Verwalten der Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in Lync Server 2013

  • Artikel

 

Thema Letzte Änderung: 14.05.2015

Microsoft Lync Server 2013 muss sicher und nahtlos mit anderen Anwendungen und Serverprodukten kommunizieren können. Sie können z. B. Lync Server 2013 so konfigurieren, dass Kontaktdaten und/oder Archivierungsdaten in Microsoft Exchange Server 2013 gespeichert werden. Dies ist jedoch nur möglich, wenn Lync Server und Exchange sicher miteinander kommunizieren können. Ebenso können Sie eine Lync Server-Konferenz innerhalb von Microsoft SharePoint Server planen. dies kann jedoch nur erfolgen, wenn die beiden Server (SharePoint und Lync Server) einander vertrauen. Obwohl es möglich ist, einen Authentifizierungsmechanismus für die Lync-to-Exchange-Kommunikation und einen separaten Mechanismus für die Lync-to-SharePoint-Kommunikation zu verwenden, besteht ein besserer und effizienterer Ansatz darin, eine standardisierte Methode für die gesamte Server-zu-Server-Authentifizierung und -Autorisierung zu verwenden.

Die Verwendung einer einzelnen, standardisierten Methode für die Server-zu-Server-Authentifizierung ist der Ansatz von Lync Server 2013. Für die Version 2013 unterstützt Lync Server 2013 (sowie andere Microsoft Server-Produkte, einschließlich Exchange 2013 und Microsoft SharePoint Server) das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Bei OAuth werden ein standardautorisierungsprotokoll, das von einer Reihe von wichtigen Websites verwendet wird, Benutzeranmeldeinformationen und Kennwörter nicht von einem Computer an einen anderen übergeben. Stattdessen basieren Authentifizierung und Autorisierung auf dem Austausch von Sicherheitstoken. Diese Token gewähren zugriff auf eine bestimmte Gruppe von Ressourcen für einen bestimmten Zeitraum.

Die OAuth-Authentifizierung umfasst in der Regel drei Parteien: einen einzelnen Autorisierungsserver und die beiden Bereiche, die miteinander kommunizieren müssen. (Sie können auch eine Server-zu-Server-Authentifizierung durchführen, ohne einen Autorisierungsserver zu verwenden, ein Prozess, der später in diesem Dokument erläutert wird.) Sicherheitstoken werden vom Autorisierungsserver (auch als Sicherheitstokenserver bezeichnet) an die beiden Bereiche ausgegeben, die kommunizieren müssen; Diese Token überprüfen, ob Kommunikationen, die von einem Bereich stammen, vom anderen Bereich als vertrauenswürdig eingestuft werden sollten. Beispielsweise kann der Autorisierungsserver Token ausstellen, die überprüfen, ob Benutzer aus einem bestimmten Lync Server 2013-Bereich auf einen angegebenen Exchange 2013-Bereich zugreifen können, und umgekehrt.

Hinweis

Ein Bereich ist einfach ein Sicherheitscontainer. Standardmäßig verwendet Lync Server 2013 Ihre standardmäßige SIP-Domäne als OAuth-Bereich. Weitere SIP-Namespaces werden der Liste mit alternativen Antragstellernamen im OAuth-Zertifikat hinzugefügt.

Lync Server 2013 unterstützt drei Server-zu-Server-Authentifizierungsszenarien. Mit Lync Server 2013 haben Sie folgende Möglichkeiten:

  • Konfigurieren der Server-zu-Server-Authentifizierung zwischen einer lokalen Installation von Lync Server 2013 und einer lokalen Installation von Exchange 2013 und/oder Microsoft SharePoint Server.

  • Konfigurieren der Server-zu-Server-Authentifizierung zwischen einem Paar von Microsoft 365-Komponenten (z. B. zwischen Microsoft Exchange und Microsoft Lync Server oder zwischen Microsoft Lync Server und Microsoft SharePoint).

  • Konfigurieren der Server-zu-Server-Authentifizierung in einer standortübergreifenden Umgebung (d. a. Server-zu-Server-Authentifizierung zwischen einem lokalen Server und einer Microsoft 365-Komponente).

Beachten Sie, dass zu diesem Zeitpunkt nur Exchange 2013, SharePoint Server und Lync Server 2013 die Server-zu-Server-Authentifizierung unterstützen. Wenn Sie keinen dieser Server ausführen, können Sie die OAuth-Authentifizierung nicht vollständig implementieren.

Es sollte auch darauf hingewiesen werden, dass Sie die Server-zu-Server-Authentifizierung nicht verwenden müssen: Für die Bereitstellung von Lync Server 2013 ist keine Server-zu-Server-Authentifizierung erforderlich. Wenn Lync Server 2013 nicht mit anderen Servern (z. B. Exchange 2013) kommunizieren muss, ist keine Server-zu-Server-Authentifizierung erforderlich.

Die Server-zu-Server-Authentifizierung ist jedoch erforderlich, wenn Sie einige der neuen Features von Lync Server verwenden möchten, z. B. den "einheitlichen Kontaktspeicher". Mit dem einheitlichen Kontaktspeicher werden Lync Server 2013-Kontaktinformationen in Exchange 2013 statt in Lync Server gespeichert. Auf diese Weise können Benutzer über einen einzelnen Satz von Kontakten verfügen, auf die in Lync, Microsoft Outlook oder Microsoft Outlook Web Access leicht zugegriffen werden kann. Da für den einheitlichen Kontaktspeicher Lync Server 2013 zum Freigeben von Informationen mit Exchange 2013 erforderlich ist, müssen Sie die Server-zu-Server-Authentifizierung verwenden, um das Feature bereitzustellen. Die Server-zu-Server-Authentifizierung ist auch erforderlich, wenn Sie die Exchange-Archivierung verwenden, bei der die Transkriptionen von Chatsitzungen als Exchange 2013-E-Mails und nicht als einzelne Datenbankdatensätze gespeichert werden.

Damit die Microsoft 365-Version von Lync Server mit dem Exchange-Gegenstück kommunizieren kann, muss Lync Server 2013 zuerst ein Sicherheitstoken vom Autorisierungsserver abrufen. Lync Server verwendet dann dieses Sicherheitstoken, um sich selbst für Exchange zu identifizieren. Die Microsoft 365-Version von Exchange muss denselben Prozess durchlaufen, um mit Lync Server 2013 zu kommunizieren.

Für eine lokale Server-zu-Server-Authentifizierung zwischen zwei Microsoft-Servern muss kein Drittanbieter-Tokenserver verwendet werden. Serverprodukte wie Lync Server 2013 und Exchange 2013 verfügen über einen integrierten Tokenserver, der für Authentifizierungszwecke mit anderen Microsoft-Servern (z. B. SharePoint-Server) verwendet werden kann, die die Server-zu-Server-Authentifizierung unterstützen. Beispielsweise kann Lync Server 2013 ein Sicherheitstoken selbst ausstellen und signieren und dann dieses Token für die Kommunikation mit Exchange 2013 verwenden. In einem solchen Fall ist kein Drittanbieter-Tokenserver erforderlich.

Um die Server-zu-Server-Authentifizierung für eine lokale Implementierung von Lync Server 2013 zu konfigurieren, müssen Sie zwei Schritte ausführen:

  • Weisen Sie dem integrierten Tokenherausgeber von Lync Server ein Zertifikat zu.

  • Konfigurieren Sie den Server, mit dem Lync Server 2013 kommuniziert, als "Partneranwendung". Wenn beispielsweise Lync Server 2013 mit Exchange 2013 kommunizieren muss, müssen Sie Exchange als Partneranwendung konfigurieren.

Hinweis

Eine "Partneranwendung" ist jede Anwendung, mit der Lync Server 2013 Sicherheitstoken direkt austauschen kann, ohne einen Sicherheitstokenserver eines Drittanbieters durchlaufen zu müssen.

Beachten Sie, dass OAuth eine Kernkomponente des Produkts ist und weder deaktiviert noch entfernt werden kann.