SharePoint Server でサーバー間認証を計画するPlan for server-to-server authentication in SharePoint Server

適用対象: yes 2013  yes 2016  yes 2019  Microsoft 365 の SharePoint なしAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint in Microsoft 365

サーバー間認証を使用すると、サーバー間認証に対応するサーバーどうしが、ユーザーに代わってリソースへのアクセスと要求を行うことができます。サーバー間認証に対応するサーバーは、Exchange Server 2016、Skype for Business Server 2015、Azure ワークフロー サービス、または Microsoft サーバー間プロトコルをサポートする他のソフトウェアを実行します。サーバー間認証を使用すると、サーバー間のリソース共有とアクセスを介して実現できる一連の新しい機能とシナリオが提供されるようになります。Server-to-server authentication enables servers that are capable of server-to-server authentication to access and request resources from one another on behalf of users. Servers that are capable of server-to-server authentication run SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service, or other software that supports the Microsoft server-to-server protocol. Server-to-server authentication enables a new set of functionality and scenarios that can be achieved through cross-server resource sharing and access.

サーバー間認証を実行できる別のサーバーから要求されたリソースを提供するために、SharePoint Server を実行するサーバーは以下を行う必要があります。To provide the requested resources from another server that can perform server-to-server authentication, the server that runs SharePoint Server must do the following:

  • 要求元のサーバーが信頼できることを確認します。要求元のサーバーを認証するには、SharePoint Server を実行するサーバーが、要求を送信するサーバーを信頼するように構成する必要があります。これは一方向の信頼関係です。Verify that the requesting server is trusted. To authenticate the requesting server, you must configure the server that runs SharePoint Server to trust the server that is sending it requests. This is a one-way trust relationship.

  • サーバーが要求している種類のアクセスが許可されることを確認します。アクセスを許可するには、要求されるリソースに対する適切な権限セットについて、SharePoint Server を実行するサーバーを構成する必要があります。Verify that the type of access that the server is requesting is authorized. To authorize the access, you must configure the server that runs SharePoint Server for the appropriate set of permissions for the requested resources.

SharePoint Server のサーバー間認証プロトコルはユーザー認証とは別であり、SharePoint ユーザーによって使用されるサインイン認証プロトコルではありません。サーバー間認証プロトコル (Open Authorization (OAuth) 2.0 プロトコルを使用) は、WS-Federation などのユーザー サインオン プロトコルのセットには追加されません。SharePoint Server には新しいユーザー認証プロトコルはありません。サーバー間認証プロトコルは、ID プロバイダーのリストには表示されません。Note that the server-to-server authentication protocol in SharePoint Server is separate from user authentication and is not used as a sign-in authentication protocol by SharePoint users. The server-to-server authentication protocol, which uses the Open Authorization (OAuth) 2.0 protocol, does not add to the set of user sign-on protocols, such as WS-Federation. There are no new user authentication protocols in SharePoint Server. The server-to-server authentication protocol does not appear in the list of identity providers.

ユーザー プロファイル アプリケーション サービスでのサーバー間認証の計画方法については、「SharePoint Server のサーバー間認証とユーザー プロファイル」を参照してください。For information about how to plan for the User Profile application service for server-to-server authentication, see Server-to-server authentication and user profiles in SharePoint Server.

概要Introduction

サーバー間認証の計画では以下のタスクを行います。Planning for server-to-server authentication consists of the following tasks:

重要

サーバー間認証エンドポイント (着信サーバー間要求用) を含む Web アプリケーション、または他のサーバーにサーバー間要求を発信する Web アプリケーションは、Secure Sockets Layer (SSL) を使用するように構成する必要があります。The web applications that include server-to-server authentication endpoints (for incoming server-to-server requests) or that make outgoing server-to-server requests to other servers must be configured to use Secure Sockets Layer (SSL).

注意

SharePoint Server を実行するサーバーでサーバー間認証を計画する必要があるのは、サーバー間認証を使用する必要がある 1 つ以上のサーバー間シナリオを構成している場合だけです。You only have to plan for server-to-server authentication on a server that runs SharePoint Server if you are configuring one or more server-to-server scenarios that require its use.

信頼関係のセットを特定するIdentify the set of trust relationships

SharePoint Server を実行するサーバーから見ると、サーバー間認証を実行できる別のサーバーとの信頼関係は以下のように構成されます。From the perspective of a server that runs SharePoint Server, a trust relationship with another server that can perform server-to-server authentication consists of the following:

  • SharePoint Server を実行するサーバーは、サーバー間認証を実行できるサーバーからの要求 (SharePoint Server を実行するサーバーへの着信) を信頼します。The server that runs SharePoint Server trusts requests from a server that can perform server-to-server authentication (incoming to the server that runs SharePoint Server).

    そのためには、要求元サーバーを信頼するように、SharePoint Server を実行するサーバーを構成する必要があります。This requires configuration on the server that runs SharePoint Server so that it trusts the requesting server.

  • サーバー間認証を実行できるサーバーは、SharePoint Server を実行するサーバーからの要求 (SharePoint Server を実行するサーバーからの発信) を信頼します。The server that can perform server-to-server authentication trusts requests from a server that runs SharePoint Server (outgoing from the server that runs SharePoint Server).

    そのためには、SharePoint Server を実行する要求元サーバーを信頼するように、サーバー間認証を実行できるサーバーを構成する必要があります。This requires configuration on the server that can perform server-to-server authentication so that it trusts the requesting server that runs SharePoint Server.

SharePoint Server を実行する各ファームで、サーバー間認証に対応しており、ファームに関連するサーバー間シナリオに基づいて着信要求を受信するサーバーのリストを作成します。以下では、サーバー間認証関係の 2 つのケースについて説明します。For each farm that runs SharePoint Server, make a list of servers that are capable server-to-server authentication and that will be receiving incoming requests based on the server-to-server scenarios that involve the farm. There are two cases of server-to-server authentication relationships to examine.

ケース 1: オンプレミスのファームCase 1: Farms are on-premises

サーバー間認証を実行できるファームがオンプレミスの場合、SharePoint Server を実行するファームを構成する必要があります。New-SPTrustedSecurityTokenIssuer PowerShell コマンドレットを使用して、サーバー間認証を実行できるサーバーの JavaScript Object Notation (JSON) メタデータ エンドポイントを SharePoint Server を実行するサーバーに追加します。サーバー間認証を実行できるサーバーが SharePoint Server を実行するもう 1 つのサーバーの場合、JSON メタデータ エンドポイントの形式は https:///_layouts/15/metadata/json/1 になります。If the farm that can perform server-to-server authentication is on-premises, you must configure the farm that runs SharePoint Server. Use the New-SPTrustedSecurityTokenIssuer PowerShell cmdlet to add a JavaScript Object Notation (JSON) metadata endpoint of the server that can perform server-to-server authentication to the server that runs SharePoint Server. If the server that can perform server-to-server authentication is another server that runs SharePoint Server, the JSON metadata endpoint is in the format: https:///_layouts/15/metadata/json/1.

ケース 2: Microsoft 365 テナント機能に含まれるファームCase 2: Farms are part of a Microsoft 365 tenancy

SharePoint Server を実行するファームと、サーバー間認証を実行できるもう一方のサーバーの両方が Microsoft 365 組織の一部である場合、サーバー間認証のための追加の構成は必要ありません。If the farm that runs SharePoint Server and the other server that can perform server-to-server authentication are both part of a Microsoft 365 organization, no additional configuration for server-to-server authentication is needed.

サーバー間認証を必要とするサーバーのセットを特定したら、「Configure server-to-server authentication in SharePoint Server」を参照して、サーバー間の信頼関係を構成してください。After you determine the set of servers that require server-to-server authentication, see Configure server-to-server authentication in SharePoint Server to configure the server-to-server trust relationships.

関連項目See also

概念Concepts

SharePoint Server の認証の概要Authentication overview for SharePoint Server

SharePoint Server のサーバー間認証とユーザー プロファイルServer-to-server authentication and user profiles in SharePoint Server