OnTimeではパブリックな機関の発行したTLS証明書を利用してください
OnTimeで利用する証明書はMicrosoftクラウド側がサーバーの存在を確認するために利用するために、パブリックな機関の発行したTLS証明書を利用してください。
Microsoftクラウドと接続予定のないオンプレExchangeとADだけに接続する場合は、クライアント経路の暗号化のためにプライベート証明機関による証明書を利用することも可能です。
OnTimeがMicrosoftクラウドと接続する機能について
OnTimeがMicrosoftクラウドと接続する際の機能を大きく整理しますと以下の表になります。
| 対象 | 機能 | 方式 | 機能説明 | TLS証明書について | 機能を利用しない場合の対処 |
|---|---|---|---|---|---|
| サーバー | ディレクトリ同期 | Entraからメールボックス同期対象アカウントの情報を取得 | 証明書の必要なし サーバーがMicrsoft Graph側の認証を取得して動作 | —- | |
| アクセス権同期 | メールボックスの予定表フォルダのアクセス権を取得 | 証明書の必要なし サーバーがMicrsoft Graph側の認証を取得して動作 | —- | ||
| イベント同期 | EWS | 各メールボックスのイベントの更新をリアルタイムで取得 | 証明書の必要なし サーバーがMicrsoft Graph側の認証を取得して動作 | —- | |
| Graph | 各メールボックスのイベントの更新をリアルタイムで取得 | Webhook先のサーバーとして設定時にTLS証明書で証明する必要あり | 2026年秋まではEWS方式を利用 | ||
| ユーザー | イベントへの各種操作 | ユーザーがイベントに対して行う操作をOnTimeサーバーが内部的に実行 (Teams会議作成機能を含む) | 証明書の必要なし サーバーがMicrsoft Graph側の認証を取得して動作 | —- | |
| SAML認証によるSSO | Entraの認証機能へリダイレクトして認可情報を取得 | 認証先アプリのサーバーとして設定時にTLS証明書で証明する必要あり | メールによるマジックリンク認証を利用 | ||
| Teams/Outlookの統合アプリ | OnTimeをTeams/Outlookの統合アプリやタブアプリとして利用 | 埋め込みアプリのサーバーとして設定時にTLS証明書で証明する必要あり | 代替方式はありません | ||
TLS証明書を必要とする各機能の詳細と代替方法について
イベント同期(Graph方式)
イベント同期はユーザーがメールボックスに実施した各イベントへの操作を常にモニターし、OnTime側にリアルタイム同期を実施する機能です。
Microsoftは2025年時点で2026年秋からEWS方式による通知機能について停止するとアナウンスしています。
もちろんそれまではEWS方式を利用できます。
Graph方式を利用した「OnTime同期ハブ」はいわゆるWebhook通信でMicrosoftからhttps通信を指定したホストに同期ユーザーのイベント情報の変更通知を提供し続けます。そのため、MicrosoftクラウドからパブリックなDNSで解決できる場所に自組織の保有を証明できるTLS証明書で暗号化通信を行います。
2026年秋までにGraph方式による「OnTime同期ハブ」を利用したイベント同期機能に切り換えてください。
OnTimeサーバーにTLS証明書を準備出来ない場合の代替
前述のように2026年秋まではEWS方式をご利用いただけます。
それ以降もOnTimeサーバーにTLS証明書を準備出来ない場合は、OnTime同期ハブをTLS証明書を準備出来る場所とサーバーに構築してください。OnTime同期ハブはNode.jsだけで動作します。OnTime同期ハブはOnTimeサーバーとMicrosoftクラウドからの接続だけを許可するように構築することでセキュリティを高めていただけます。
どうしても自組織でOnTime同期ハブが動作するサーバーを構築できない場合は、OnTime Shopにて構築しているAzureテナントにてAzure VMの構築もご相談ください。
SAML認証によるSSO
Microsoft Entraで既に認証が済んでいる場合は認可を、済んでいない場合はEntraの認証画面にリダイレクトする機能です。
Microsoft EntraとSAMLによるSSOを実現するためにはMicrosoft Entraが認可を与えるOnTimeサーバーが自組織保有であることをMicrosoftクラウドに証明する必要があります。その際のリダイレクト先はMicrosoftクラウドからパブリックなDNSで解決できる場所に自組織の保有を証明できるパブリックなTLS証明書しか受け付けません。
SSOの設定時にパブリック機関によるTLS証明書で無い場合は設定を保存できません。
OnTimeが同期するテナントが複数の場合はSAMLによるSSOはご利用いただけません。
OnTimeサーバーにTLS証明書を準備出来ない場合の代替
認証方式として「“HTTP Mail Auth” “HTTPS Mail Auth” のマジックリンク認証方法(メールによるワンタイム認証Token発行)」を利用できます。
この方式は銀行やクレジットカード会社がユーザー登録時や決済時にも利用するご利用のメールアドレスに認証用リンクを送信する方式です。
メールボックスで受信するメールは強固なセキュリティに守られています。もしこのリンクを盗聴されている可能性がある場合はOutlookのメール全てが盗聴されている可能性を疑ってください。
Teams/Outlookの統合アプリ
OnTimeをTeamsやOutlookでタブアプリやアプリバーの統合アプリとして利用する機能です。
TeamsやOutlookに埋め込まれた状態で利用できます。
特にTeamsのタブアプリでの利用の場合はチャネル利用のユーザーを一覧としたメインビューを初期画面に表示できます。
これらの機能はMicrosoftのTeamsやOutlook内で表示するため、Microsoftクラウド側もとても厳密に管理を行っています。そのため登録用ファイルのOnTimeサーバーが自組織保有であることをMicrosoftクラウドに証明する必要があります。Microsoftはパブリックな機関が証明するTLS証明書しか受け付けません。
登録用ファイルのサーバーリンクがパブリック機関によるTLS証明書で無い場合は機能しません。
イベント作成時にTeams会議を設定する機能はOnTimeの基本機能で実装されています。ここで言う統合アプリの登録に関係なく常にご利用いただけます。
OnTimeサーバーにTLS証明書を準備出来ない場合の代替
残念ながら代替はございません。OnTimeサーバーにパブリックなTLS証明書をご準備ください。
(参考)OnTimeがMicrosoftクラウドと接続する機能のMicrosoft側の設定箇所
各接続においてMicrosoft側の設定場所を一覧にしました。
| 機能 | 機能説明 | TLS証明書 | Microsoft設定場所 | 説明ページ |
|---|---|---|---|---|
| OnTime基本機能 ディレクトリ同期 アクセス権同期 イベント同期(EWS) イベント各種操作 | OnTimeが動作するための基本的な接続全般 Graph APIのエンドポイントに接続し、リクエストすることでレスポンスを受け取る | 必要としません | Entraの「アプリの登録」 | 説明ページ |
| イベント同期(Graph方式) | Graph APIによるストーリミング通知の購読をWebhook通信でポストを受け取る | パブリックなTLS証明書が必要 | Entraの「アプリの登録」 | 説明ページ |
| SAML認証(SSO) | OnTimeがユーザーにTokenを発行する際に認証処理にMicrosoft Entraの認証サーバーを使う場合に必要 (認証をSAML以外にする場合は必要なし) | パブリックなTLS証明書が必要 | Entraの「エンタープライズアプリケーション」 | 説明ページ |
| Teams/Outlookの統合アプリ | OnTimeをTeamsやOutlookの統合アプリとしても利用する場合に必要 (統合アプリとして利用しない場合は必要なし) | パブリックなTLS証明書が必要 | Microsoft365の「統合アプリ」 | 説明ページ |
