シングルサインオンの概要

MOSS にはシングル サインオン の機能があります。Excel Services や SharePoint Designer 2007 のデータビューを使用したり、あるいは カスタムの Web パーツを作成してクライアント→ MOSS → バックエンドシステムとアクセスする際に、ダブルホップの問題が起こることがあります。そうした問題の克服に有用なのがシングルサインオンです。ダブルホップの問題とは、たとえば MOSS をNTLM 認証で構成している場合はプロトコルの仕様上、認証情報を転送することができないため、クライアント→MOSS まではアクセスできても、そこから先にあるデータベースシステムなどへは認証が通らずアクセスできないというものです。

つまり、ダブルホップの問題の克服方法には主に次の 2つの方法があることになります。

• MOSS 上で Kerberos 認証を構成し、アカウントの委任ができるようにする
• シングル サインオンを使用する

シングル サインオンは Kerberos 認証および NTLM 認証のどちらのプロトコルを使用していても利用できます。このうち Kerberos 認証はあくまで Active Directory ドメイン内での利用に限定されるため、Active Directory ドメイン以外のシステムからアクセスしたいような要件では特に 「NTLM 認証+シングルサインオン」という組み合わせが必要となることがあります。

MOSS はシングルサインオン用のデータベースを構築でき、そこにアカウントのマッピング情報を格納します(シングル サインオンの設定方法の詳細については、「ひと目でわかる～」の書籍や「SharePoint Server オフィシャルマニュアル」等に記載されていますのでそれらを参考にしてください)。

マッピング情報は"クライアント→ MOSS へアクセス" する Windows ユーザーと"MOSS→外部システムへアクセス"するアカウントを関連付けたものです。シングルサインオンでは、これを「多対一」あるいは「一対一」でマッピングできます。多対一では、特定のWindows グループアカウントに所属するユーザーをバックエンドで認証できる特定のアカウントに変換してからアクセスすることになります。一対一では、個々のWindows ユーザー情報をそのままバックエンドシステムに渡せるようになります。

本題

さて、前置きが長かったのですがここからが本題です。

実はWeb 上含め、さまざまなドキュメントには多対一のマッピングの設定方法は記載されているのですが、一対一のマッピングについての記載がほとんどありません(私が探せていないだけかもしれませんが、、、)。ちょうど先日受講者の方にご質問いただきまして、自分でも実は詳細を確認をしていなかったので好機と思い検証してみました。すると案外わかりにくい構成となっていることがわかりましたので、検証結果をご紹介したいと思います。

また若干長くなりそうなので、記事を分割して詳細は次回の投稿で説明します。