第4回 プロファイル機能とセキュリティ機能を理解する:SharePoint Server 2007によるポータルサイト構築(3/3 ページ)
SharePointのプロファイル機能について解説。情報共有において重要な認証の仕組みとセキュリティについて学ぶ。
SharePointのセキュリティ機能
ユーザー情報を管理するプロファイル機能とともに基本概念として重要なのが、セキュリティ機能である。MOSSのセキュリティ機能の根幹は、「認証」と「認可」「暗号化」から構成される。
■認証(Authentication)
認証は、ポータル・サイトへアクセスするユーザーを識別する機能であり、プロファイル機能とも密接な関係にある。ただし、ここで注意してほしいのは、プロファイル機能と認証機能は互いに密接な関係ではあるが、まったく別のリソースを参照するように構成することも可能である点だ。つまり、プロファイル機能と認証機能の構成によっては、プロファイル情報はActive Directoryからインポートし、認証は人事データベースに格納されたユーザーID、パスワードを参照するフォーム認証を利用するといった構成も可能である。これは、MOSSのプロファイル機能と認証機能が、ASP.NETのメンバシップ機能を基盤にしているからである。ASP.NETのメンバシップ機能に関しては下記URLを参照していただきたい。
MOSSでサポートされる認証方式を下表に記載する。これらは、ASP.NETでも同じようにサポートされている認証方式である。
| 認証方式 | 概要 |
|---|---|
| NTLM認証 | Active Directoryを利用するWindowsの認証方式の1つ。統合Windows認証を利用し、ブラウザ上でユーザーID/パスワードを入力することなくポータル・サイトへ自動的にサインインすることが可能 |
| Kerberos認証 | 秘密鍵暗号を利用したWindowsの認証方式の1つ。統合Windows認証を利用し、ブラウザ上でユーザーID/パスワードを入力することなくポータル・サイトへ自動的にサインインすることが可能。MOSSでKerberos認証を利用するには、IIS側での追加設定が必要 |
| Active Directory Federation Service(ADFS) | 信頼関係のないActive Directory間でも認証チケットを交換し、認証を行う方式。通信にHTTPを利用するのでファイアウォールを越えたネットワーク間での認証も可能。Windows Server 2003 R2からの新機能 |
| フォーム認証 | ログイン画面にユーザーID/パスワードを入力することで認証を行う方式。ASP.NET メンバシップ・プロバイダを開発することによって、任意のデータベース内のユーザーID/パスワードを利用しサインインすることが可能 |
| 匿名認証 | 匿名ユーザーとして誰でもポータル・サイトへアクセスできるようにする設定。匿名認証を有効にするには、Webアプリケーションとサイト単位の2段階で設定を行う必要がある |
| MOSSでサポートされる認証方式 * ちなみにMOSSのSSO(Single Sign On)機能は、この認証方式の中には含めていない。このSSO機能は、MOSSからシステム連携を行う際に自動的に認証を行うためのフレームワークであり、一度MOSSでサインインしたユーザーがほかのWebサイトに自動的に認証されるものでは“ない”。SSO機能は、言葉の持つイメージと実際の機能にギャップがあるので注意した方がよい。 | |
■認可(Authorization)
認可とは、認証されたユーザーがポータル・サイト上でどのような操作ができるのかというアクセス制御を行うための機能である。
■セキュリティ・プリンシプル
MOSSの認可機能では、セキュリティ・プリンシプルと呼ばれる3つの単位でアクセス権を指定することができる。なお、ここでは説明を簡略にするためにActive Directoryを前提とした用語で記述を行っている。
| アクセス権の単位 | 説明 |
|---|---|
| ユーザー | Active Directory上に作成されたユーザー |
| ドメイン・グループ | Active Directory上に作成されたセキュリティ・グループ |
| MOSSグループ | MOSS上に作成されたグループ。上記のユーザーやドメイン・グループをMOSSグループ内に追加可能 |
| MOSSの認可機能におけるセキュリティ・プリンシプル | |
MOSS上でアクセス権を設定する場合は、ユーザー単位で設定することができる。ただし、ユーザー単位でアクセス権を設定した場合、設定する量が膨大になり、管理できなくなる恐れがあるので、ドメイン・グループをMOSSグループにマッピングし、その単位でアクセス権を設定することが一般的である。このあたりは、Active Directoryのセキュリティ・グループの設計にもかかわる部分でもあるので、現状のActive Directoryの設計を分析し方針を決定するとよい。
MOSSグループは、サイト・コレクションを作成した際、デフォルトで3つのグループが作成される(発行サイトなどのエンタープライズ・コンテンツ管理機能が有効なサイトでは、若干異なる)。
| グループ名 | 説明 |
|---|---|
| [サイト]の所有者 | 作成されたサイトのすべての権限を有するMOSSグループ。デフォルトでは、サイト・コレクション作成時に指定した管理者のみが含まれる |
| [サイト]のメンバ | 作成されたサイトに対して投稿権限を持つMOSSグループ。デフォルトでは誰も含まれない |
| [サイト]の閲覧者 | 作成されたサイトに対して読み取り権限を持つMOSSグループ。デフォルトでは誰も含まれない |
| デフォルトで作成されるMOSSグループ([サイト]は作成したサイト名) | |
チームサイトのサイトテンプレートを使用した場合の所有者グループを図に示す(この例ではサイト名をチームサイトとしている)。
[サイト]の所有者グループ
画面左側のグループメニューにサイトに登録されているMOSSグループの一覧が表示され、デフォルトで[サイト]の所有者、[サイト]のメンバ、[サイト]の閲覧者グループが作成されていることが確認できる。また、[サイト]の所有者グループには、サイト管理者として指定したユーザーだけがグループに追加されている。このように、MOSSの認可機能ではMOSSグループに対してActive DirectoryユーザーやActive Directoryドメイン・グループが割り当てられアクセス権の設定に使用できるようになる。
デフォルトでは、サイト・コレクションの管理者以外がポータル・サイトへアクセスすることはできないので、サイトのメンバやサイトの閲覧者のグループにドメイン・グループを追加し、ほかのユーザーがポータル・サイトへアクセスできるように設定する必要がある。また、デフォルトのMOSSグループ以外にアクセス許可を組み合わせたグループを作成することも可能である。
■アクセス許可
アクセス許可とは、MOSSで実行可能な権限の集合の定義であり、デフォルトで下記のアクセス許可が定義されている。
| アクセス許可 | 意味 |
|---|---|
| フルコントロール | サイトに対するすべての操作を実行できる権限のセット。サイトの所有者グループに対してマッピングされる |
| 投稿 | サイトに対する投稿の作成、編集、削除などを実行できる権限のセット。サイトのメンバ・グループに対してマッピングされる |
| 読み取り専用 | サイトに対する読み取りだけの権限のセット。サイトの閲覧者グループに対してマッピングされる |
| MOSSで指定可能なアクセス許可 | |
アクセス許可はデフォルトの定義以外にも自由に作成可能である。また下図に示すように、MOSSグループに対してアクセス許可を複数マッピングしてもよい。
以上が認可機能の基本概念となるが、それらをどのような単位で設定できるのだろうか? 下図にアクセス権を設定可能なMOSSのオブジェクトの構造を示す。
MOSSのデータ管理の最小単位は、前回記事で解説したリスト・アイテムやファイルになるが、それらの最小単位でアクセス権を設定可能である。また、アクセス権は親のオブジェクトから継承されるので、何もしない限りトップレベル・サイトの設定が継承されることになるし、どこかのオブジェクトでアクセス権の変更をしたら、その下のオブジェクトは親のアクセス権を引き継ぐようになる。
■暗号化
MOSSではSSLを利用して通信を暗号化できるし、RMSを利用してドキュメント・ライブラリ内のファイル自体を暗号化することも可能である。RMSの概要やMOSSでの展開については下記URLを参考にしていただきたい。
- Windows Rights Management Services(マイクロソフト)
- ホワイトペーパー「ステップバイステップ ガイド : Windows Rights Management Services Service Pack 2 のインストール」(マイクロソフト ダウンロードセンター)
- ホワイトペーパー「ステップバイステップ ガイド : Windows Rights Management Services と Microsoft Office SharePoint Server 2007 の展開」(マイクロソフト ダウンロードセンター)
まとめ
今回は、MOSSの基本概念の1つであるプロファイル機能と認証や認可を行うセキュリティ機能について解説した。特にセキュリティ機能での認可機能は、サイトによって要件が異なってくる部分でもあるので、どのサイトに対してどのユーザーがどのようなアクセスを行うことができるかをきっちりと設計する必要がある。
次回は、本連載の最終回として検索機能の解説とともにポータル・サイト導入時にどのような設計を行う必要があるかについて解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.