プロファイル機能とセキュリティ機能を理解する − @IT
複数のActiveDirectoryからプロファイルをインポート可能なのか。
プロファイル・インポート機能ではActive Directoryのドメインを1つだけでなく、複数のActive Directoryをインポートすることもできるし、Active Directoryのフォレスト全体をインポートすることも可能である。また、Active Directory以外のLDAPディレクトリ・サービスからユーザー情報をインポートすることもできる。
ユーザ情報はAD等から、その内容はインポートしてプロファイルという形で共用データベースに格納か。
プロファイル機能とは、ポータル・サイトへアクセスするユーザーを識別し、そのユーザー情報を管理する機能である。MOSSではファイルやWebページなどのコンテンツ情報はデータベースに格納し管理していると解説したが、ユーザー情報はどのように管理しているのだろうか?実は、コンテンツ情報と同様にユーザー情報もデータベースに格納し管理している(ユーザー情報はコンテンツ・データベースではなく、共有サービス・データベースに格納される)のだが、WSS(Windows SharePoint Services)とMOSSでは機能にいくつかの違いがある。まずはすべての機能がそろったMOSSのプロファイル機能を解説しながらWSSとの違いについても補足していく。
ASP.NETで対応している認証方式が使えるとのこと。
MOSSでサポートされる認証方式を下表に記載する。これらは、ASP.NETでも同じようにサポートされている認証方式である。
認証方式 概要 NTLM認証 Active Directoryを利用するWindowsの認証方式の1つ。統合Windows認証を利用し、ブラウザ上でユーザーID/パスワードを入力することなくポータル・サイトへ自動的にサインインすることが可能 Kerberos認証 秘密鍵暗号を利用したWindowsの認証方式の1つ。統合Windows認証を利用し、ブラウザ上でユーザー ID/パスワードを入力することなくポータル・サイトへ自動的にサインインすることが可能。MOSSでKerberos認証を利用するには、IIS側での追加設定が必要 Active Directory Federation Service(ADFS) 信頼関係のないActive Directory間でも認証チケットを交換し、認証を行う方式。通信にHTTPを利用するのでファイアウォールを越えたネットワーク間での認証も可能。Windows Server 2003 R2からの新機能 フォーム認証 ログイン画面にユーザーID/パスワードを入力することで認証を行う方式。ASP.NET メンバシップ・プロバイダを開発することによって、任意のデータベース内のユーザーID/パスワードを利用しサインインすることが可能 匿名認証 匿名ユーザーとして誰でもポータル・サイトへアクセスできるようにする設定。匿名認証を有効にするには、Webアプリケーションとサイト単位の2段階で設定を行う必要がある
ADのドメイングループでアクセス権の設定が可能。ファイルサーバのファイルアクセス権とも連携すると思うのでここも併せて設計しておく必要有りかな。
MOSS上でアクセス権を設定する場合は、ユーザー単位で設定することができる。ただし、ユーザー単位でアクセス権を設定した場合、設定する量が膨大になり、管理できなくなる恐れがあるので、ドメイン・グループをMOSSグループにマッピングし、その単位でアクセス権を設定することが一般的である。このあたりは、Active Directoryのセキュリティ・グループの設計にもかかわる部分でもあるので、現状のActive Directoryの設計を分析し方針を決定するとよい。
