Skype for Business Server でサーバー間認証 (OAuth) とパートナー アプリケーションを管理する

概要: Skype for Business Server で OAuth アプリケーションとパートナー アプリケーションを管理します。

Skype for Business Server は、他のアプリケーションやサーバー製品と安全かつシームレスに通信できる必要があります。 たとえば、連絡先データやアーカイブ データが Microsoft Exchange Server 2013 に格納されるように Skype for Business Server を構成できます。ただし、これは、Skype for Business Server と Exchange が互いに安全に通信できる場合にのみ実行できます。 同様に、Office Web Apps Server 内から Skype for Business Server 会議をスケジュールできます。この操作は、2 台のサーバー (SharePoint と Skype for Business Server) が相互に信頼している場合にのみ実行できます。 Skype for Business Server と Exchange 間の通信には 1 つの認証メカニズムを使用できますが、Skype for Business Server と SharePoint 通信には別のメカニズムを使用できますが、より適切で効率的な方法は、すべてのサーバー間の認証と承認に標準化された方法を使用することです。

サーバー間認証に標準化された 1 つの方法を使用する方法は、Skype for Business Server によって実行されるアプローチです。 Office Server 2013 リリース以降、Skype for Business Server (および Exchange Server や SharePoint Server を含む他の Microsoft Server 製品) では、サーバー間の認証と承認のための OAuth (Open Authorization) プロトコルがサポートされました。 多くの主要な Web サイトで使用される標準承認プロトコルである OAuth では、ユーザーの資格情報とパスワードは、あるコンピューターから別のコンピューターに渡されません。 代わりに、認証と承認はセキュリティ トークンの交換に基づいています。これらのトークンは、特定の時間の特定のリソース セットへのアクセスを許可します。

OAuth 認証には、通常、1 つの承認サーバーと、相互に通信する必要がある 2 つの領域の 3 つのパーティが含まれます。 (このドキュメントで後述するプロセスである承認サーバーを使用せずに、サーバー間認証を実行することもできます)。セキュリティ トークンは、通信する必要がある 2 つの領域に対して承認サーバー (セキュリティ トークン サーバーとも呼ばれます) によって発行されます。これらのトークンは、ある領域から発信される通信が他の領域から信頼される必要があることを確認します。 たとえば、承認サーバーは、特定の Skype for Business Server 領域のユーザーが指定された Exchange 領域にアクセスできることを確認するトークンを発行する場合があります。その逆も同様です。

注意

領域とは、セキュリティ コンテナーのことです。 既定では、Skype for Business Server は既定の SIP ドメインを OAuth 領域として使用します。 追加の SIP 名前空間が OAuth 証明書のサブジェクト代替名に追加されます。

Skype for Business Server では、3 つのサーバー間認証シナリオがサポートされています。 Skype for Business Server では、次のことができます。

  • Skype for Business Server のオンプレミス インストールと Exchange または SharePoint Server のオンプレミス インストールの間で、サーバー間認証を構成します。

  • Microsoft 365 または Office 365 コンポーネントのペア (たとえば、Microsoft Exchange Server と Skype for Business Server 間、Skype for Business Server と SharePoint 間など) 間でサーバー間認証を構成します。

  • クロスプレミス環境でサーバー間認証を構成します (つまり、オンプレミス サーバーと Microsoft 365 または Office 365 コンポーネント間のサーバー間認証)。

現時点では、Exchange 2013、SharePoint Server、Lync Server 2013、Skype for Business Server 2015、Skype for Business 2019 のみがサーバー間認証をサポートします。これらのサーバーのいずれかを実行していない場合、OAuth 認証を完全に実装することはできません。

また、サーバー間認証は省略可能であることを指摘する必要があります。Skype for Business Server が他のサーバー (Exchange など) と通信する必要がない場合は、サーバー間認証を完全にスキップできます。 サーバー間認証が Lync Server 2013 やその他のアプリケーション用に既に構成されている場合は、Skype for Business Server でやり直す必要はありません。

ただし、Skype for Business Server の一部の機能 ("統合連絡先ストア" など) を使用する場合は、サーバー間認証が必要です。統合連絡先ストアでは、Skype for Business Server の連絡先情報は、Skype for Business Server ではなく Exchange に格納されます。これにより、ユーザーは Skype for Business、Outlook、または Outlook Web Access 内から簡単にアクセスできる 1 つの連絡先セットを使用できます。 統合連絡先ストアでは、Skype for Business Server が Exchange と情報を共有する必要があるため、機能を展開するにはサーバー間認証を使用する必要があります。 また、インスタント メッセージング セッションのトランスクリプトが個々のデータベース レコードとしてではなく Exchange メールとして保存される Exchange アーカイブを使用する場合は、サーバー間認証も必要です。

Microsoft 365 または Office 365 バージョンの Skype for Business Server が Exchange に対応するサーバーと通信するには、Skype for Business Server が最初に承認サーバーからセキュリティ トークンを取得する必要があります。 その後、Skype for Business Server はそのセキュリティ トークンを使用して、Exchange に対して自身を識別します。 Microsoft 365 または Office 365 バージョンの Exchange は、Skype for Business Server と通信するために同じプロセスを実行する必要があります。

ただし、2 つの Microsoft サーバー間のオンプレミスのサーバー間認証では、パートナー トークン サーバーを使用する必要はありません。 Skype for Business Server や Exchange などのサーバー製品には、サーバー間認証をサポートする他の Microsoft サーバー (SharePoint Server など) との認証目的で使用できる組み込みのトークン サーバーがあります。 たとえば、Skype for Business Server は、単独でセキュリティ トークンを発行して署名してから、そのトークンを使用して Exchange と通信できます。 このような場合、パートナー トークン サーバーは必要ありません。

Skype for Business Server のオンプレミス実装用にサーバー間認証を構成するには、次の 2 つの操作を行う必要があります。

  • 組み込みの Skype for Business Server トークン発行者に証明書を割り当てます。

  • Skype for Business Server が通信するサーバーを "パートナー アプリケーション" に構成します。たとえば、Skype for Business Server が Exchange と通信する必要がある場合は、Exchange をパートナー アプリケーションとして構成する必要があります。

注意

"パートナー アプリケーション" とは、Skype for Business Server がサードパーティのセキュリティ トークン サーバーを経由することなく、セキュリティ トークンを直接交換できる任意のアプリケーションです。

OAuth は製品の中核部分であり、無効にしたり削除したりすることはできません。

関連項目

サーバー間認証証明書を Skype for Business Server に割り当てる

Skype for Business Server でハイブリッド環境を構成する