認証と承認

Sitecoreは、Webサイト、Webショップ、またはポータル上のユーザーを認証し、データを保護するためと同じセキュリティ メカニズムを使用します。これは、管理インターフェイスのユーザーを認証および承認する場合と同じです。

つまり、管理者、コンテンツ作成者、マーケティング担当者、またはその他のユーザーがContent Management (CM) ロールを通じて提供されるSitecore管理ツールにアクセスしようとすると、デフォルトではログイン プロンプトが表示されます。

デフォルトのセキュリティ認証および承認システムは、メンバーシップ データをセキュリティ データベースに保存するSitecore Identity Serverに基づいています。Sitecore Identity Serverは、XMとSitecore Commerceの両方にログインするために使用されるシングルサインオンソリューションです。

ユーザーがログインすると、Sitecore Identity Serverはセキュリティ データベースに保存されているデータに対してユーザー名とパスワードを認証し、認証が成功すると管理ツールへのアクセスを許可します。トレーサビリティのために、Sitecoreは成功した認証試行と失敗した認証試行の両方をSitecore監査ログに書き込みます。ユーザーとロールの作成、変更、削除についても同じことを行います。

管理者は、CMロールを通じて提供されるユーザー マネージャーでユーザーを検索および 管理 できます。管理者は、たとえば、ユーザー アカウントの作成と削除、ユーザー プロファイルの詳細の変更、アカウントの無効化と有効化、パスワードの変更を行うことができます。さらに、承認用の ロールを作成および管理 し、ユーザーをロールに割り当てることができます。また、ロール内にロールを作成して、権限階層を管理することもできます。

Sitecoreには、ユーザーとロールの管理、分析とレポートの表示、メール マーケティングの管理など、さまざまな機能にアクセスできる一連の ロール が付属しています。

コンテンツ管理の場合、ユーザーはコンテンツレベルで承認を受け取ります。これにより、ロールとユーザーを特定のコンテンツ階層に割り当てることができます。特定のサイト、サイトのセクション、コンテンツの種類などを管理するためのアクセス権を付与または制限できます。各コンテンツで、表示、作成、削除、または編集の権限を制御できます。また、コンテンツへのアクセスをより詳細に制御したり、特定のフィールドや言語へのアクセスを制限または許可したりすることもできます。

Sitecoreは 、セキュリティ ドメイン を使用して、管理ユーザーを他のWebサイト ユーザーから分離します。

セキュリティ・ドメインは、共通のルールと手順を持つユニットとして管理できる論理的な関係を持つセキュリティ・アカウント (つまり、ユーザーとロール) の集合です。たとえば、デフォルトでは、Sitecore管理インターフェイスを使用するアクセス権を持つすべてのアカウントはSitecoreドメインに属しますが、安全なWebサイトにアクセスできるすべてのアカウントはエクストラネット ドメインに属します。

Sitecoreドメインとエクストラネット ドメインはどちらもセキュリティ データベースに保存されます。

ウェブサイト上のすべての訪問者は、関連付けられたユーザーアカウントを持っています。認証されていないユーザーのために、匿名ユーザーアカウントがあります。

匿名ユーザーが制限されたページにアクセスしたい場合、access deniedメッセージを表示するか、ログインページにリダイレクトするようにシステムを構成できます。これは、Webサイトのビジネス要件に応じて完全に構成できます。

ウェブサイトがユーザーログインを許可している場合、ユーザーはユーザー名、パスワード、および場合によっては他のユーザープロファイル情報を提供することでウェブサイトに登録できます。ユーザー アカウントが作成され、セキュリティ データベースに格納されます。

Webサイトのビジネス要件によって、ユーザー名の形式が決まります。ただし、同じドメイン内の2つのユーザー アカウントに同じユーザー名を割り当てることはできません。ユーザーが作成されると、Security APIを使用して1つ以上のセキュリティ ロールにすぐに関連付けることができます。ロールを使用して、Webサイト上のさまざまなセクションや機能についてユーザーを承認できます。

管理者は、Sitecore管理インターフェイスを使用してユーザーのロール メンバーシップを変更できます。ユーザーアカウントに関連付けられたユーザープロファイルをカスタマイズしたり、カスタムフィールドを使用して拡張したりできます。ビジネスがユーザーについて収集および保存したい必要な情報は、ユーザーアカウントと一緒にセキュリティデータベースに保存できます。また、Sitecoreユーザー管理ツールでカスタム ユーザー プロファイル フィールドを管理することもできます。

訪問者がログインしようとすると、指定されたユーザー名とパスワードがセキュリティデータベース内のユーザーアカウントに対して認証されます。成功すると、訪問者は認証されたユーザーアカウントに関連付けられ、ユーザーアカウントのメンバーシップロールに一致する認証を取得します。

すべてのWebサイト訪問者のログイン、登録、またはユーザーアカウントの変更は、コンプライアンスと透明性のために監査ログに記録されます。

Sitecoreの実装がSitecore Experience Platformを実行している場合 (つまり、xConnectとSitecore Experienceデータベースを使用している場合)、xConnect Collectionを通じてxConnectに対してユーザー アカウントを登録できますロール、およびユーザーの行動はユーザーアカウントに対して追跡されます。その後、連絡先を読み込み、以前の訪問や以前の行動、あるいは他のデバイスでの訪問や行動に基づいて、コンテンツやエクスペリエンスをパーソナライズすることができます。

訪問者がセキュア・ページに再度アクセスし、ユーザー・アカウント(またはユーザー・アカウントに関連付けられたロール)がページ・コンテンツの読み取りを許可されている場合、ビジターにはセキュア・ページが表示され、訪問はユーザー・アカウントとユーザー・プロファイルに保存され、パーソナライズに使用されます。

Sitecoreは、カスタム認証システムと統合するための一時的なユーザー アカウント システムである仮想ユーザーもサポートしています。仮想ユーザーは、Sitecore Identity Serverを介して取得または保存されるのではなく、プライベート セッション ステート ストアに一時的に作成されます。ただし、このユーザー認証のアプローチには、Security APIによるカスタムソリューションコードが必要です。また、Sitecoreユーザー管理ツールでユーザー アカウントを管理することもできなくなります。仮想ユーザーのロールまたはユーザー プロファイル情報も、カスタム ソリューション コードを使用して割り当てる必要があります。

Sitecore Identity Serverによる認証に加えて、SitecoreはOauthおよびOwin標準による フェデレーション認証もサポートしています。フェデレーション認証を使用すると、ユーザーはFacebook、Google、Microsoftなどの外部プロバイダーを通じてSitecoreまたはWebサイトにログインできます。フェデレーション認証では、使用する外部プロバイダーに応じて、特定の方法でSitecoreを設定する必要があります。

訪問者がフェデレーション認証を使用してWebサイトにログインする場合、通常、訪問者は認証プロバイダーへのリンクをクリックするか、Webサイト上の特定のログイン ページにアクセスします。これにより、訪問者は外部プロバイダーの認証ページにリダイレクトされ、そこで訪問者が認証されます。

成功した場合、外部プロバイダーは通常、認証トークンを作成し、トークンを使用して認証されたユーザーをSitecoreのフェデレーション認証ハンドラーにリダイレクトします。

外部プロバイダーに応じて、Sitecoreは提供されたトークンを使用してユーザーのIDを確認し、クレームと呼ばれる追加情報を外部システムから取得できます。

Sitecoreでは、訪問者は標準のセキュリティAPIを介してログインし、ドメイン内のユーザーアカウントとユーザープロファイルが付与されます。Sitecoreは、外部システムから取得したクレームをユーザー プロファイルのフィールドにマッピングし、Webサイト上でユーザー情報またはパーソナライゼーションとして使用できます。

ビジター ユーザ アカウントは、次のように設定できます。

フェデレーション認証は、Webサイト (Content Delivery) とSitecoreログイン (Content Management) の両方で機能します。

各ロールのプライバシーとセキュリティに関する考慮事項については、アーキテクチャの概要 に関するドキュメントを参照してください。