Skype for Business Serverでサーバー間認証 (OAuth) とパートナー アプリケーションを管理する
概要:Skype for Business Serverで OAuth アプリケーションとパートナー アプリケーションを管理します。
Skype for Business Serverは、他のアプリケーションやサーバー製品と安全かつシームレスに通信できる必要があります。 たとえば、連絡先データやアーカイブ データが 2013 年Microsoft Exchange Serverに格納されるようにSkype for Business Serverを構成できます。ただし、これは、Skype for Business Serverと Exchange が互いに安全に通信できる場合にのみ実行できます。 同様に、Office Web Apps Server 内からSkype for Business Server会議をスケジュールできます。この操作は、2 つのサーバー (SharePoint とSkype for Business Server) が互いに信頼している場合にのみ実行できます。 Skype for Business Serverと Exchange の間の通信には 1 つの認証メカニズムを使用できますが、Skype for Business Serverと SharePoint 通信には別のメカニズムを使用できますが、より適切で効率的な方法は、すべてのサーバー間の認証と承認に標準化された方法を使用することです。
サーバー間認証に標準化された 1 つの方法を使用することは、Skype for Business Serverが取るアプローチです。 Office Server 2013 リリース以降、Skype for Business Server (Exchange Serverや SharePoint Server を含む他の Microsoft Server 製品) では、サーバー間の認証と承認のための OAuth (Open Authorization) プロトコルがサポートされました。 多数の主要な Web サイトで使用される標準承認プロトコルである OAuth では、ユーザーの資格情報とパスワードは、あるコンピューターから別のコンピューターに渡されません。 代わりに、認証と承認はセキュリティ トークンの交換に基づいています。これらのトークンは、特定の時間の特定のリソース セットへのアクセスを許可します。
OAuth 認証には、通常、1 つの承認サーバーと、相互に通信する必要がある 2 つの領域の 3 つのパーティが含まれます。 (承認サーバーを使用せずにサーバー間認証を行うこともできます。これは、このドキュメントの後半で説明するプロセスです)。セキュリティ トークンは、通信する必要がある 2 つの領域に対して承認サーバー (セキュリティ トークン サーバーとも呼ばれます) によって発行されます。これらのトークンは、ある領域から発信される通信が他の領域から信頼される必要があることを確認します。 たとえば、承認サーバーは、特定のSkype for Business Server領域のユーザーが指定された Exchange 領域にアクセスできることを確認するトークンを発行する場合があります。その逆も同様です。
注意
領域とは、セキュリティ コンテナーのことです。 既定では、Skype for Business Serverは既定の SIP ドメインを OAuth 領域として使用します。 追加の SIP 名前空間が OAuth 証明書のサブジェクト代替名に追加されます。
Skype for Business Serverでは、3 つのサーバー間認証シナリオがサポートされています。 Skype for Business Serverを使用すると、次のことができます。
Skype for Business Serverのオンプレミス インストールと Exchange または SharePoint Server のオンプレミス インストールの間で、サーバー間認証を構成します。
Microsoft 365 または Office 365 コンポーネントのペア (たとえば、Microsoft Exchange ServerとSkype for Business Server間、Skype for Business Serverと SharePoint の間など) の間でサーバー間認証を構成します。
クロスプレミス環境でサーバー間認証を構成します (つまり、オンプレミス サーバーと Microsoft 365 または Office 365 コンポーネント間のサーバー間認証)。
現時点では、Exchange 2013、SharePoint Server、Lync Server 2013、Skype for Business Server 2015、Skype for Business 2019 のみがサーバー間認証をサポートします。これらのサーバーのいずれかを実行していない場合、OAuth 認証を完全に実装することはできません。
また、サーバー間認証は省略可能であることを指摘する必要があります。Skype for Business Serverが他のサーバー (Exchange など) と通信する必要がない場合は、サーバー間認証を完全にスキップできます。 サーバー間認証が Lync Server 2013 やその他のアプリケーション用に既に構成されている場合は、Skype for Business Serverのためにやり直す必要はありません。
ただし、"統合連絡先ストア" など、Skype for Business Serverの機能の一部を使用する場合は、サーバー間認証が必要です。統合連絡先ストアでは、Skype for Business Server連絡先情報はSkype for Business Serverではなく Exchange に保存されます。これにより、ユーザーは、Skype for Business、Outlook、または Outlook Web Access 内から簡単にアクセスできる 1 つの連絡先セットを使用できます。 統合連絡先ストアでは Exchange と情報を共有するためにSkype for Business Serverが必要であるため、機能を展開するにはサーバー間認証を使用する必要があります。 また、インスタント メッセージング セッションのトランスクリプトが個々のデータベース レコードとしてではなく Exchange メールとして保存される Exchange アーカイブを使用する場合は、サーバー間認証も必要です。
Microsoft 365 または Office 365 バージョンのSkype for Business Serverが Exchange に対応するバージョンと通信するには、Skype for Business Server最初に承認サーバーからセキュリティ トークンを取得する必要があります。 Skype for Business Serverそのセキュリティ トークンを使用して、Exchange に対して自身を識別します。 Microsoft 365 または Office 365 バージョンの Exchange は、Skype for Business Serverと通信するために同じプロセスを実行する必要があります。
ただし、2 つの Microsoft サーバー間のオンプレミスのサーバー間認証では、サード パーティのトークン サーバーを使用する必要はありません。 Skype for Business Serverや Exchange などのサーバー製品には、サーバー間認証をサポートする他の Microsoft サーバー (SharePoint Server など) との認証目的で使用できる組み込みのトークン サーバーがあります。 たとえば、Skype for Business Serverは、セキュリティ トークンを発行して単独で署名してから、そのトークンを使用して Exchange と通信できます。 このような場合、サードパーティのトークン サーバーは必要ありません。
Skype for Business Serverのオンプレミス実装用にサーバー間認証を構成するには、次の 2 つの操作を行う必要があります。
組み込みのSkype for Business Server トークン発行者に証明書を割り当てます。
Skype for Business Server通信するサーバーを "パートナー アプリケーション" に構成します。たとえば、Skype for Business Server Exchange と通信する必要がある場合は、Exchange をパートナー アプリケーションとして構成する必要があります。
注意
"パートナー アプリケーション" とは、サードパーティのセキュリティ トークン サーバーを経由することなく、セキュリティ トークンを直接交換できるアプリケーションSkype for Business Serverです。
OAuth は製品の中核部分なので、無効化したり削除したりすることはできません。