Office Online Server と SharePoint Server 2016 の間のサーバー間認証を構成する

  • [アーティクル]

概要: Office Online Server と SharePoint 2016 の間のサーバー間認証を構成します。

Office Online Server と SharePoint Server 2016 の間のサーバー間認証は 2 つのサーバー間に信頼関係を確立します。 この信頼は、Office データ接続 (ODC) ファイルのサポートや SQL Server Power Pivot for SharePoint の一部である IT 管理ダッシュボードなど、いくつかの Excel Online において前提条件になっています。 この記事では、この信頼を設定する手順について説明します。

サーバー間認証を構成するためには、Office Online Server ファームと SharePoint Server ファームは、同じ Active Directory フォレスト内にある必要があります。 SharePoint Server ファーム上でも User Profile service アプリケーションを設定する必要があります。

サーバー間認証を構成するために必要な基本的な操作は次のとおりです。

  1. Office Online Server に証明書をインポートします。
  2. SharePoint サーバー上で使用する証明書をエクスポートします。
  3. Office Online Server を構成してサーバー間認に証明書を使用します。
  4. SharePoint Server を構成してサーバー間認に証明書を使用します。

最初に Office Online Server に証明書をインポートします。

Office Online Server に証明書をインポートします。

最初の手順として、Office Online Server で使用する証明書をインポートします。 [証明書のインポート] と [ネットワーク サービスのアクセス許可の付与] に従って、Office Online Server ファーム内の各サーバーのキー手順を使用します。

証明書のインポート

秘密キー SSL 証明書または自己署名証明書のいずれかが使用できます。 秘密キー SSL 証明書の使用を強くお勧めします。 以下のセクションでは、両方の手順について説明します。 使用中のものを選びます。

秘密キーの SSL 証明書を使用する場合

Office Online Server を実行中の各サーバーに証明書をインストールします。

Office Online サーバー上に証明書をインストールするには

  1. Office Online Server を実行しているサーバー上で、IIS マネージャー を開きます。
  2. 左側のペインで、サーバー名をクリックします。
  3. [ サーバー証明書] をダブルクリックします。
  4. [アクション] ペインで、[インポート] をクリックします。
  5. 表示する SSL 証明書のパスおよびファイル名を入力します。
  6. [パスワード] ボックスに、証明書のパスワードを入力します。
  7. [証明書ストアの選択] ドロップ ダウン リストで、[個人] が選択されていることを確認します。
  8. [OK] をクリックします。

この手順を、Office Online を実行している各サーバーで繰り返します。

自己署名証明書を使用する場合

自己署名証明書を使用する場合は、信頼されたルート証明機関に証明書を追加する必要があります。

信頼されたルート証明機関に証明書をインポートするには

  1. Microsoft 管理コンソールを開きます。
  2. [ファイル] メニューの [スナップインの追加と削除] を選びます。
  3. [証明書] を選択し、 [追加] をクリックします。
  4. [コンピューター アカウント] オプションを選択して、 [次へ][完了] の順にクリックします。
  5. [OK] をクリックします。
  6. [証明書 (ローカル コンピューター)] を展開し、 [信頼されたルート証明機関] を右クリックし、 [すべてのタスク] をクリックして、 [インポート] をクリックします。
  7. [ 次へ] をクリックします。
  8. 証明書の場所を参照および選択し、 [次へ] をクリックします。
  9. 証明書のパスワードを入力して [次へ] をクリックし、 [完了] をクリックします。

Microsoft 管理コンソールは、次の手順で開いたままにしておきます。

ネットワーク サービスにキーの使用を許可

次に、Microsoft 管理コンソール (MMC) を使用して、ネットワーク サービスに秘密キーの使用を許可します。

ネットワーク サービスに秘密キーの使用を許可するには

  1. Microsoft 管理コンソールを開きます。
  2. [ファイル] メニューの [スナップインの追加と削除] を選びます。
  3. [証明書] を選択し、 [追加] をクリックします。
  4. [コンピューター アカウント] オプションを選択して、 [次へ][完了] の順にクリックします。
  5. [OK] をクリックします。
  6. [証明書 - ローカル ユーザー] を展開し、 [個人] を展開します。次に、 [証明書] をクリックします。
  7. インポートした証明書を右クリックして、 [すべてのタスク] をクリックし、 [秘密キーの管理] をクリックします。
  8. [アクセス許可] のダイアログ ボックスで、 [追加] をクリックします。
  9. ネットワークサービス を入力し、次に [OK] をクリックします。
  10. [OK] をクリックします。

[証明書のインポート] と [ネットワーク サービスのアクセス許可の付与] に従って、Office Online Server ファーム内の各サーバーのキープロシージャを使用してください。

Microsoft 管理コンソールは、次の手順で開いたままにしておきます。

SharePoint サーバー上で使用する証明書をエクスポートします。

次の手順で、Office Online Server を信頼できるトークン発行元として登録できるように証明書をエクスポートします。

SharePoint Server 2016 で使用する証明書をエクスポートするには

  1. インポートした証明書を右クリックし、 [すべてのタスク] を選択してから、 [エクスポート] をクリックします。
  2. [ようこそ] ページで [ 次へ] をクリックします。
  3. [いいえ、秘密キーをエクスポートしません] オプションを選択し、 [次へ] をクリックします。
  4. [DER encoded binary X.509 (.CER)] を選択し、[次へ] をクリックします。
  5. パス およびエクスポートする ファイル名 を入力し、[次へ] をクリックします。
  6. [ 完了]、[ OK] の順にクリックします。

作成した証明書ファイルを SharePoint Server からアクセスできる場所コピーします。

次に、この証明書を Office Online Server 用の S2S の証明書として指定する必要があります。

Office Online Server を構成してサーバー間認に証明書を使用します。

Office Online Server 用の S2S の証明書として指定するには

  1. Microsoft PowerShell ウィンドウを管理者として開きます。
  2. 次のように入力します。 <friendlyName> は、使用している証明書のフレンドリ名です。
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Office Online Server で HTTP を使用

Office Online Server ファームに HTTPS ではなく HTTP を使用している場合は、Office Online Serverからの送信 HTTP 接続を許可する必要があります。 (SSL を使用している場合は、この手順をスキップできます)。

Office Online Server からアウト バウンド HTTP 接続を有効にするには、次の PowerShell コマンドを実行します。

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

重要

Office Online Serverは OAuth トークンを使用して SharePoint やExchange Serverなどの外部サービスと通信するため、環境に関係なく HTTPS (TLS) を使用することを強くお勧めします。 OAuth トークンには、攻撃者によって傍受および再生される可能性がある情報が含まれており、攻撃者は、Office Online Server要求を行うユーザーと同じ権限を攻撃者に付与します。

ODC ファイルで HTTP パスを使用

HTTP パスに ODC ファイルを保存する場合は、HTTP 経由の Secure Store 接続が許可されるように Office Online Server を構成します。

重要

HTTP 経由で Secure Store 接続を使用する場合、ODC ファイルの内容がクリア テキストで送信されます。 ODC ファイルには、データベース接続情報やパスワードが含まれる場合があります。 HTTPS を使用した Microsoft の再コメント。

Office Online Server の Secure Store での HTTP パス使用を有効にするには、次の PowerShell コマンドを実行します。

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

SharePoint Server を構成してサーバー間認に証明書を使用します。

SharePoint Server および SQL Server を信頼できるトークン発行元として登録する必要があります。 これは、PowerShell から登録できます。 使用するパラメーターを以下に示します。

  • <SPSiteURL> - 最上位のサイト コレクションの URL。
  • <CertificateIssuer> - 証明書発行者の名前。 IIS マネージャーで証明書の [詳細] タブを表示することで検索できます。
  • <X509Certificate> - エクスポートした証明書ファイルのパスとファイル名。
  • <RegisteredIssuer> - 信頼されたトークン発行者の GUID。 SharePoint Server is 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 and SQL Server is 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a

RegisteredIssuer> GUID ごとに <2 回 ( 1 回) 次の手順を実行します。

信頼できるトークン発行元を登録するには

  1. 管理者として SharePoint 2016 管理シェルを開きます。
  2. 上記のパラメーターを使用して次のスクリプトを実行します。
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. 自己署名証明書を使用している場合は、次のコマンドを実行します。
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

関連項目

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission