デプロイのシナリオ

単一の認証プロバイダー

SharePointはクラシックモード認証またはクレームベース認証を使用できます。クラシックモード認証は、統合Windows認証(NTLM/Kerberos)または基本的なユーザー名/パスワードスキームなどの従来のWindows認証です。クレームベース認証はSharePoint 2010現在、SharePointの新機能で、Windows Identity Foundation(WIF)の上に構築されています。クレームベース認証スキームには、Windowsクレーム、フォームベースクレーム、およびSAMLクレームという3つのタイプがあります。

混合認証プロバイダー

Webアプリケーションを拡張することなく同じURLを使用して、SharePointとともに複数の認証プロバイダーを構成できます(Windows認証、フォーム認証、および信頼できるIDプロバイダー)。たとえば、外部ユーザーと内部ユーザーの両方がhttps://intranet.company.comでWebサイトにアクセスします。デフォルトではユーザーがサインイン時に認証方法を選択しますが、管理者はSharePointを拡張して、ユーザーに正しい認証方法(たとえばIPアドレスに基づく)を導くプログラム的な方法を使用できます。SharePointは混合認証モード用に単一のページを表示し、ユーザーはプロバイダーを選択できます。

複数のWebアプリケーションとゾーン

技術的な目的で、ゾーンはユーザーがWebアプリケーションへのアクセスを得る論理パスです。URLはゾーンの一般的な公開面です。ゾーンの目的は、ユーザーをWebアプリケーションまたはその他のSharePointアプリケーションに受け入れることです。ほとんどの人はゾーンについて考えていません。ユーザーはWebアプリケーションに直接アクセスするURLを想定していますが、ゾーンは追加される構成の可能性のために付加的な抽象レイヤーを追加します。Webアプリケーションは複数のURLを持つことが可能で、それらはすべて同じ場所につながり、同じゾーンを使用します。これにより再利用とセキュリティが最大化します。

Active Directoryフィルタリングを使用するPeople Picker

現在、Okta People Pickerでは、Active Directory(AD)からインポートされたユーザーが2回表示されます(Oktaユーザーとして、およびADドメインユーザーとして)。管理者は元のADユーザーのみを表示および管理することができます。管理者は特定のドメインが元の挙動を保持するように指定することもできます。

この機能を有効にするには、SharePointで特定の$farmオブジェクトのプロパティを設定する必要があります。必要なカスタムプロパティ値については、「Active Directory Filtering(Active Directoryフィルタリング)」を参照してください。

People Pickerを非表示にする

People Pickerは、stsadm setproperty操作を使用して、ファームに対するゾーンレベルで構成されます。コントロールの設定を構成することで、管理者はユーザーがユーザー、グループ、またはクレームを検索するときに表示される結果をフィルタリングしたり制限したりすることができます。それらの設定は、特定のサイトコレクション内のすべてのサイトに適用されます。People Pickerの構成方法の詳細については、「Configure People Picker in SharePoint 2013(SharePoint 2013でPeople Pickerを構成する)」を参照してください(ソース:https://docs.microsoft.com/en-us/sharepoint/administration/people-picker-and-claims-providers-overview)。

People PickerをActive Directory内の特定のグループに制限する

WebアプリケーションがWindows認証を使用していて、サイト・ユーザー・ディレクトリ・パスが設定されていない場合、People Pickerコントロールは特定の組織単位(OU)内のユーザーのみを検索するのではなく、Active Directoryのすべてを検索してユーザーの名前を解決したり、ユーザーを見つけたりします。Stsadm setsiteuseraccountdirectorypath操作により、ユーザーのディレクトリパスを同じドメイン内の特定のOUに設定できます。ディレクトリパスがサイトコレクションに設定された後、People Pickerコントロールはその特定のOU下のみを検索します。

People PickerをActive Directory内の特定のOUに制限するには、次のコマンドを入力します。

コピー
stsadm ­o setsiteuseraccountdirectorypath ­-path <Valid OU name> –url <Web application URL>

複数のSharePointアプリケーションでのOktaクレーム認証(SSO)

管理者は各SharePointアプリに対応するOktaアプリを構成できます。レルムはOktaとSharePointアプリケーションの間で信頼関係を確立します。各SharePointアプリケーションに対して、Oktaは関係の定義に使用される新しい「レルム」を生成します。

Oktaなどの既存の認証プロバイダーに新しいWebアプリを追加するには、次のコマンドを入力します。

コピー
$ap = Get­SPTrustedIdentityTokenIssuer "Okta"
$uri = new­object System.Uri($sharepoint_app)
$ap.ProviderRealms.Add($uri, $realm)
$ap.Update()

$sharepoint_app値を新しいSharePointアプリのURIで置き換え、$realm属性をOkta内の対応するSharePointアプリからサインオンタブで生成されるあたらいいレルムで置き換えます。