認証がサポートされます。

  • Windows: 基本、ダイジェスト、証明書、NTLM (Windows NT LAN Manager)、および Kerberos を含めたすべての Internet Information Services (IIS) と Windows 認証の統合オプションです。Windows 認証では、IIS を使用して SharePoint 製品とテクノロジの認証を実行できます。

  • ASP.NET フォーム : プラグ可能な ASP.NET フォームの認証システムを使用する、Windows 以外の ID 管理システムです。このモードでは、SharePoint 製品とテクノロジは LDAP (Lightweight Directory Access Protocol) やライトウェイト データベース ID 管理システムなど、外部に定義されたグループまたはロールを含めたさまざまな ID 管理システムを操作できます。フォーム認証では、ASP.NET を使用して SharePoint 製品とテクノロジの認証を実行できます。多くの場合、ログオン ページにリダイレクトすることになります。

  • 委任 : 信頼されたシステムから Windows SharePoint Services にエンドユーザーの資格情報を委任するシステムです。これにより、信頼されたサービスは、ユーザー ID を Windows SharePoint Services に渡して承認を受けることができ、SharePoint 製品とテクノロジは現在のユーザーの資格情報を保有する必要がないまま、ユーザーがだれであるかが伝達されます。ADFS は、SharePoint 製品とテクノロジの委任認証のフォームです。

ASP.NET 2.0 認証およびプラグ可能フォーム認証の詳しい技術情報は、ASP.NET SDK や『Developing More-Secure Microsoft ASP.NET 2.0 Applications (Baier, 2006)』および『Programming Microsoft ASP.NET 2.0 Core Reference (Esposito, 2006)』で説明しています。

サポートの詳細情報

カスタム認証プロバイダは、セキュリティ システムのコア コンポーネントとして使用されます。そのため、セキュリティのテストと確認について通常よりも高い要件があります。SharePoint のコンテンツをインターネットに公開する場合は、潜在的な脅威が高まるため、この要件はさらに重要になります。

カスタム認証プロバイダを使用すると、認証が標準ではないために、SharePoint 環境でのサポートの負荷が高まることがあります。最初は認証に関連するように見えない問題のデバッグが困難になります。

IIS 内の 1 つの Web アプリケーション インスタンスで有効にできる認証プロバイダは 1 つのみです。2 種類の認証プロバイダ (たとえば、Windows とフォームの両方) を使用してサイトにアクセスできるようにするには、Web アプリケーションの 1 つのインスタンスが 1 つの領域で最初の認証を使用し、最初のインスタンスから拡張したもう 1 つのインスタンスが別の領域で別の認証方法を使用するように設定する必要があります。

また、サイトのユーザー プロファイルとアクセス管理でユーザーを一意に特定するために使用される識別子は、使用される認証プロバイダによって異なります。たとえば、Windows と ADFS の両方の認証で認証されるユーザーは、2 つの個別のユーザー プロファイルを持つことになります。サイト グループ メンバシップとアクセス権も異なることがあります。

Windows 認証プロバイダ以外のプロバイダを追加して構成するときは、通常、web.config ファイルを変更する必要があります。場合によっては新しい DLL の追加も必要です。