Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Skype Empresarial Server
Resumen: Administre OAuth y las aplicaciones asociadas en Skype Empresarial Server.
Skype Empresarial Server deben poder comunicarse de forma segura y sin problemas con otras aplicaciones y productos de servidor. Por ejemplo, puede configurar Skype Empresarial Server para que los datos de contacto y/o el archivado de datos se almacenen en Microsoft Exchange Server 2013; sin embargo, esto solo puede hacerse si Skype Empresarial Server y Exchange pueden comunicarse de forma segura entre sí. Del mismo modo, puede programar una conferencia de Skype Empresarial Server desde Office Web Apps Server; de nuevo, esto solo puede hacerse si los dos servidores (SharePoint y Skype Empresarial Server) confían unos en otros. Aunque es posible usar un mecanismo de autenticación para la comunicación entre Skype Empresarial Server y Exchange, pero un mecanismo independiente para la comunicación Skype Empresarial Server y SharePoint, un enfoque mejor y más eficaz es usar un método estandarizado para toda la autenticación y autorización de servidor a servidor.
Usar un método único y estandarizado para la autenticación de servidor a servidor es el enfoque adoptado por Skype Empresarial Server. Iniciado con la versión de los servidores de Office 2013, Skype Empresarial Server (así como otros productos de Microsoft Server, incluidos Exchange Server y SharePoint Server) admitía el protocolo OAuth (autorización abierta) para la autenticación y autorización de servidor a servidor. Con OAuth, un protocolo de autorización estándar usado por varios sitios web principales, credenciales de usuario y contraseñas no se pasan de un equipo a otro. En su lugar, la autenticación y la autorización se basan en el intercambio de tokens de seguridad; estos tokens conceden acceso a un conjunto específico de recursos durante un período de tiempo específico.
La autenticación de OAuth suele implicar tres partes: un único servidor de autorización y los dos reinos que necesitan comunicarse entre sí. (También puede realizar la autenticación de servidor a servidor sin usar un servidor de autorización, un proceso que se discutirá más adelante en este documento). Los tokens de seguridad los emite el servidor de autorización (también conocido como un servidor de token de seguridad) a los dos reinos que necesitan comunicarse; estos tokens comprueban que las comunicaciones que proceden de un territorio deben ser de confianza para el otro reino. Por ejemplo, el servidor de autorización podría emitir tokens que comprueben que los usuarios de un territorio Skype Empresarial Server específico puedan acceder a un territorio de Exchange especificado y viceversa.
Nota
Un dominio es un contenedor de seguridad. De forma predeterminada, Skype Empresarial Server usa el dominio SIP predeterminado como su dominio OAuth. Se agregan espacios de nombres SIP a la lista Nombre alternativo del sujeto en el certificado OAuth.
Skype Empresarial Server admite tres escenarios de autenticación de servidor a servidor. Con Skype Empresarial Server, puede:
Configure la autenticación de servidor a servidor entre una instalación local de Skype Empresarial Server y una instalación local de Exchange o SharePoint Server.
Configure la autenticación de servidor a servidor entre un par de componentes de Microsoft 365 o Office 365 (por ejemplo, entre Microsoft Exchange Server y Skype Empresarial Server, o entre Skype Empresarial Server y SharePoint).
Configure la autenticación de servidor a servidor en un entorno entre locales (es decir, autenticación de servidor a servidor entre un servidor local y un componente de Microsoft 365 o Office 365).
Tenga en cuenta que, en este momento, solo Exchange 2013, SharePoint Server, Lync Server 2013, Skype Empresarial Server 2015 y Skype Empresarial 2019 admiten la autenticación de servidor a servidor; si no está ejecutando uno de estos servidores, no podrá implementar completamente la autenticación de OAuth.
También debe señalarse que la autenticación de servidor a servidor es opcional: si Skype Empresarial Server no necesita comunicarse con otros servidores (como Exchange), la autenticación de servidor a servidor se puede omitir por completo. Si la autenticación de servidor a servidor ya está configurada para Lync Server 2013 y otras aplicaciones, no es necesario volver a realizarla para Skype Empresarial Server.
Sin embargo, es necesaria la autenticación de servidor a servidor si desea usar algunas de las características de Skype Empresarial Server, como el "almacén de contactos unificado". Con el almacén de contactos unificado, Skype Empresarial Server información de contacto se almacena en Exchange en lugar de en Skype Empresarial Server; esto permite a los usuarios tener un único conjunto de contactos al que se puede acceder fácilmente desde Skype Empresarial, Outlook o Outlook Web Access. Dado que el almacén de contactos unificado requiere Skype Empresarial Server para compartir información con Exchange, debe usar la autenticación de servidor a servidor para implementar la característica. También se requiere autenticación de servidor a servidor si decide usar el archivado de Exchange, en el que las transcripciones de las sesiones de mensajería instantánea se guardan como correos electrónicos de Exchange, en lugar de como registros individuales de la base de datos.
Para que la versión de Microsoft 365 o Office 365 de Skype Empresarial Server se comunique con su equivalente de Exchange, Skype Empresarial Server primero debe obtener un token de seguridad del servidor de autorización. Skype Empresarial Server, a continuación, usa ese token de seguridad para identificarse a sí mismo en Exchange. Las versiones de Microsoft 365 o Office 365 de Exchange deben pasar por el mismo proceso para comunicarse con Skype Empresarial Server.
Sin embargo, para una autenticación de servidor a servidor local entre dos servidores Microsoft, no es necesario usar ningún servidor de tokens de otro proveedor. Los productos de servidor, como Skype Empresarial Server y Exchange, tienen un servidor de tokens integrado que se puede usar con fines de autenticación con otros servidores de Microsoft (como SharePoint Server) compatibles con la autenticación de servidor a servidor. Por ejemplo, Skype Empresarial Server puede emitir y firmar un token de seguridad por sí mismo y, a continuación, usar ese token para comunicarse con Exchange. En este caso, no es necesario usar ningún servidor de tokens de un tercero.
Para configurar la autenticación de servidor a servidor para una implementación local de Skype Empresarial Server, debe hacer dos cosas:
Asigne un certificado al emisor de tokens de Skype Empresarial Server integrado.
Configure el servidor con el que se comunicará Skype Empresarial Server para que sea una "aplicación de asociado". Por ejemplo, si Skype Empresarial Server necesita comunicarse con Exchange, tendrá que configurar Exchange para que sea una aplicación asociada.
Nota
Una "aplicación de partner" es cualquier aplicación con la que Skype Empresarial Server pueda intercambiar directamente tokens de seguridad, sin tener que pasar por un servidor de tokens de seguridad de terceros.
Tenga en cuenta que OAuth es una parte fundamental del producto y no se puede desactivar ni eliminar.
Vea también
Asignar un certificado de autenticación de servidor a servidor a Skype Empresarial Server