SharePoint 2010 のクレーム認証に関するこの事実を必ず知っておいてください - スティッキー セッションが必要です!
原文の記事の投稿日: 2011 年 10 月 28 日 (金曜日)
こんにちは。私がこのことをここに書くのは、もっと明確に説明されていればよかったのにと思われるクレーム認証の異例な使用法によって私もひどい目にあったことを皆様に知らせるためです。これはクレーム認証展開の基本的な側面ですが、それをこの場所の中心に書き出すことで、同じことが皆様に起きないようにしたいと思います。
ごく簡単に述べると、クレーム認証を使用する場合、負荷分散のソリューションでは、必ず、アフィニティを使用しなければなりません。TechNet ではこのことが説明されています。ただし、それは非常に簡単なミニ ノートとして書かれているだけであり、人を納得させる適切な方法で書かれていません。その記事は、https://technet.microsoft.com/ja-jp/library/cc288475.aspx にあります。そして、次のように書かれています。
メモ: 複数の Web サーバーを負荷分散構成で展開している SharePoint Foundation 2010 ファームで、SAML トークンベース認証と AD FS を使用すると、クライアント Web ページ ビューのパフォーマンスと機能に影響することがあります。AD FS がクライアントに提供する認証トークンは、権限が制約されたページ要素ごとに SharePoint Foundation 2010 に発行されます。負荷分散ソリューションでアフィニティを使用していない場合、セキュリティ保護されている各要素は、複数の SharePoint Foundation 2010 サーバーに対して認証され、その結果、トークンは拒否されることがあります。トークンが拒否されると、SharePoint Foundation 2010 は、再認証するクライアントを AD FS サーバーにリダイレクトします。これが発生した後は、AD FS サーバーは短時間のうちに行われた複数の要求を拒否することがあります。この動作は仕様で、サービス拒否攻撃に対する防衛策です。パフォーマンスが低下したり、ページが完全に読み込まれない場合は、ネットワーク負荷分散を単方向アフィニティに設定することを検討します。このように設定することで、単一の Web サーバーに対する SAML トークンの要求を切り離します。
私はこれに気づかないことで、またはもっと真剣に受け止めないことで打撃を受けるでしょう。皆様がこれと同じことをブログに書く必要がないことを願って、これをブログに書きます。私は、メモの中で明らかに正当性が与えられていない (またはそのような事柄のメモとして書かれるべきではない - 大きい太字で書かれる必要のある) 言葉をイタリック体で表しました。アフィニティを使用しない場合、あなたも以下のような問題に直面することでしょう。
- ログイン ページにランダムにリダイレクトされることがあります。
- 最終的に認証ループに陥ることがあります。これにより、メモに記載されているように、サービス拒否 (DOS) 攻撃とみなされることで ADFS が要求を停止します。
- アクティビティのトレースを確認すると、SharePoint が FedAuth Cookie に期限切れの値を設定していることがわかります。その後、ADFS への要求を再度開始します。このとき、ADFS は (まだ私にははっきりとわからないのですが何らかの理由で) 期限の切れていない Cookie を発行しません。または、SharePoint が要求を参照し、期限切れの Cookie に変換します。これが上記の DOS サイクルを開始するのです。今振り返ってみると、この問題が発生したことについて皆様から過去にいくつかの問い合わせがあったことに気づきます。また、今になって、元凶のスティッキー セッションがなかった可能性があることに気付きます。
手短に言うと、進行中のこの問題に関して混乱やあいまいさがあってはいけません。SharePoint 2010 では、クレーム認証を使用する場合、ロード バランサーと共にアフィニティを使用してください!
これはローカライズされたブログ投稿です。原文の記事は、「Make Sure You Know This About SharePoint 2010 Claims Authentication - Sticky Sessions Are REQUIRED」をご覧ください。