Gérer l’authentification de serveur à serveur (OAuth) et les applications partenaires dans Skype Entreprise Server
Résumé: Gérer les applications OAuth et partenaires dans Skype Entreprise Server.
Skype Entreprise Server devez être en mesure de communiquer de manière sécurisée et transparente avec d’autres applications et produits serveur. Par exemple, vous pouvez configurer Skype Entreprise Server afin que les données de contact et/ou d’archivage soient stockées dans Microsoft Exchange Server 2013. Toutefois, cela ne peut être effectué que si Skype Entreprise Server et Exchange sont en mesure de communiquer de manière sécurisée entre eux. De même, vous pouvez planifier une conférence Skype Entreprise Server à partir d’Office Web Apps Server. Là encore, cette opération ne peut être effectuée que si les deux serveurs (SharePoint et Skype Entreprise Server) s’approuvent mutuellement. Bien qu’il soit possible d’utiliser un mécanisme d’authentification pour la communication entre Skype Entreprise Server et Exchange, mais un mécanisme distinct pour la communication Skype Entreprise Server et SharePoint, une approche meilleure et plus efficace consiste à utiliser une méthode standardisée pour l’authentification et l’autorisation de serveur à serveur.
L’utilisation d’une méthode unique et standardisée pour l’authentification de serveur à serveur est l’approche adoptée par Skype Entreprise Server. Démarré avec la version Office Server 2013, Skype Entreprise Server (ainsi que d’autres produits Microsoft Server, y compris Exchange Server et SharePoint Server) ont pris en charge le protocole OAuth (Open Authorization) pour l’authentification et l’autorisation de serveur à serveur. Avec OAuth, protocole d’autorisation standard utilisé par un certain nombre de sites web principaux, les informations d’identification utilisateur et les mots de passe ne sont pas transmis d’un ordinateur à un autre. Au lieu de cela, l’authentification et l’autorisation sont basées sur l’échange de jetons de sécurité ; ces jetons accordent l’accès à un ensemble spécifique de ressources pendant un laps de temps spécifique.
L’authentification OAuth implique généralement trois parties : un serveur d’autorisation unique et les deux domaines qui doivent communiquer entre eux. (Vous pouvez également effectuer une authentification de serveur à serveur sans utiliser de serveur d’autorisation, processus qui sera abordé plus loin dans ce document.) Les jetons de sécurité sont émis par le serveur d’autorisation (également appelé serveur de jetons de sécurité) pour les deux domaines qui doivent communiquer ; ces jetons vérifient que les communications provenant d’un domaine doivent être approuvées par l’autre domaine. Par exemple, le serveur d’autorisation peut émettre des jetons qui vérifient que les utilisateurs d’un domaine Skype Entreprise Server spécifique sont en mesure d’accéder à un domaine Exchange spécifié, et vice versa.
Remarque
Un domaine est tout simplement un conteneur de sécurité. Par défaut, Skype Entreprise Server utilise votre domaine SIP par défaut comme domaine OAuth. Des espaces de noms SIP supplémentaires sont ajoutés à la liste Autre nom du sujet du certificat dans le certificat OAuth.
Skype Entreprise Server prend en charge trois scénarios d’authentification de serveur à serveur. Avec Skype Entreprise Server, vous pouvez :
Configurez l’authentification de serveur à serveur entre une installation locale de Skype Entreprise Server et une installation locale d’Exchange et/ou SharePoint Server.
Configurez l’authentification de serveur à serveur entre une paire de composants Microsoft 365 ou Office 365 (par exemple, entre Microsoft Exchange Server et Skype Entreprise Server, ou entre Skype Entreprise Server et SharePoint).
Configurez l’authentification de serveur à serveur dans un environnement intersite (autrement dit, l’authentification de serveur à serveur entre un serveur local et un composant Microsoft 365 ou Office 365).
Notez qu’à ce stade, seuls Exchange 2013, SharePoint Server, Lync Server 2013, Skype Entreprise Server 2015 et Skype Entreprise 2019 prennent en charge l’authentification de serveur à serveur ; si vous n’exécutez pas l’un de ces serveurs, vous ne pourrez pas implémenter entièrement l’authentification OAuth.
Il convient également de souligner que l’authentification de serveur à serveur est facultative : si Skype Entreprise Server n’a pas besoin de communiquer avec d’autres serveurs (comme Exchange), l’authentification de serveur à serveur peut être complètement ignorée. Si l’authentification de serveur à serveur est déjà configurée pour Lync Server 2013 et d’autres applications, il n’est pas nécessaire de la recréer pour Skype Entreprise Server.
Toutefois, l’authentification de serveur à serveur est requise si vous souhaitez utiliser certaines des fonctionnalités de Skype Entreprise Server, telles que le « magasin de contacts unifié ». Avec le magasin de contacts unifié, Skype Entreprise Server informations de contact sont stockées dans Exchange plutôt que dans Skype Entreprise Server. Cela permet aux utilisateurs de disposer d’un ensemble unique de contacts facilement accessible à partir de Skype Entreprise, Outlook ou Outlook Web Access. Étant donné que le magasin de contacts unifié nécessite Skype Entreprise Server pour partager des informations avec Exchange, vous devez utiliser l’authentification de serveur à serveur pour déployer la fonctionnalité. L’authentification de serveur à serveur est également requise si vous choisissez d’utiliser l’archivage Exchange, dans lequel les transcriptions des sessions de messagerie instantanée sont enregistrées sous forme d’e-mails Exchange plutôt que sous forme d’enregistrements de base de données individuels.
Pour que la version Microsoft 365 ou Office 365 de Skype Entreprise Server communique avec son équivalent Exchange, Skype Entreprise Server devez d’abord obtenir un jeton de sécurité auprès du serveur d’autorisation. Skype Entreprise Server utilise ensuite ce jeton de sécurité pour s’identifier auprès d’Exchange. Les versions Microsoft 365 ou Office 365 d’Exchange doivent suivre le même processus pour communiquer avec Skype Entreprise Server.
Toutefois, en ce qui concerne l’authentification de serveur à serveur entre deux serveurs Microsoft, il n’est pas nécessaire d’utiliser un serveur de jetons tiers. Les produits serveur tels que Skype Entreprise Server et Exchange disposent d’un serveur de jetons intégré qui peut être utilisé à des fins d’authentification avec d’autres serveurs Microsoft (tels que SharePoint Server) qui prennent en charge l’authentification de serveur à serveur. Par exemple, Skype Entreprise Server pouvez émettre et signer un jeton de sécurité par lui-même, puis utiliser ce jeton pour communiquer avec Exchange. Dans ce cas, aucun serveur de jetons tiers n’est nécessaire.
Pour configurer l’authentification de serveur à serveur pour une implémentation locale de Skype Entreprise Server, vous devez effectuer deux opérations :
Affectez un certificat à l’émetteur de jeton de Skype Entreprise Server intégré.
Configurez le serveur avec lequel Skype Entreprise Server communiquera pour qu’il s’agit d’une « application partenaire ». Par exemple, si Skype Entreprise Server devez communiquer avec Exchange, vous devez configurer Exchange pour qu’il soit une application partenaire.
Remarque
Une « application partenaire » est toute application avec laquelle Skype Entreprise Server pouvez échanger directement des jetons de sécurité, sans avoir à passer par un serveur de jetons de sécurité tiers.
Notez qu’OAuth est un composant de base du produit et ne peut être ni désactivé ni supprimé.
Voir aussi
Attribuer un certificat d’authentification de serveur à serveur à Skype Entreprise Server
Configurer un environnement hybride dans Skype Entreprise Server