デプロイのシナリオ

単一の認証プロバイダー

SharePointはクラシックモード認証またはクレームベース認証を使用できます。クラシックモード認証は、Integrated Windows Authentication(NTLM/Kerberos)または基本的なユーザー名/パスワードスキームなどの従来のWindows認証です。クレームベース認証はSharePoint 2010現在、SharePointの新機能で、Windows Identity Foundation(WIF)の上に構築されています。クレームベース認証スキームには、Windowsクレーム、フォームベースクレーム、およびSAMLクレームという3つのタイプがあります。

混合認証プロバイダー

Webアプリケーションを拡張することなく同じURLを使用して、SharePointとともに複数の認証プロバイダーを構成できます(Windows認証、フォーム認証、および信頼できるIDプロバイダー)。たとえば、外部ユーザーと内部ユーザーの両方がhttps://intranet.company.comのWebサイトにアクセスします。デフォルトでは、ユーザーはサインイン時に認証方式を選択します。一方で、管理者はSharePointを拡張して、ユーザーに正しい認証方式(IPアドレスベースなど)を導くプログラム的な方式を使用できます。SharePointは混合認証モード用に単一のページを表示し、ユーザーはプロバイダーを選択できます。

複数のWebアプリケーションとゾーン

技術的な目的で、ゾーンはユーザーがWebアプリケーションへのアクセスを得る論理パスです。URLはゾーンの一般的な公開面です。ゾーンの目的は、ユーザーをWebアプリケーションまたはその他のSharePointアプリケーションに受け入れることです。ほとんどの人はゾーンについて考えていません。ユーザーはWebアプリケーションに直接アクセスするURLを想定していますが、ゾーンは、構成の一層の可能性のために抽象レイヤーを追加します。Webアプリケーションは複数のURLを持つことができ、それらはすべて同じ場所につながり、同じゾーンを使用します。これにより再利用とセキュリティが最大化します。

Active Directoryフィルタリングを使用するPeople Picker

Okta People Pickerでは、Active Directory(AD)からインポートされたユーザーは2回表示されます(1回はOktaユーザーとして、もう1回はADドメインユーザーとして)。管理者が表示および管理できるのは、元のADユーザーのみです。また、特定のドメインが元の動作を維持するように指定することもできます。

この機能を有効にするには、SharePointで特定の$farmオブジェクトのプロパティを設定する必要があります。必要なカスタムプロパティ値については、「Active Directoryフィルタリング」を参照してください。

People Pickerを非表示にする

People Pickerは、stsadm setproperty操作を使ってファーム向けのゾーンレベルで構成されます。管理者は制御設定を構成することで、ユーザーによるユーザー、グループ、クレームの検索時に表示される結果をフィルタリングおよび制限できます。これらの設定は、特定のサイトコレクション内のすべてのサイトに適用されます。People Pickerの構成方法の詳細については、「Configure People Picker in SharePoint 2013(SharePoint 2013でPeople Pickerを構成する)」を参照してください(出典:https://docs.microsoft.com/ja-jp/sharepoint/administration/people-picker-and-claims-providers-overview)。

People PickerをActive Directory内のグループに制限する

WebアプリケーションがWindows認証を使用しており、サイトユーザーディレクトリパスが設定されていない場合、People Pickerコントロールは特定の組織単位(OU)内のユーザーのみを検索するのではなく、Active Directory全体を検索してユーザー名を解決したり、ユーザーを見つけたりします。Stsadm setsiteuseraccountdirectorypath操作を使用することで、ユーザーのディレクトリパスを同一ドメイン内の特定のOUに設定できます。ディレクトリパスをサイトコレクションに設定すると、People Pickerコントロールはその特定のOUを対象に検索を行います。

People PickerをActive Directory内の特定のOUに制限するには、次のコマンドを入力します。

コピー
stsadm ­o setsiteuseraccountdirectorypath ­-path <Valid OU name> –url <Web application URL>

複数のSharePointアプリケーションでのOktaクレーム認証(SSO)

管理者は各SharePointアプリに対応するOktaアプリを構成できます。レルムはOktaとSharePointアプリケーションの間で信頼関係を確立します。Oktaは、関係の定義に使用される新しい「レルム」をSharePointアプリケーションごとに生成します。

Oktaなどの既存の認証プロバイダーにWebアプリを追加するには、次のコマンドを入力します。

コピー
$ap = Get­SPTrustedIdentityTokenIssuer "Okta"
$uri = new­object System.Uri($sharepoint_app)
$ap.ProviderRealms.Add($uri, $realm)
$ap.Update()

$sharepoint_appを新しいSharePointアプリURIに置き換え、$realmをOktaの対応するSharePointアプリの[Sign-on(サインオン)]タブから生成されたレルムに置き換えます。