Verwalten von Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in Skype for Business Server

Zusammenfassung: Verwalten von OAuth- und Partneranwendungen in Skype for Business Server.

Skype for Business Server müssen sicher und nahtlos mit anderen Anwendungen und Serverprodukten kommunizieren können. Sie können beispielsweise Skype for Business Server so konfigurieren, dass Kontaktdaten und/oder Archivierungsdaten in Microsoft Exchange Server 2013 gespeichert werden. Dies ist jedoch nur möglich, wenn Skype for Business Server und Exchange sicher miteinander kommunizieren können. Ebenso können Sie eine Skype for Business Server Konferenz in Office Web-Apps Server planen. Dies ist auch nur möglich, wenn die beiden Server (SharePoint und Skype for Business Server) einander vertrauen. Obwohl es möglich ist, einen Authentifizierungsmechanismus für die Kommunikation zwischen Skype for Business Server und Exchange zu verwenden, aber einen separaten Mechanismus für die Skype for Business Server- und SharePoint-Kommunikation, besteht ein besserer und effizienterer Ansatz darin, eine standardisierte Methode für die gesamte Server-zu-Server-Authentifizierung und -Autorisierung zu verwenden.

Die Verwendung einer einzelnen, standardisierten Methode für die Server-zu-Server-Authentifizierung ist der Ansatz von Skype for Business Server. Angefangen mit Office Server 2013, unterstützt Skype for Business Server (sowie andere Microsoft Server-Produkte, einschließlich Exchange Server und SharePoint Server) das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Bei OAuth, einem Standardautorisierungsprotokoll, das von einer Reihe von wichtigen Websites verwendet wird, werden Benutzeranmeldeinformationen und Kennwörter nicht von einem Computer an einen anderen übergeben. Stattdessen basiert die Authentifizierung und Autorisierung auf dem Austausch von Sicherheitstoken. Diese Token gewähren für einen bestimmten Zeitraum Zugriff auf eine bestimmte Gruppe von Ressourcen.

Die OAuth-Authentifizierung umfasst in der Regel drei Parteien: einen einzelnen Autorisierungsserver und die beiden Bereiche, die miteinander kommunizieren müssen. (Sie können auch die Server-zu-Server-Authentifizierung durchführen, ohne einen Autorisierungsserver zu verwenden. Dies wird später in diesem Dokument erläutert.) Sicherheitstoken werden vom Autorisierungsserver (auch als Sicherheitstokenserver bezeichnet) für die beiden Bereiche ausgestellt, die kommunizieren müssen. Diese Token stellen sicher, dass kommunikationen, die aus einem Bereich stammen, vom anderen Bereich als vertrauenswürdig eingestuft werden sollten. Beispielsweise kann der Autorisierungsserver Token ausgeben, die überprüfen, ob Benutzer aus einem bestimmten Skype for Business Server Bereich auf einen angegebenen Exchange-Bereich zugreifen können und umgekehrt.

Hinweis

Ein Bereich ist einfach ein Sicherheitscontainer. Standardmäßig verwendet Skype for Business Server Ihre STANDARD-SIP-Domäne als OAuth-Bereich. Weitere SIP-Namespaces werden der Liste mit alternativen Antragstellernamen im OAuth-Zertifikat hinzugefügt.

Skype for Business Server unterstützt drei Server-zu-Server-Authentifizierungsszenarien. Mit Skype for Business Server haben Sie folgende Möglichkeiten:

  • Konfigurieren Sie die Server-zu-Server-Authentifizierung zwischen einer lokalen Installation von Skype for Business Server und einer lokalen Installation von Exchange und/oder SharePoint Server.

  • Konfigurieren Sie die Server-zu-Server-Authentifizierung zwischen einem Paar von Microsoft 365- oder Office 365-Komponenten (z. B. zwischen Microsoft Exchange Server und Skype for Business Server oder zwischen Skype for Business Server und SharePoint).

  • Konfigurieren Sie die Server-zu-Server-Authentifizierung in einer standortübergreifenden Umgebung (d. b. die Server-zu-Server-Authentifizierung zwischen einem lokalen Server und einer Microsoft 365- oder Office 365-Komponente).

Beachten Sie, dass derzeit nur Exchange 2013, SharePoint Server, Lync Server 2013, Skype for Business Server 2015 und Skype for Business 2019 die Server-zu-Server-Authentifizierung unterstützen. Wenn Sie keinen dieser Server ausführen, können Sie die OAuth-Authentifizierung nicht vollständig implementieren.

Es sollte auch darauf hingewiesen werden, dass die Server-zu-Server-Authentifizierung optional ist: Wenn Skype for Business Server nicht mit anderen Servern (z. B. Exchange) kommunizieren muss, kann die Server-zu-Server-Authentifizierung vollständig übersprungen werden. Wenn die Server-zu-Server-Authentifizierung bereits für Lync Server 2013 und andere Anwendungen konfiguriert ist, ist es nicht erforderlich, sie für Skype for Business Server erneut durchzuführen.

Die Server-zu-Server-Authentifizierung ist jedoch erforderlich, wenn Sie einige der Features in Skype for Business Server verwenden möchten, z. B. den "einheitlichen Kontaktspeicher". Mit dem einheitlichen Kontaktspeicher werden Skype for Business Server Kontaktinformationen in Exchange und nicht in Skype for Business Server gespeichert. Dadurch können Benutzer über eine einzelne Gruppe von Kontakten verfügen, auf die innerhalb von Skype for Business, Outlook oder Outlook Web Access leicht zugegriffen werden kann. Da der einheitliche Kontaktspeicher Skype for Business Server erfordert, um Informationen für Exchange freizugeben, müssen Sie die Server-zu-Server-Authentifizierung verwenden, um das Feature bereitzustellen. Die Server-zu-Server-Authentifizierung ist auch erforderlich, wenn Sie sich für die Exchange-Archivierung entscheiden, bei der die Transkripte von Chatsitzungen als Exchange-E-Mails und nicht als einzelne Datenbankdatensätze gespeichert werden.

Damit die Microsoft 365- oder Office 365 Version von Skype for Business Server mit ihrem Exchange-Gegenstück kommunizieren kann, müssen Skype for Business Server zuerst ein Sicherheitstoken vom Autorisierungsserver abrufen. Skype for Business Server verwendet dann dieses Sicherheitstoken, um sich bei Exchange zu identifizieren. Die Microsoft 365- oder Office 365-Versionen von Exchange müssen denselben Prozess durchlaufen, um mit Skype for Business Server kommunizieren zu können.

Für eine lokale Server-zu-Server-Authentifizierung zwischen zwei Microsoft-Servern muss kein Drittanbieter-Tokenserver verwendet werden. Serverprodukte wie Skype for Business Server und Exchange verfügen über einen integrierten Tokenserver, der für Authentifizierungszwecke mit anderen Microsoft-Servern (z. B. SharePoint Server) verwendet werden kann, die die Server-zu-Server-Authentifizierung unterstützen. Beispielsweise können Skype for Business Server selbst ein Sicherheitstoken ausstellen und signieren und dann dieses Token für die Kommunikation mit Exchange verwenden. In einem solchen Fall ist kein Drittanbieter-Tokenserver erforderlich.

Um die Server-zu-Server-Authentifizierung für eine lokale Implementierung von Skype for Business Server zu konfigurieren, müssen Sie zwei Schritte ausführen:

  • Weisen Sie dem integrierten Skype for Business Server Tokenaussteller ein Zertifikat zu.

  • Konfigurieren Sie den Server, mit dem Skype for Business Server kommunizieren, als "Partneranwendung". Wenn Skype for Business Server beispielsweise mit Exchange kommunizieren muss, müssen Sie Exchange als Partneranwendung konfigurieren.

Hinweis

Eine "Partneranwendung" ist jede Anwendung, mit der Skype for Business Server Sicherheitstoken direkt austauschen können, ohne einen Sicherheitstokenserver eines Drittanbieters durchlaufen zu müssen.

Beachten Sie, dass OAuth eine Kernkomponente des Produkts ist und weder deaktiviert noch entfernt werden kann.

Siehe auch

Zuweisen eines Server-zu-Server-Authentifizierungszertifikats zu Skype for Business Server

Konfigurieren einer Hybridumgebung in Skype for Business Server