SharePoint Server で Secure Store Service を計画する
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
Secure Store Service は、クレームに対応する承認サービスで、資格情報を格納する暗号化されたデータベースを持ちます。
Secure Store Service について
Secure Store Service は、SharePoint Server で動作する承認サービスです。 Secure Store Service は、資格情報を格納するデータベースを提供します。 これらの資格情報は、通常、ユーザー ID とパスワードで構成されますが、他のフィールドを定義して含めることもできます。 たとえば SharePoint Serverでは、Secure Store データベースを使用して、外部データ ソースへのアクセス用の資格情報を格納および取得できます。 Secure Store Service は、複数のバックエンド システムの複数の資格情報セットの格納をサポートします。
Secure Store の使用シナリオには以下のものがあります。
Office Online Server の Excel Online では、Secure Store を使用して、SharePoint Server 2016 で発行済みのブックの外部データ ソースへのアクセスを提供できます。 この方法は、データ ソースにユーザーの資格情報を渡すという、多くの場合 Kerberos 制限付き委任の構成を必要とする処理の代わりに使用できます。
SharePoint Server 2013 の Excel Services では、Secure Store を使用して、発行済みブックの外部データ ソースへのアクセスを提供できます。 この方法は、データ ソースにユーザーの資格情報を渡すという、多くの場合 Kerberos 委任の構成を必要とする処理の代わりに使用できます。 Excel Services でデータ認証用の無人サービス アカウントを構成する場合は、Secure Store が必要です。
Visio Services では、Secure Store を使用して、発行済みデータに接続された図面の外部データ ソースへのアクセスを提供できます。 この方法は、データ ソースにユーザーの資格情報を渡すという、多くの場合 Kerberos 制限付き委任の構成を必要とする処理の代わりに使用できます。 Visio Services でデータ認証用の無人サービス アカウントを構成する場合は、Secure Store が必要です。
PerformancePoint Services では、Secure Store を使用して、外部データ ソースへのアクセスを提供できます。 PerformancePoint Services でデータ認証用の無人サービス アカウントを構成する場合は、Secure Store が必要です。
Power Pivot では、PowerPivot ブックの定期的な更新に Secure Store が必要です。
Microsoft Business Connectivity Services では、Secure Store を使用して、ユーザーの資格情報を外部システムの資格情報のセットにマップできます。 各ユーザーの資格情報を外部システム上の一意のアカウントにマップすることも、認証されたユーザーのセットを 1 つのグループ アカウントにマップすることもできます。 Business Connectivity Services では、セキュリティで保護されたストアを使用して、Microsoft 365 の SharePoint からオンプレミスのデータ ソースにアクセスするための証明書を格納することもできます。
SharePoint ランタイムでは、Azure Services を準備および使用するために SharePoint ランタイムを必要とするユーザー アプリケーションがある場合に、Secure Store を使用して、Azure サービスとの通信に必要な資格情報を格納できます。
Secure Store Service の準備
Secure Store Service の展開を準備するときには、以下の重要なガイドラインに注意してください。
新しい暗号化キーを生成する前に、Secure Store データベースをバックアップします。 また、Secure Store データベースは、最初に作成した後にバックアップし、資格情報が再暗号化されるたびに再びバックアップする必要があります。 新しいキーを生成すると、そのキーで資格情報を再暗号化できます。 キーの更新が失敗した場合またはパスフレーズを忘れた場合は、資格情報は使用できなくなります。
暗号化キーのバックアップは、Secure Store の初期設定後、およびキーの再生成時に毎回行います。
暗号化キーのバックアップ メディアは、Secure Store データベースのバックアップ メディアと同じ場所に保管しないでください。 ユーザーがデータベースとキーの両方のコピーを入手すると、データベースに保存されている資格情報が漏洩する可能性があります。
Secure Store は機密性の高い情報の保管に使用されます。したがって、セキュリティを向上するために、以下のガイドラインに従うことを考慮することをお勧めします。
Secure Store Service は、他のサービスで使用していない個別のアプリケーション プールで実行します。
Secure Store データベースは、SQL Server を実行している別のサーバーに作成します。 コンテンツ データベースを格納しているのと同じ SQL Server インスタンスは使用しません。
Secure Store のターゲット アプリケーション
ターゲット アプリケーションは、Secure Store データベースに格納されている暗号化された資格情報のセットに 1 人のユーザーまたは複数のユーザーをマップする情報の集合です。 ターゲット アプリケーションには、以下の情報を定義します。
個別マッピングかグループ マッピングか。
Secure Store データベースに格納するフィールド。 (既定値は Windows ユーザー名と Windows パスワードですが、アプリケーションに応じて追加のフィールドの種類を選択できます)。
ターゲット アプリケーションを管理する権限を持つユーザー。
資格情報をマップするユーザーまたはグループ。
ターゲット アプリケーションごとに一意のアプリケーション ID が定義されます。この ID は、Excel Online、SharePoint Designer などの外部アプリケーションからターゲット アプリケーションを参照する際に使用されます。
Secure Store の資格情報のマッピング
Secure Store Service は、個別マッピングとグループ マッピングをサポートします。 グループ マッピングでは、特定のドメイン グループのメンバーであるすべてのユーザーが同じ資格情報のセットにマップされます。 個別マッピングでは、各ユーザーがそれぞれ固有の資格情報のセットにマップされます。 個別マッピングは、共有リソースに対する個々のユーザー アクセスの情報をログに記録する必要がある場合に便利です。 グループ マッピングでは、セキュリティ層が、Secure Store データベースに格納された 1 組の資格情報に対して、複数のドメイン ユーザーの資格情報をマップします。 グループ マッピングは個別マッピングより管理しやすく、パフォーマンスも優れています。
Secure Store Service とクレーム認証
Secure Store Service は、クレームに対応するサービスです。 セキュリティ トークンを受け取って解読し、アプリケーション ID を取得して、検索を実行できます。 SharePoint Server の Security Token Service (STS) が認証要求に対する応答としてセキュリティ トークンを発行すると、Secure Store Service はそのトークンを解読し、アプリケーション ID の値を読み取ります。 Secure Store Service は、そのアプリケーション ID を使用して、Secure Store データベースから資格情報を取得します。 そして、その資格情報がリソースへのアクセスの承認に使用されます。