Lync Server 2013 でのサーバー間認証 (OAuth) とパートナー アプリケーションの管理
トピック最終更新日: 2015-05-14
Microsoft Lync Server 2013 は、他のアプリケーションやサーバー製品と安全かつシームレスに通信できる必要があります。 たとえば、連絡先データやアーカイブ データが 2013 年 Microsoft Exchange Serverに格納されるように Lync Server 2013 を構成できます。ただし、これは Lync Server と Exchange が相互に安全に通信できる場合にのみ行うことができます。 同様に、Microsoft SharePoint Server 内から Lync Server 会議をスケジュールすることもできます。ただし、この操作は、2 台のサーバー (SharePoint と Lync Server) が相互に信頼している場合にのみ実行できます。 Lync 対 Exchange 通信には 1 つの認証メカニズムを使用でき、Lync から SharePoint への通信には別のメカニズムを使用できますが、より効率的な方法は、すべてのサーバー間認証と承認に標準化された方法を使用することです。
サーバー間認証に標準化された 1 つの方法を使用する方法は、Lync Server 2013 によって行われるアプローチです。 2013 リリースでは、Lync Server 2013 (および Exchange 2013 や Microsoft SharePoint Server を含む他の Microsoft Server 製品) では、サーバー間認証と承認用の OAuth (Open Authorization) プロトコルがサポートされています。 OAuth では、多数の主要な Web サイトで使用される標準承認プロトコルであり、ユーザーの資格情報とパスワードはコンピューター間で渡されません。 代わりに、認証と承認はセキュリティ トークンの交換に基づいています。これらのトークンは、特定の時間の特定のリソース セットへのアクセスを許可します。
通常、OAuth 認証には、1 つの承認サーバーと、相互に通信する必要がある 2 つの領域という 3 つの関係者が含まれます。 (承認サーバー (このドキュメントの後半で説明するプロセス) を使用せずに、サーバー間認証を実行することもできます。セキュリティ トークンは、認証サーバー (セキュリティ トークン サーバーとも呼ばれます) によって、通信する必要がある 2 つの領域に発行されます。これらのトークンは、ある領域から発信される通信が他の領域によって信頼される必要があることを確認します。 たとえば、承認サーバーは、特定の Lync Server 2013 領域のユーザーが指定された Exchange 2013 領域にアクセスできることを確認するトークンを発行する場合があります。その逆も同様です。
注意
領域とは、セキュリティ コンテナーのことです。 既定では、Lync Server 2013 では、OAuth 領域として既定の SIP ドメインが使用されます。 追加の SIP 名前空間が OAuth 証明書のサブジェクト代替名に追加されます。
Lync Server 2013 では、3 つのサーバー間認証シナリオがサポートされています。 Lync Server 2013 では、次のことができます。
Lync Server 2013 のオンプレミス インストールと Exchange 2013 または Microsoft SharePoint Server のオンプレミス インストールの間で、サーバー間認証を構成します。
Microsoft 365 コンポーネントのペア (Microsoft Exchange と Microsoft Lync Server の間、または Microsoft Lync Server と Microsoft SharePoint の間など) 間でサーバー間認証を構成します。
クロスプレミス環境 (つまり、オンプレミス サーバーと Microsoft 365 コンポーネント間のサーバー間認証) でサーバー間認証を構成します。
現時点では、Exchange 2013、SharePoint Server、Lync Server 2013 のみがサーバー間認証をサポートすることに注意してください。これらのサーバーのいずれかを実行していない場合は、OAuth 認証を完全に実装することはできません。
また、サーバー間認証を使用する必要はありません。Lync Server 2013 を展開するには、サーバー間認証は必要ありません。 Lync Server 2013 が他のサーバー (Exchange 2013 など) と通信する必要がない場合、サーバー間認証は必要ありません。
ただし、Lync Server の新機能の一部 ("統合連絡先ストア" など) を使用する場合は、サーバー間認証が必要です。統合連絡先ストアでは、Lync Server 2013 の連絡先情報は、Lync Server ではなく Exchange 2013 に格納されます。これにより、ユーザーは Lync、Microsoft Outlook、または Microsoft Outlook Web Access 内から簡単にアクセスできる連絡先のセットを 1 つ持つことができます。 統合連絡先ストアでは、Exchange 2013 と情報を共有するために Lync Server 2013 が必要であるため、この機能を展開するには、サーバー間認証を使用する必要があります。 また、Exchange アーカイブを使用する場合は、サーバー間認証も必要です。この場合、インスタント メッセージング セッションのトランスクリプトは、個々のデータベース レコードとしてではなく、Exchange 2013 電子メールとして保存されます。
Microsoft 365 バージョンの Lync Server が Exchange に対応するユーザーと通信するには、Lync Server 2013 が最初に承認サーバーからセキュリティ トークンを取得する必要があります。 その後、Lync Server は、そのセキュリティ トークンを使用して、Exchange に対する自身を識別します。 Microsoft 365 バージョンの Exchange は、Lync Server 2013 と通信するために同じプロセスを実行する必要があります。
ただし、2 つの Microsoft サーバー間でオンプレミスのサーバー間認証を行う場合は、サード パーティのトークン サーバーを使用する必要はありません。 Lync Server 2013 や Exchange 2013 などのサーバー製品には、サーバー間認証をサポートする他の Microsoft サーバー (SharePoint サーバーなど) との認証に使用できるトークン サーバーが組み込まれています。 たとえば、Lync Server 2013 では、セキュリティ トークンを発行して署名するだけで、そのトークンを使用して Exchange 2013 と通信できます。 このような場合、サード パーティのトークン サーバーは必要ありません。
Lync Server 2013 のオンプレミス実装用にサーバー間認証を構成するには、次の 2 つの操作を行う必要があります。
Lync Server の組み込みトークン発行者に証明書を割り当てます。
Lync Server 2013 が通信するサーバーを "パートナー アプリケーション" として構成します。たとえば、Lync Server 2013 が Exchange 2013 と通信する必要がある場合は、パートナー アプリケーションとして Exchange を構成する必要があります。
注意
"パートナー アプリケーション" とは、サード パーティのセキュリティ トークン サーバーを経由することなく、Lync Server 2013 が直接セキュリティ トークンを交換できる任意のアプリケーションです。
OAuth は製品の中核部分なので、無効化したり削除したりすることはできません。