Power Pages のセキュリティの概要
Power Pagesには堅牢なセキュリティ モデルがあり、ビジネス情報が確実に保護され、適切な利害関係者のみがアクセスできるようにします。 このモデルには、誰が Web サイトにアクセスできるかを決める認証と、どの情報へのアクセスを許可するかを決める承認の 2 つをサポートしています。 認証と承認は、次の主要コンポーネントによってPower Pagesに実装されます。
- サイトの表示方法を使用すると、Web サイトへのアクセス許可を持つユーザーを管理できます。
- Power Pagesの認証されたユーザーは、連絡先によってMicrosoft Dataverseで表されます。
- Table アクセス許可Power Pagesでアクセスする方法と場所に関係なく、Dataverse テーブル内の行へのアクセスを定義します。
- ページのアクセス許可は、Web サイトの個々のページに関するアクセス許可および拒否を行うために使用されます。
- Web ロール は、ユーザーとアクセス許可をリンクして、Dataverse データと Web サイト コンテンツへのユーザー アクセスを定義します。
- HTTPS ヘッダー - クロスオリジン リソース共有を制御するように CORS 設定を構成します。
- セキュリティ スキャン - クロスサイト スクリプティング (XSS) や安全でないライブラリなどの一般的な脆弱性をサイトでスキャンします。
デザイン スタジオとポータル管理アプリPower Pages使用して、Power Pagesセキュリティを管理できます。
- Power Pagesデザイン スタジオを使用すると、最も一般的なシナリオでセキュリティ構成が簡単になります。
- ポータル管理アプリを使用すると、サイトのセキュリティのすべての側面を管理できますが、Power Pagesセキュリティ モデルを深く理解する必要があります。
サイトの表示方法
Power Pages サイトの可視性機能を使用すると、Web サイトにアクセスできるユーザーを管理できます。 サイトの表示方法は、公開または非公開に設定できます。
- 公開サイトはインターネット上でアクセスが可能であり、サイトに対する変更は外部の訪問者に対して直ちに表示されます。
- 表示方法の非公開への設定は、サイトが開発中で、組織内の特定のユーザーにアクセスを限定する場合に便利です。
Power Pagesデザイン スタジオでサイトの表示設定にアクセスするには、
Important
- Power Pagesで作成されたすべての新しいサイトは、既定でプライベートです。 Web サイトを公開する準備が整ったら、サイトの表示方法を公開に変更できます。
Authentication
Power Pagesユーザーは、次の方法を使用して認証できます。
ローカル サインイン - Dataverse の contact 行に安全に格納されている情報を使用するフォームベース認証。
External 認証 - 資格情報とパスワード管理は、Microsoft Entra 外部 ID、Microsoft、LinkedIn、Facebook などの外部 ID プロバイダーによって処理されます。
サイト管理者は、
Important
Microsoft Entra 外部 IDは、Power Pagesの外部認証に推奨される ID プロバイダーです。
認可
ユーザーが認証され、連絡先に関連付けられた後、Power Pagesは Web ロールを使用して、ユーザーに許可される操作を定義します。
Web ロールを使用すると、管理者はサイト コンテンツと Dataverse データへのユーザー アクセスを制御できます。 Web ロールは、ページ、テーブル、列のアクセス許可に関連付けることができ、Dataverse テーブル内のサイト ページと行と列への詳細なアクセスを定義できます。
たとえば、Power Pages デザイン スタジオの Pages ワークスペースのページの読み取りアクセス許可にアクセスするには、アクセス許可を管理するページの横にある省略記号を選択し、Page Settings を選択してから、Permissions タブを選択します。
Power Pages ユーザーは、一度に 1 つ以上の Web ロールに割り当てられる場合があります。 個々のロールのアクセス ルールとアクセス許可を組み合わせることで、最終的なアクセス許可セットが計算されます。
次に、Power Pages サイトのカスタマイズと拡張に使用できる機能拡張オプションについて説明します。