SharePoint Server でサーバー間認証を計画する
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
サーバー間認証を使用すると、サーバー間認証に対応するサーバーどうしが、ユーザーに代わってリソースへのアクセスと要求を行うことができます。 サーバー間認証に対応するサーバーは、Exchange Server 2016、Skype for Business Server 2015、Azure ワークフロー サービス、または Microsoft サーバー間プロトコルをサポートする他のソフトウェアを実行します。 サーバー間認証を使用すると、サーバー間のリソース共有とアクセスを介して実現できる一連の新しい機能とシナリオが提供されるようになります。
サーバー間認証を実行できる別のサーバーから要求されたリソースを提供するために、SharePoint Server を実行するサーバーは以下を行う必要があります。
要求元のサーバーが信頼できることを確認します。 要求元のサーバーを認証するには、SharePoint Server を実行するサーバーが、要求を送信するサーバーを信頼するように構成する必要があります。 これは一方向の信頼関係です。
サーバーが要求している種類のアクセスが許可されることを確認します。 アクセスを許可するには、要求されるリソースに対する適切な権限セットについて、SharePoint Server を実行するサーバーを構成する必要があります。
SharePoint Server のサーバー間認証プロトコルはユーザー認証とは別であり、SharePoint ユーザーによって使用されるサインイン認証プロトコルではありません。 サーバー間認証プロトコル (Open Authorization (OAuth) 2.0 プロトコルを使用) は、WS-Federation などのユーザー サインオン プロトコルのセットには追加されません。 SharePoint Server には新しいユーザー認証プロトコルはありません。 サーバー間認証プロトコルは、ID プロバイダーのリストには表示されません。
ユーザー プロファイル アプリケーション サービスでのサーバー間認証の計画方法については、「SharePoint Server のサーバー間認証とユーザー プロファイル」を参照してください。
概要
サーバー間認証の計画では以下のタスクを行います。
SharePoint Server を実行するサーバー上で構成する必要がある信頼関係のセットを特定します。
ユーザー プロファイル アプリケーション サービスの考慮事項に対処します。 詳細については、「SharePoint Server のサーバー間認証とユーザー プロファイル」を参照してください。
重要
サーバー間認証エンドポイント (着信サーバー間要求用) を含む Web アプリケーション、または他のサーバーにサーバー間要求を発信する Web アプリケーションは、Secure Sockets Layer (SSL) を使用するように構成する必要があります。
注:
SharePoint Server を実行するサーバーでサーバー間認証を計画する必要があるのは、サーバー間認証を使用する必要がある 1 つ以上のサーバー間シナリオを構成している場合だけです。
信頼関係のセットを特定する
SharePoint Server を実行するサーバーから見ると、サーバー間認証を実行できる別のサーバーとの信頼関係は以下のように構成されます。
SharePoint Server を実行するサーバーは、サーバー間認証を実行できるサーバーからの要求 (SharePoint Server を実行するサーバーへの着信) を信頼します。
そのためには、要求元サーバーを信頼するように、SharePoint Server を実行するサーバーを構成する必要があります。
サーバー間認証を実行できるサーバーは、SharePoint Server を実行するサーバーからの要求 (SharePoint Server を実行するサーバーからの発信) を信頼します。
そのためには、SharePoint Server を実行する要求元サーバーを信頼するように、サーバー間認証を実行できるサーバーを構成する必要があります。
SharePoint Server を実行する各ファームで、サーバー間認証に対応しており、ファームに関連するサーバー間シナリオに基づいて着信要求を受信するサーバーのリストを作成します。 以下では、サーバー間認証関係の 2 つのケースについて説明します。
ケース 1: オンプレミスのファーム
If the farm that can perform server-to-server authentication is on-premises, you must configure the farm that runs SharePoint Server. Use the New-SPTrustedSecurityTokenIssuer PowerShell cmdlet to add a JavaScript Object Notation (JSON) metadata endpoint of the server that can perform server-to-server authentication to the server that runs SharePoint Server. サーバー間認証を実行できるサーバーが SharePoint Server を実行する別のサーバーである場合、JSON メタデータ エンドポイントの形式は https://< HostName>/_layouts/15/metadata/json/1 です。
ケース 2: Microsoft 365 テナント機能に含まれるファーム
SharePoint Server を実行するファームと、サーバー間認証を実行できるもう一方のサーバーの両方が Microsoft 365 組織の一部である場合、サーバー間認証のための追加の構成は必要ありません。
サーバー間認証を必要とするサーバーのセットを特定したら、「Configure server-to-server authentication in SharePoint Server」を参照して、サーバー間の信頼関係を構成してください。