none
Sharepoint2016の認証について RRS feed

  • 質問

  • 現在、Sharepoint2016(オンプレミス)を利用しようとしています。

    当初は、Sharepointアプリサーバ、DBサーバの2台構成で構築する予定でしたが、

    セキュリティの関係上、Sharepointへの認証のみ別サーバに切り離す

    ことができないかどうかを検証することになりました。 
    ※SharepointアプリサーバとDBサーバ1台ずつの構成であれば、 

      認証もアプリケーションの機能もSharepointアプリサーバで行うと思うのですが、 
      その認証機能を外に切り出すというイメージです。 

    そこで認証を切り離す構成について下記3点質問があります。 

    ①.切り離しを行うための方法として、3層ファーム構成という案が出たのですが、 
      3層ファーム構成であれば切り離すことは可能なのでしょうか?

      WEBサーバ、アプサーバ、DBサーバの3層に分けられると思うのですが、

      WEBサーバ⇒認証、アプリサーバ⇒アプリ、DBサーバ⇒DBというイメージで切り離せますか?

      また、切り離し構成が取れるようであれば、その方法を教えて頂きたいです。

    ②.①に関係することなのですが、

      3層ファームでいうWEBサーバとは何を指しているのでしょうか? 
      Ⅰ.認証サーバを指している 
      Ⅱ.一般的なWEBサーバを指しており、認証はアプリサーバで行う 
      Ⅲ.認証サーバ兼WEBサーバを指している 

    ③.①の考え方で出来ない場合、別の方法(SAML認証以外)で切り離しできますか?

    2017年1月27日 2:30

回答

  • ISA の代わりとしては、F5 の BIG-IP APM などはどうでしょうか?すでに調査済みでしたら申し訳ありません。。。

    または、構成や設定が複雑になりますが…、SharePoint サーバーの Web フロントエンドサーバーを増やして、DMZ と Intranet にそれぞれ配置するという構成も考えられるかもしれません。 

    2017年1月31日 6:17
  • 特殊なのかどうかはわかりませんが、SharePoint はクレームベース認証において、WS-Federation などがサポートされます。

    認証のオプションは、下記のページにまとまっていましたのでご参考となりませんでしょうか?

    [SharePoint 2013 でユーザー認証方法を計画する]
    https://technet.microsoft.com/ja-jp/library/cc262350.aspx

    (追記)

    [SharePoint Server 2016 でユーザー認証方法を計画する]
    https://technet.microsoft.com/ja-jp/library/cc262350(v=office.16).aspx


    2017年2月8日 5:29
  • ご検討が前に進んだようで安心しました。

    Active Directory からのユーザープロファイル インポートでは、一旦は SharePoint の User Profile Service Application という仕組みと紐付く SQL Server 上のデータベースに情報が格納されます。 

    また、サイト コレクション側のデータベースにもユーザー情報のコピーを保有するテーブルがありますので、必要に応じて User Profile のデータベースから情報がコピーされます。

    ただし、権限付与を行う際などには、直接 SharePoint から Active Directory に LDAP で情報取得を行ない、最低限必要な情報をサイト コレクション側のデータベースに直接保存する動作が発生することもあります。(その後、User Profile のデータベースから、その他の情報を自動的にコピーします)

    このあたりの動作は少々複雑ですが、ご質問の「SharePoint で "AD 情報をインポートした際に"は、どこにデータを持つか?」への回答としては、「SQL Server のデータベースに格納される」となります。

    技術的な詳細については、下記の記事が参考になるかと思います。

    [サイト コレクションのユーザー情報へのユーザー プロファイル同期の仕組みについて (まとめ)]
    https://blogs.technet.microsoft.com/sharepoint_support/2013/11/09/1250/

    また、今回は SharePoint 2016 ということですので、Active Directory とのユーザー プロファイル "同期" を行う場合には別途 MIM サーバーの構成が必要になります。(Active Directory からの"インポートのみ"であれば不要です)このあたりの構成については、下記の TechNet 記事をご確認ください。

    [SharePoint Server 2016 でユーザー プロファイル用に Microsoft Identity Manager をインストールする]
    https://technet.microsoft.com/ja-jp/library/mt627723(v=office.16).aspx


    2017年2月9日 2:53
  • 一般ユーザーのパスワード変更に関する機能は持っていません。
    サードパーティのアドオン製品では、そうした製品もあるようです。
    2017年2月10日 11:26

すべての返信

  • ご質問の環境は、ドメイン環境でしょうか?
    2017年1月27日 8:05
  • はい。

    ドメイン環境です。

    2017年1月29日 23:48
  • ドメイン環境であれば、Windows 認証での構成では不足でしょうか?
    Windows 認証であれば、PC へのログイン時の認証情報で、SharePoint Server を利用できるかと思います。

    また、WEB サーバーとは、一般的にはユーザー(PC)からのアクセスを受けてページを返す処理を行います。
    3層ファームでのアプリサーバーは、定期的なジョブ実行などのバッチ処理を実行しています。(検索クロールなど)

    2017年1月31日 5:24
  • 質問の仕方が悪かったので質問内容を訂正させて頂きます。

    Sharepointを社内ユーザ(ドメイン)と社外ユーザ(ドメイン外)の情報共有のツールにしています。
    社内ユーザは問題ないのですが、
    社外ユーザはセキュリティの観点から2要素認証をかけたいです。
    形としてはDMZ上で2要素認証(クライアント認証、フォーム認証)をかけてから
    社内のSharepointを触らせるという形を取りたいと思っています。
    構成としては下記になります。
     ・DMZ(2要素認証)
      認証サーバ(クライアント認証、フォーム認証)
     ・社内(アプリ)
      Sharepointサーバ
      DBサーバ

    クライアント認証はこちらで用意できるのですが、
    お客様環境に合わせたDMZ上での社外ユーザのフォーム認証を
    実現する方法が見つからなくて困っております。
    ※SharepointサーバはADも兼ねているので、DMZには置けません。

    現在は「ISA Server」というツールを利用しているのですが、
    今後更新する際は、ISA serverの販売が終了しているため入手できません。
    現在はそれに代わるツールもしくは方法を探しています。

    そこで、Sharepointの認証を切り出す方法や別サーバで認証する方法がないか探しています。

    2017年1月31日 5:35
  • ISA の代わりとしては、F5 の BIG-IP APM などはどうでしょうか?すでに調査済みでしたら申し訳ありません。。。

    または、構成や設定が複雑になりますが…、SharePoint サーバーの Web フロントエンドサーバーを増やして、DMZ と Intranet にそれぞれ配置するという構成も考えられるかもしれません。 

    2017年1月31日 6:17
  • 情報頂きありがとうございます。

    そもそも、SAML認証以外で

    Sharepointの認証を切り離して別サーバで行うということ自体が特殊な使い方なのでしょうか?

    その構成自体を考え直した方が良いでしょうか?

    2017年1月31日 6:41
  • 特殊なのかどうかはわかりませんが、SharePoint はクレームベース認証において、WS-Federation などがサポートされます。

    認証のオプションは、下記のページにまとまっていましたのでご参考となりませんでしょうか?

    [SharePoint 2013 でユーザー認証方法を計画する]
    https://technet.microsoft.com/ja-jp/library/cc262350.aspx

    (追記)

    [SharePoint Server 2016 でユーザー認証方法を計画する]
    https://technet.microsoft.com/ja-jp/library/cc262350(v=office.16).aspx


    2017年2月8日 5:29
  • ネットワーク構成から見直すことで本件で行いたかった構成とほぼ同様の構成を取ることが出来そうです。
    様々な情報を教えて頂きありがとうございました。


    最後に一点ご存知だったら聞きたいことがあります。
    SharepointでAD情報をインポートした際には、
    SharepointがインストールされているサーバのローカルにADの情報を持つのでしょうか?
    それともDBサーバ等にAD情報を格納し、情報が必要な際にはDBの情報を取得しにいってるのでしょうか?

    2017年2月9日 2:11
  • ご検討が前に進んだようで安心しました。

    Active Directory からのユーザープロファイル インポートでは、一旦は SharePoint の User Profile Service Application という仕組みと紐付く SQL Server 上のデータベースに情報が格納されます。 

    また、サイト コレクション側のデータベースにもユーザー情報のコピーを保有するテーブルがありますので、必要に応じて User Profile のデータベースから情報がコピーされます。

    ただし、権限付与を行う際などには、直接 SharePoint から Active Directory に LDAP で情報取得を行ない、最低限必要な情報をサイト コレクション側のデータベースに直接保存する動作が発生することもあります。(その後、User Profile のデータベースから、その他の情報を自動的にコピーします)

    このあたりの動作は少々複雑ですが、ご質問の「SharePoint で "AD 情報をインポートした際に"は、どこにデータを持つか?」への回答としては、「SQL Server のデータベースに格納される」となります。

    技術的な詳細については、下記の記事が参考になるかと思います。

    [サイト コレクションのユーザー情報へのユーザー プロファイル同期の仕組みについて (まとめ)]
    https://blogs.technet.microsoft.com/sharepoint_support/2013/11/09/1250/

    また、今回は SharePoint 2016 ということですので、Active Directory とのユーザー プロファイル "同期" を行う場合には別途 MIM サーバーの構成が必要になります。(Active Directory からの"インポートのみ"であれば不要です)このあたりの構成については、下記の TechNet 記事をご確認ください。

    [SharePoint Server 2016 でユーザー プロファイル用に Microsoft Identity Manager をインストールする]
    https://technet.microsoft.com/ja-jp/library/mt627723(v=office.16).aspx


    2017年2月9日 2:53
  • 本当に色々と情報ありがとうございます。
    今回はインポートのみのためMIMの構成は必要ないです。

    前回最後と言ったのですが、もう一つ質問させてください。
    Sharepointの機能としてADユーザのパスワードを変更する機能があるかご存知でしょうか?
    2017年2月9日 9:12
  • 一般ユーザーのパスワード変更に関する機能は持っていません。
    サードパーティのアドオン製品では、そうした製品もあるようです。
    2017年2月10日 11:26
  • 色々とありがとうございました。
    2017年2月14日 0:38