Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de socio en Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2015-08-17

Resumen: administre las aplicaciones OAuth y de socio en Skype Empresarial Server 2015.

Skype Empresarial Server 2015 debe poder comunicarse de forma segura y sin problemas con otras aplicaciones y productos de servidor. Por ejemplo, puede configurar Skype Empresarial Server 2015 de modo que los datos de contacto o los datos de archivado se almacenen en Microsoft Exchange Server 2013; sin embargo, esto solo se puede hacer si Skype Empresarial Server y Exchange pueden comunicarse de forma segura entre sí. Del mismo modo, puede programar una conferencia de Skype Empresarial Server desde Servidor Office Web Apps; de nuevo, esto solo puede hacerse si los dos servidores (SharePoint y Skype Empresarial Server) confían entre sí. Aunque es posible usar un mecanismo de autenticación para la comunicación entre Skype Empresarial Server y Exchange, y un mecanismo distinto para la comunicación entre Skype Empresarial Server y SharePoint, resulta mucho más eficiente usar un método estandarizado para todas las operaciones de autenticación y autorización de servidor a servidor.

El uso de un único método estándar para la autenticación de servidor a servidor es el enfoque que adopta Skype Empresarial Server 2015. En la versión de 2013, Skype Empresarial Server 2015 (así como para el resto de productos de servidor de Microsoft, incluidos Exchange 2013 y SharePoint Server) admite el protocolo OAuth (Open Authorization) para la autorización y la autenticación de servidor a servidor. OAuth permite usar un protocolo de autorización estándar en un gran número de sitios web principales, ya que las contraseñas y las credenciales de los usuarios no se transmiten entre los equipos. En su lugar, la autenticación y la autorización se basan en el intercambio de tokens de seguridad. Dichos tokens facilitan el acceso a un conjunto de recursos específicos durante un periodo específico.

La autenticación OAuth implica a tres partes: un único servidor de autorización y dos dominios que deben comunicarse entre sí. (También se puede llevar a cabo la autenticación de servidor a servidor a través de un servidor de autorización, proceso que se tratará más adelante en este documento). El servidor de autorización (también conocido como servidor de tokens de seguridad) emite tokens de seguridad a los dos dominios que se comunican entre sí. Dichos tokens comprueban que las comunicaciones procedentes de un dominio son de confianza para el otro dominio. Por ejemplo, el servidor de autorización puede emitir tokens que comprueben que los usuarios de un dominio de Skype Empresarial Server 2015 específico puedan tener acceso a un dominio de Exchange 2013 determinado y viceversa.

noteNota:
Un dominio es un contenedor de seguridad. De forma predeterminada, usa Skype Empresarial Server 2015 el dominio SIP predeterminado como dominio OAuth. Se agregan espacios de nombres SIP a la lista Nombre alternativo del sujeto en el certificado OAuth.

Skype Empresarial Server 2015 admite tres escenarios de autenticación de servidor a servidor. Con Skype Empresarial Server 2015 puede llevar a cabo las siguientes acciones:

  • Configurar la autenticación de servidor a servidor entre una instalación local de Skype Empresarial Server 2015 y una instalación local de Exchange 2013 o SharePoint Server.

  • Configurar la autenticación de servidor a servidor entre un par de componentes de Office 365 (por ejemplo, entre Microsoft Exchange Server y Skype Empresarial Server, o entre Skype Empresarial Server 2015 y SharePoint).

  • Configurar la autenticación de servidor a servidor en un entorno de múltiples instalaciones locales (es decir, autenticación de servidor a servidor entre un servidor local y un componente de Office 365).

Tenga en cuenta que, hasta el momento, solo Exchange 2013, SharePoint Server, Lync Server 2013 y Skype Empresarial Server 2015 admite la autenticación de servidor a servidor; si no está ejecutando ninguno de estos servidores, no podrá implementar completamente autenticación OAuth.

También debe tener en cuenta que la autenticación de servidor a servidor res opcional: si Skype Empresarial Server 2015 no necesita comunicarse con otros servidores (como Exchange 2013), la autenticación de servidor a servidor puede omitirse. Si este tipo de autenticación ya está configurado para Lync Server 2013 y otras aplicaciones, no es necesario configurarlo de nuevo para Skype Empresarial Server 2015.

Sin embargo, la autenticación de servidor a servidor sí es necesaria si desea usar algunas de las características de Skype Empresarial Server 2015, como el "almacén de contactos unificado". Con este almacén, la información de contactos de Skype Empresarial Server 2015 se almacena en Exchange 2013 en lugar de almacenarse en Skype Empresarial Server; esto permite que los usuarios puedan tener un único conjunto de contactos al que pueden obtener acceso desde Skype Empresarial, Outlook o Outlook Web Access. Dado que para el almacén de contactos unificado es necesario que Skype Empresarial Server 2015 comparta información con Exchange 2013, se debe usar la autenticación de servidor a servidor para poder implementar la característica. La autenticación de servidor a servidor también es necesaria si se opta por usar el archivado de Exchange, en el que las transcripciones de las sesiones de mensajería instantánea se guardan como correos electrónicos de Exchange 2013 en lugar de guardarse como registros individuales de la base de datos.

Para que la versión Office 365 de Skype Empresarial Server se comunique con su homólogo Exchange, Skype Empresarial Server 2015 debe obtener primero un token de seguridad del servidor de autorización. Luego Skype Empresarial Server usa dicho token de seguridad para identificarse ante Exchange. La versión Office 365 de Exchange debe seguir el mismo proceso para comunicarse con Skype Empresarial Server 2015.

Sin embargo, para una autenticación de servidor a servidor local entre dos servidores Microsoft, no es necesario usar ningún servidor de tokens de otro proveedor. Los productos de servidor, como Skype Empresarial Server 2015 y Exchange 2013 tienen un servidor de tokens incorporado que puede usarse para la autenticación con otros servidores de Microsoft (como as SharePoint Server) que son compatibles con la autenticación de servidor a servidor. Por ejemplo, Skype Empresarial Server 2015 puede emitir y firmar un token de seguridad y usarlo para comunicarse con Exchange 2013. En este caso, no es necesario usar ningún servidor de tokens de un tercero.

Para configurar la autenticación de servidor a servidor en implementaciones locales de Skype Empresarial Server 2015, debe llevar a cabo dos tareas:

  • Asignar un certificado al emisor de tokens de Skype Empresarial Server 2015 integrado.

  • Configurar el servidor con el que se comunicará Skype Empresarial Server 2015 para ser una "aplicación de socio". Por ejemplo, si Skype Empresarial Server 2015 debe comunicarse con Exchange 2013, deberá configurar Exchange como aplicación de socio.

noteNota:
Una "aplicación de socio" es una aplicación con la que Skype Empresarial Server 2015 puede intercambiar directamente tokens de seguridad, sin tener que pasar por ningún servidor de tokens de seguridad de terceros.

Tenga en cuenta que OAuth es una parte fundamental del producto y no se puede desactivar ni eliminar.

 
Mostrar: