Office Online Server と SharePoint Server 2016 の間のサーバー間認証を構成するConfigure server-to-server authentication between Office Online Server and SharePoint Server 2016

概要: Office Online Server と SharePoint 2016 の間のサーバー間認証を構成します。Summary: Configure server-to-server authentication between Office Online Server and SharePoint Server 2016.

Office Online Server と SharePoint Server 2016 の間のサーバー間認証は 2 つのサーバー間に信頼関係を確立します。 この信頼は、Office データ接続 (ODC) ファイルのサポートや SQL Server Power Pivot for SharePoint の一部である IT 管理ダッシュボードなど、いくつかの Excel Online において前提条件になっています。この記事では、この信頼を設定する手順について説明します。Server-to-server authentication between Office Online Server and SharePoint Server 2016 establishes trust between the two servers. This trust is a necessary prerequisite for some Excel Online features, such as Office Data Connection (ODC) file support and the IT Management Dashboard, which is part of SQL Server Power Pivot for SharePoint. This article guides you through the steps to set up this trust.

サーバー間認証を構成するためには、Office Online Server ファームと SharePoint Server ファームは、同じ Active Directory フォレスト内にある必要があります。SharePoint Server ファーム上でも User Profile service アプリケーションを設定する必要があります。To configure server-to-server authentication, your Office Online Server farm and SharePoint Server farm must be in the same Active Directory forest. You also must have a User Profile service application configured on the SharePoint Server farm.

サーバー間認証を構成するために必要な基本的な操作は次のとおりです。The basic actions required for configuring server-to-server authentication are:

  1. Office Online Server に証明書をインポートします。Import the certificate to Office Online Server

  2. SharePoint サーバー上で使用する証明書をエクスポートします。Export the certificate for use on SharePoint Server

  3. Office Online Server を構成してサーバー間認に証明書を使用します。Configure Office Online Server to use the certificate for server-to-server authentication

  4. SharePoint Server を構成してサーバー間認に証明書を使用します。Configure SharePoint Server to use the certificate for server-to-server authentication

最初に Office Online Server に証明書をインポートします。You'll start with importing the certificate to Office Online Server.

Office Online Server に証明書をインポートします。Import the certificate to Office Online Server

最初の手順として、Office Online Server で使用する証明書をインポートします。Office Online Server ファームの各サーバーで 証明書のインポート および ネットワーク サービスにキーの使用を許可 のプロシージャに従います。The first step is to import your certificate for use by Office Online Server. Follow the Import your certificate and Grant network service permission to use the key procedures on each server in your Office Online Server farm.

証明書のインポートImport your certificate

秘密キー SSL 証明書または自己署名証明書のいずれかが使用できます。秘密キー SSL 証明書の使用を強くお勧めします。以下のセクションでは、両方の手順について説明します。使用中のものを選びます。You can use either a private key SSL certificate or a self-signed certificate. We highly recommend using a private key SSL certificate. The following sections provide procedures for both. Choose the one the you are using.

秘密キーの SSL 証明書を使用する場合Use a private key SSL certificate

Office Online Server を実行中の各サーバーに証明書をインストールします。Install the certificate on each server running Office Online Server.

Office Online サーバー上に証明書をインストールするにはTo install the certificate on Office Online Server

  1. Office Online Server を実行しているサーバー上で、IIS マネージャー を開きます。On the server running Office Online Server, open IIS Manager.

  2. 左側のペインで、サーバー名をクリックします。In the left pane, click the server name.

  3. [ サーバー証明書] をダブルクリックします。Double-click Server Certificates.

  4. [アクション] ペインで、 [インポート] をクリックします。In the Actions pane, click Import.

  5. 表示する SSL 証明書の パス および ファイル名 を入力します。Type the path and file name of the SSL certificate that you want to use.

  6. [パスワード] ボックスに、証明書の パスワード を入力します。In the Password box, type the password for the certificate.

  7. [証明書ストアの選択] ドロップ ダウン リストで、 [個人] が選択されていることを確認します。In the Select Certificate Store drop-down list, make sure Personal is selected.

  8. [OK] をクリックします。Click OK.

この手順を、Office Online を実行している各サーバーで繰り返します。Repeat this procedure on each server running Office Online.

自己署名証明書を使用する場合Use a self-signed certificate

自己署名証明書を使用する場合は、信頼されたルート証明機関に証明書を追加する必要があります。If you're using a self-signed certificate, you need to add it to the Trusted Root Certification Authorities.

信頼されたルート証明機関に証明書をインポートするにはTo import the certificate to the Trusted Root Certification Authorities

  1. Microsoft 管理コンソールを開きます。Open the Microsoft Management Console.

  2. [ファイル] メニューの [スナップインの追加と削除] を選びます。On the File menu, choose Add/Remove Snap-in.

  3. [証明書] を選択し、 [追加] をクリックします。Choose Certificates, and then click Add.

  4. [コンピューター アカウント] オプションを選択して、 [次へ][完了] の順にクリックします。Choose the Computer account option, click Next, and then click Finish.

  5. [OK] をクリックします。Click OK.

  6. [証明書 (ローカル コンピューター)] を展開し、 [信頼されたルート証明機関] を右クリックし、 [すべてのタスク] をクリックして、 [インポート] をクリックします。Expand Certificates (Local Computer), right-click Trusted Root Certification Authorities, click All Tasks, and then click Import.

  7. [ 次へ] をクリックします。Click Next.

  8. 証明書の場所を参照および選択し、 [次へ] をクリックします。Browse to the location of the certificate, select it, and then click Next.

  9. 証明書のパスワードを入力して [次へ] をクリックし、 [完了] をクリックします。Type the certificate password, click Next, and then click Finish.

Microsoft 管理コンソールは、次の手順で開いたままにしておきます。Keep the Microsoft Management Console open for the next procedure.

ネットワーク サービスにキーの使用を許可Grant network service permission to use the key

次に、Microsoft 管理コンソール (MMC) を使用して、ネットワーク サービスに秘密キーの使用を許可します。Next, use the Microsoft Management Console (MMC) to grant the network service permissions to use the private key.

ネットワーク サービスに秘密キーの使用を許可するにはTo grant network service permissions to use the private key

  1. Microsoft 管理コンソールを開きます。Open the Microsoft Management Console.

  2. [ファイル] メニューの [スナップインの追加と削除] を選びます。On the File menu, choose Add/Remove Snap-in.

  3. [証明書] を選択し、 [追加] をクリックします。Choose Certificates, and then click Add.

  4. [コンピューター アカウント] オプションを選択して、 [次へ][完了] の順にクリックします。Choose the Computer account option, click Next, and then click Finish.

  5. [OK] をクリックします。Click OK.

  6. [証明書 - ローカル ユーザー] を展開し、 [個人] を展開します。次に、 [証明書] をクリックします。Expand Certificates (Local Computer), expand Personal, and then click Certificates.

  7. インポートした証明書を右クリックして、 [すべてのタスク] をクリックし、 [秘密キーの管理] をクリックします。Right-click the certificate that you just imported, click All Tasks, and then click Manage Private Keys.

  8. [アクセス許可] のダイアログ ボックスで、 [追加] をクリックします。In the Permissions dialog box, click Add.

  9. ネットワークサービス を入力し、次に [OK] をクリックします。Type Network Service, and then click OK.

  10. [OK] をクリックします。Click OK.

Office Online Server ファームの各サーバーで 証明書のインポート および ネットワーク サービスにキーの使用を許可 のプロシージャに必ず従います。Be sure you follow the Import your certificate and Grant network service permission to use the key procedures on each server in your Office Online Server farm.

Microsoft 管理コンソールは、次の手順で開いたままにしておきます。Keep the Microsoft Management Console open for the next procedure.

SharePoint サーバー上で使用する証明書をエクスポートします。Export the certificate for use on SharePoint Server

次の手順で、Office Online Server を信頼できるトークン発行元として登録できるように証明書をエクスポートします。The next step is to export the certificate so that you can use it to register Office Online Server as a trusted token issuer.

SharePoint Server 2016 で使用する証明書をエクスポートするにはTo export the certificate for use with SharePoint Server 2016

  1. インポートした証明書を右クリックし、 [すべてのタスク] を選択してから、 [エクスポート] をクリックします。Right-click the certificate that you just imported, click All Tasks, and then click Export.

  2. [ようこそ] ページで [ 次へ] をクリックします。On the Welcome page, click Next.

  3. [いいえ、秘密キーをエクスポートしません] オプションを選択し、 [次へ] をクリックします。Choose the No, do not export the private key option, and then click Next.

  4. [DER encoded binary X.509 (.CER)] を選択し、 [次へ] をクリックします。Choose the DER encoded binary X.509 (.CER) option, and then click Next.

  5. パス およびエクスポートする ファイル名 を入力し、 [次へ] をクリックします。Type the path and name of the file that you want to export, and then click Next.

  6. [ 完了]、[ OK] の順にクリックします。Click Finish, and then click OK.

作成した証明書ファイルを SharePoint Server からアクセスできる場所コピーします。Copy the certificate file that you created to a location where you can access it from SharePoint Server.

次に、この証明書を Office Online Server 用の S2S の証明書として指定する必要があります。Next, you need to specify this certificate as the S2S certificate for Office Online Server.

Office Online Server を構成してサーバー間認に証明書を使用します。Configure Office Online Server to use the certificate for server-to-server authentication

Office Online Server 用の S2S の証明書として指定するにはTo specify the S2S certificate for Office Online Server

  1. Microsoft PowerShell ウィンドウを管理者として開きます。Open a Microsoft PowerShell window as Administrator.

  2. 以下を入力します。[friendlyName] には使用中の証明書のフレンドリ名を入力します。Type the following where is the friendly name of the certificate that you're using.

Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Office Online Server で HTTP を使用Using HTTP with Office Online Server

Office Online Server ファーム用に HTTPS の代わりに HTTP を使用している場合、Office Online Server からのアウト バウンド HTTP 接続を許可する必要があります。(SSL を使用している場合は、この手順はスキップします。)If you're using HTTP instead of HTTPS for your Office Online Server farm, you have to allow outbound HTTP connections from Office Online Server. (If you're using SSL, you can skip this procedure.)

Office Online Server からアウト バウンド HTTP 接続を有効にするには、次の PowerShell コマンドを実行します。To enable outbound HTTP connections from Office Online Server, run the following PowerShell command:

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

ODC ファイルで HTTP パスを使用Using HTTP paths with ODC files

HTTP パスに ODC ファイルを保存する場合は、HTTP 経由の Secure Store 接続が許可されるように Office Online Server を構成します。If you plan to store ODC files in an HTTP path, you have to configure Office Online Server to allow Secure Store connections over HTTP.

Important

HTTP 経由で Secure Store 接続を使用する場合、ODC ファイルの内容がクリア テキストで送信されます。ODC ファイルには、データベース接続情報やパスワードが含まれる場合があります。When you use Secure Store connections over HTTP, the contents of the ODC file are passed in clear text. ODC files contain database connection information and can contain passwords.

Office Online Server の Secure Store での HTTP パス使用を有効にするには、次の PowerShell コマンドを実行します。To enable Office Online Server to use HTTP paths with Secure Store, run the following PowerShell command:

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

SharePoint Server を構成してサーバー間認に証明書を使用します。Configure SharePoint Server to use the certificate for server-to-server authentication

SharePoint Server および SQL Server を信頼できるトークン発行元として登録する必要があります。これは、PowerShell から登録できます。使用するパラメーターを以下に示します。You need to register SharePoint Server and SQL Server as trusted token issuers. This is done through PowerShell. Here are the parameters that you'll use:

  • - トップレベル サイト コレクションの URL。 - The URL of your top-level site collection.

  • - 証明書発行元の名前。IIS マネージャーで証明書の [詳細] タブを表示することで検索できます。 - The name of the certificate issuer. You can find this by viewing the Details tab of the certificate in IIS Manager.

  • - エクスポートしたファイルの証明書のパス名およびファイル名。 - The path and file name of the certificate file that you exported.

  • – 信頼できるトークン発行元の GUID です。SharePoint Server は 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 で、SQL Server は 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a です。 - The GUID of the trusted token issuer. MOSS_2nd_NoVer is 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 and SQLServer_2nd_NoVer is 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a

次の手順を、各 GUID で 1 回ずつ、合計 2 回実行してください。Perform the following procedure twice - once for each GUID.

SharePoint Server ファームのフロント エンド サーバーでこの手順を実行します。Perform this procedure on a Front-end server in your SharePoint Server farm.

信頼できるトークン発行元を登録するにはTo register a trusted token issuer

  1. 管理者として SharePoint 2016 管理シェルを開きます。Open the SharePoint 2016 Management Shell as Administrator.

  2. 上記のパラメーターを使用して次のスクリプトを実行します。Run the following script using the parameters noted above:

    $wac=New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
    
$app=Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $wac.NameId
$site=Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope sitesubscription -Right fullcontrol -EnableAppOnlyPolicy
  1. 自己署名証明書を使用している場合は、次のコマンドを実行します。If you're using a self-signed certificate, run the following command:

    New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>