こんばんは、Lync サポートのワトソンです。

今日は簡単に Lync Online の TLS-DSK 認証についてのお話しです。

Lync Sever 2010 から存在する証明書認証方式を利用してサインインが行われます。

大まかには以下 Online 上のサービスが認証フローに関わります

A. Lync Online 上の サーバー

B. ウエブチケットサービスのサーバー (Lync Online 上のフロントエンドで起動)

C. 証明書を発行し、ユーザーに割り当てるプロビジョニングサービス (Lync Online 上のフロントエンドサーバーで起動)

上記の各サービスの FQDN の検知方法にかんしては、以下のいずれかの方法になります。

A. https://lyncdiscover.contoso.com/?sipuri=user@contoso.com に Autodiscover を

行い接続点を検知

▼ 自動構成の場合はこの接続方法が優先されます。

B. sip.contoso.com を解決した結果 sipdir.online.lync.com に接続し検知。.

各サービスと Lync クライアントの認証の流れは以下のようになります。

各サービスにアクセスを行うにあたり利用される FQDN は以下のフォーマットの URL になります。

■ ウエブチケットサービス URL

https://webdir0f.online.lync.com/WebTicket/WebTicketService.svc

■ 証明書プロビジョニングサービス

https://webpoolxxx.infra.lync.com:443/CertProv/CertProvisioningService.svc

 

認証トークンの取得には手動で入力したユーザー名または、AD FS サーバーをご利用の場合

は AD FS サーバーの STS の URL より SAML トークンを取得し、認証基盤で認証トークンに

変更されその後実際の Lync Online での認証に利用されます。

 サインインが成立した後、同じトークンを利用し、証明書プロビジョニングサービス

より証明書を取得します。

 

その後の認証に関してはトークンの発行は行わず、証明書で認証を行います。

Lync On-premise ではデフォルトで 180 日の証明書が利用されますが、

Lync Online の場合は 8 時間の有効期限をもつ証明書が配布されます。