Управление проверкой подлинности между серверами (Oauth) и партнерскими приложениями Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2015-08-17

Сводка: управление OAuth и партнерскими приложениями в Skype для бизнеса Server 2015.

Сервер Skype для бизнеса Server 2015 должен обладать возможностью безопасного и беспроблемного взаимодействия с другими приложениями и серверными продуктами. Например, можно настроить Skype для бизнеса Server 2015 таким образом, чтобы контактные данные и/или архивированные данных сохранялись в Microsoft Exchange Server 2013. Однако это возможно только в том случае, если Skype для бизнеса Server и Exchange могут безопасно взаимодействовать друг с другом. Аналогичным образом можно запланировать конференцию Skype для бизнеса Server на сервере Office Web Apps. Снова это возможно только при наличии взаимных отношений доверия между этими двумя серверами (SharePoint и Skype для бизнеса Server). Хотя можно использовать один механизм проверки подлинности для взаимодействия Skype для бизнеса Server с Exchange, а другой — для взаимодействия Skype для бизнеса Server с SharePoint, эффективнее использовать стандартный метод для межсерверной проверки подлинности и авторизации.

Использование одного стандартного метода межсерверной проверки подлинности — это подход, который используется в Skype для бизнеса Server 2015. Что касается выпуска 2013 года, Skype для бизнеса Server 2015 (как и другие серверные продукты корпорации Майкрософт, включая Exchange 2013 и SharePoint Server) поддерживает протокол OAuth (Open Authorization) для межсерверной проверки подлинности и авторизации. При поддержке OAuth стандартный протокол авторизации, используемый рядом крупных веб-сайтов, пароли и учетные данные пользователей не передаются с одного компьютера на другой. Вместо этого процедуры проверки подлинности и авторизации основываются на замене маркеров безопасности. Эти маркеры предоставляют доступ к определенному набору ресурсов в течение определенного времени.

Как правило, проверка подлинность OAuth включает три компонента: отдельный сервер авторизации и две области, которые должны взаимодействовать друг с другом. (Можно также выполнять межсерверную проверку подлинности без использования сервера; этот процесс будет рассматриваться далее в данном документе.) Маркеры безопасности предоставляются сервером авторизации (также известным как сервер маркеров безопасности) двум областям, которые должны взаимодействовать друг с другом; эти маркеры позволяют удостовериться в том, что сеансы связи, инициируемые одной областью, расцениваются как доверенные другой область. Например, сервер авторизации может предоставлять маркеры, которые позволяют удостовериться в том, что пользователи из определенной области Skype для бизнеса Server 2015 могут получать доступ к указанной области Exchange 2013 и наоборот.

noteПримечание.
Область представляет собой просто контейнер безопасности. По умолчанию Skype для бизнеса Server 2015 использует стандартный домен SIP в качестве своей области OAuth. В список "Альтернативное имя субъекта" в сертификате OAuth добавляются дополнительные пространства имен SIP.

Skype для бизнеса Server 2015 поддерживает три сценария межсерверной проверки подлинности. Skype для бизнеса Server 2015 позволяет выполнять указанные ниже действия.

  • Настраивать межсерверную проверку подлинности между локальной версией Skype для бизнеса Server 2015, локальной версией Exchange 2013 и/или SharePoint Server.

  • Настраивать межсерверную проверку подлинности между парой компонентов Office 365 (например, между Microsoft Exchange Server и Skype для бизнеса Server или между Skype для бизнеса Server 2015 и SharePoint).

  • Настраивать межсерверную проверку подлинности в распределенной среде (то есть межсерверную проверку подлинности между локальным сервером и компонентом Office 365).

Обратите внимание, что на данный момент времени межсерверную проверку подлинности поддерживают только Exchange 2013, SharePoint Server, Lync Server 2013 и Skype для бизнеса Server 2015; если вы не используете один из этих серверов, полная реализация проверки подлинности OAuth невозможна.

Также следует указать, что межсерверная проверка не обязательна: если серверу Skype для бизнеса Server 2015 не требуется взаимодействовать с другими серверами (такими как Exchange 2013), тогда межсерверную проверку подлинности пропустить. Если межсерверная проверка подлинности уже настроена для Lync Server 2013 и других приложений, настраивать ее для Skype для бизнеса Server 2015 не требуется.

Однако межсерверная проверка подлинности необходима, чтобы использовать некоторые новые функции Skype для бизнеса Server 2015, например "универсальное хранилище контактов". При использовании универсального хранилища контактов контактная информация Skype для бизнеса Server 2015 сохраняется в Exchange 2013, а не в Skype для бизнеса Server; это позволяет пользователям использовать один набор контактов, доступ к которому можно с легкостью получить из Skype для бизнеса, Outlook или Outlook Web Access. Поскольку для универсального хранилища контактов требуется Skype для бизнеса Server 2015 для обмена информацией с Exchange 2013, необходимо использовать межсерверную проверку подлинности, чтобы развернуть эту функцию. Межсерверная проверка подлинности также необходимо, если вы выбираете использование архивации Exchange, когда записи сеансов обмена мгновенными сообщениями сохраняются как электронные сообщения Exchange 2013, а не как отдельные записи базы данных.

Для взаимодействия версии Office 365 Skype для бизнеса Server с компонентом Exchange сервер Skype для бизнеса Server 2015 должен получить маркер безопасности от сервера авторизации. Skype для бизнеса Server затем использует этот маркер безопасности для идентификации на Exchange. Необходимо выполнить эту же процедуру для версии Office 365 Exchange, чтобы обеспечить ее взаимодействие с Skype для бизнеса Server 2015.

Однако для локальной межсерверной проверки подлинности, осуществляемой между двумя серверами Майкрософт, использование стороннего сервера маркеров. Серверные продукты, такие как Skype для бизнеса Server 2015 и Exchange 2013, включают встроенные сервера маркеров, который можно использовать в целях проверки подлинности для других серверов Майкрософт (например, сервера SharePoint Server), которые поддерживают межсерверную проверку подлинности. Например, Skype для бизнеса Server 2015 может самостоятельно выдавать и подписывать маркер безопасности, а затем использовать этот маркер для взаимодействия с Exchange 2013. В таком случае использование стороннего сервера маркеров не требуется.

Чтобы настроить межсерверную проверку подлинности для локального развертывания Skype для бизнеса Server 2015, необходимо выполнить два действия:

  • Назначить сертификат встроенному средству выдачи маркеров Skype для бизнеса Server 2015.

  • Настроить сервер, с которым будет взаимодействовать Skype для бизнеса Server 2015, в качестве "партнерского приложения". Например, если Skype для бизнеса Server 2015 должен взаимодействовать с Exchange 2013, необходимо настроить Exchange в качестве партнерского приложения.

noteПримечание.
Партнерское приложение — это любое приложение, с которым Skype для бизнеса Server 2015 может напрямую обмениваться маркерами без необходимости привлечения стороннего сервера маркеров безопасности.

Обратите внимание, что OAuth является основной частью продукта. Его нельзя ни отключить, ни удалить.

 
Показ: