Управление проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Skype для бизнеса Server

  • Статья

Сводка: Управление OAuth и партнерскими приложениями в Skype для бизнеса Server.

Skype для бизнеса Server должны иметь возможность безопасного и простого взаимодействия с другими приложениями и серверными продуктами. Например, можно настроить Skype для бизнеса Server таким образом, чтобы контактные данные и (или) архивные данные хранились в Microsoft Exchange Server 2013 г. Однако это можно сделать только в том случае, если Skype для бизнеса Server и Exchange могут безопасно взаимодействовать друг с другом. Аналогичным образом можно запланировать конференцию Skype для бизнеса Server из Office веб-приложения Server. Опять же, это можно сделать только в том случае, если два сервера (SharePoint и Skype для бизнеса Server) доверяют друг другу. Хотя для обмена данными между Skype для бизнеса Server и Exchange можно использовать один механизм проверки подлинности, но можно использовать отдельный механизм для взаимодействия Skype для бизнеса Server и SharePoint, лучший и более эффективный подход заключается в использовании стандартизированного метода для проверки подлинности и авторизации между серверами.

Использование единого стандартизированного метода проверки подлинности между серверами — это подход, принятый Skype для бизнеса Server. В начале выпуска Office Server 2013 Skype для бизнеса Server (а также другие продукты Microsoft Server, включая Exchange Server и SharePoint Server) поддерживали протокол OAuth (открытая авторизация) для проверки подлинности и авторизации между серверами. При использовании OAuth, стандартного протокола авторизации, используемого рядом крупных веб-сайтов, учетные данные и пароли пользователей не передаются с одного компьютера на другой. Вместо этого проверка подлинности и авторизация основаны на обмене маркерами безопасности, которые предоставляют доступ к определенному набору ресурсов в течение определенного промежутка времени.

Как правило, проверка подлинность OAuth включает три компонента: отдельный сервер авторизации и две области, которые должны взаимодействовать друг с другом. (Вы также можете выполнять проверку подлинности между серверами без использования сервера авторизации. Процесс, который будет рассмотрен далее в этом документе.) Маркеры безопасности выдаются сервером авторизации (также известным как сервер маркеров безопасности) двум областям, которые должны взаимодействовать; Эти маркеры проверяют, что сообщения, исходящие из одной области, должны быть доверенными для другой области. Например, сервер авторизации может выдавать маркеры, которые проверяют, что пользователи из определенной области Skype для бизнеса Server могут получить доступ к указанной области Exchange, и наоборот.

Примечание.

Область представляет собой просто контейнер безопасности. По умолчанию Skype для бизнеса Server использует домен SIP по умолчанию в качестве области OAuth. В список "Альтернативное имя субъекта" в сертификате OAuth добавляются дополнительные пространства имен SIP.

Skype для бизнеса Server поддерживает три сценария проверки подлинности между серверами. С помощью Skype для бизнеса Server вы можете:

  • Настройте проверку подлинности между локальной установкой Skype для бизнеса Server и локальной установкой Exchange и (или) SharePoint Server.

  • Настройте проверку подлинности между серверами между парой компонентов Microsoft 365 или Office 365 (например, между Microsoft Exchange Server и Skype для бизнеса Server или между Skype для бизнеса Server и SharePoint).

  • Настройка проверки подлинности между серверами в локальной среде (т. е. между локальным сервером и компонентом Microsoft 365 или Office 365).

Обратите внимание, что на данный момент только Exchange 2013, SharePoint Server, Lync Server 2013, Skype для бизнеса Server 2015 и Skype для бизнеса 2019 поддерживают проверку подлинности между серверами. Если вы не используете один из этих серверов, вы не сможете полностью реализовать проверку подлинности OAuth.

Следует также отметить, что проверка подлинности между серверами необязательна. Если Skype для бизнеса Server не требуется взаимодействовать с другими серверами (например, Exchange), проверка подлинности между серверами может быть полностью пропущена. Если проверка подлинности между серверами уже настроена для Lync Server 2013 и других приложений, нет необходимости повторно выполнять ее для Skype для бизнеса Server.

Однако проверка подлинности между серверами необходима, если вы хотите использовать некоторые функции в Skype для бизнеса Server, такие как "единое хранилище контактов". При использовании единого хранилища контактов Skype для бизнеса Server контактные данные хранятся в Exchange, а не в Skype для бизнеса Server. Это позволяет пользователям иметь один набор контактов, доступный из Skype для бизнеса, Outlook или Outlook Web Access. Так как для единого хранилища контактов требуется Skype для бизнеса Server для обмена данными с Exchange, для развертывания функции необходимо использовать проверку подлинности между серверами. Проверка подлинности между серверами также требуется, если вы решили использовать архивацию Exchange, в которой расшифровки сеансов обмена мгновенными сообщениями сохраняются как сообщения электронной почты Exchange, а не как отдельные записи базы данных.

Чтобы microsoft 365 или Office 365 версия Skype для бизнеса Server взаимодействовала со своим коллегой Exchange, Skype для бизнеса Server сначала должны получить маркер безопасности с сервера авторизации. Skype для бизнеса Server затем использует этот маркер безопасности для идентификации себя в Exchange. Microsoft 365 или Office 365 версии Exchange должны пройти тот же процесс, чтобы взаимодействовать с Skype для бизнеса Server.

Однако для локальной межсерверной проверки подлинности, осуществляемой между двумя серверами Майкрософт, использование стороннего сервера маркеров. Серверные продукты, такие как Skype для бизнеса Server и Exchange, имеют встроенный сервер маркеров, который можно использовать для проверки подлинности с другими серверами Майкрософт (например, SharePoint Server), поддерживающими проверку подлинности между серверами. Например, Skype для бизнеса Server может выдавать и подписывать маркер безопасности самостоятельно, а затем использовать его для взаимодействия с Exchange. В таком случае использование стороннего сервера маркеров не требуется.

Чтобы настроить проверку подлинности между серверами для локальной реализации Skype для бизнеса Server, необходимо выполнить два действия:

  • Назначьте сертификат встроенному издателю маркера Skype для бизнеса Server.

  • Настройте сервер, с которым будет взаимодействовать Skype для бизнеса Server, как "партнерское приложение". Например, если Skype для бизнеса Server необходимо взаимодействовать с Exchange, необходимо настроить Exchange в качестве партнерского приложения.

Примечание.

"Партнерское приложение" — это любое приложение, с которым Skype для бизнеса Server может напрямую обмениваться маркерами безопасности без необходимости проходить через сторонний сервер маркеров безопасности.

Обратите внимание, что OAuth является основной частью продукта. Его нельзя ни отключить, ни удалить.

См. также

Назначение сертификата проверки подлинности между серверами для Skype для бизнеса Server

Настройка гибридной среды в Skype для бизнеса Server