Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Skype Empresarial Server
Resumen: Administrar aplicaciones OAuth y de asociados en Skype Empresarial Server.
Skype Empresarial Server debe poder comunicarse de forma segura y sin problemas con otras aplicaciones y productos de servidor. Por ejemplo, puede configurar Skype Empresarial Server para que los datos de contacto y/o los datos de archivado se almacenen en Microsoft Exchange Server 2013; sin embargo, esto solo puede hacerse si Skype Empresarial Server y Exchange pueden comunicarse de forma segura entre sí. Del mismo modo, puede programar una conferencia de Skype Empresarial Server desde Office Web Apps Server; de nuevo, esto solo puede hacerse si los dos servidores (SharePoint y Skype Empresarial Server) confían entre sí. Aunque es posible usar un mecanismo de autenticación para la comunicación entre Skype Empresarial Server y Exchange, pero un mecanismo independiente para la comunicación de Skype Empresarial Server y SharePoint, un método mejor y más eficaz es usar un método estandarizado para toda la autenticación y autorización de servidor a servidor.
Usar un único método estandarizado para la autenticación de servidor a servidor es el enfoque adoptado por Skype Empresarial Server. Iniciado con la versión de Los servidores de Office 2013, Skype Empresarial Server (y otros productos de Microsoft Server, incluidos Exchange Server y SharePoint Server) admitía el protocolo OAuth (autorización abierta) para la autenticación y autorización de servidor a servidor. Con OAuth, un protocolo de autorización estándar usado por muchos sitios web principales, credenciales de usuario y contraseñas no se pasan de un equipo a otro. En su lugar, la autenticación y la autorización se basan en el intercambio de tokens de seguridad; estos tokens conceden acceso a un conjunto específico de recursos durante un período de tiempo específico.
La autenticación de OAuth suele implicar tres partes: un único servidor de autorización y los dos reinos que necesitan comunicarse entre sí. (También puede realizar la autenticación de servidor a servidor sin usar un servidor de autorización, un proceso que se describe más adelante en este documento). Los tokens de seguridad los emite el servidor de autorización (también conocido como un servidor de token de seguridad) a los dos reinos que necesitan comunicarse; estos tokens comprueban que las comunicaciones que proceden de un territorio deben ser de confianza para el otro reino. Por ejemplo, el servidor de autorización podría emitir tokens que comprueben que los usuarios de un territorio específico de Skype Empresarial Server puedan acceder a un territorio de Exchange especificado y viceversa.
Nota
Un dominio es un contenedor de seguridad. De forma predeterminada, Skype Empresarial Server usa su dominio SIP predeterminado como su dominio OAuth. Se agregan espacios de nombres SIP a la lista Nombre alternativo del sujeto en el certificado OAuth.
Skype Empresarial Server admite tres escenarios de autenticación de servidor a servidor. Con Skype Empresarial Server, puede:
Configure la autenticación de servidor a servidor entre una instalación local de Skype Empresarial Server y una instalación local de Exchange y/o SharePoint Server.
Configure la autenticación de servidor a servidor entre un par de componentes de Microsoft 365 u Office 365 (por ejemplo, entre Microsoft Exchange Server y Skype Empresarial Server, o entre Skype Empresarial Server y SharePoint).
Configurar la autenticación de servidor a servidor en un entorno entre locales (es decir, autenticación de servidor a servidor entre un servidor local y un componente de Microsoft 365 u Office 365).
En este momento, solo Exchange 2013, SharePoint Server, Lync Server 2013, Skype Empresarial Server 2015 y Skype Empresarial 2019 admiten la autenticación de servidor a servidor; si no está ejecutando uno de estos servidores, no podrá implementar completamente la autenticación de OAuth.
También debe señalarse que la autenticación de servidor a servidor es opcional: Si Skype Empresarial Server no necesita comunicarse con otros servidores (como Exchange), la autenticación de servidor a servidor se puede omitir por completo. Si la autenticación de servidor a servidor ya está configurada para Lync Server 2013 y otras aplicaciones, no es necesario volver a hacerlo para Skype Empresarial Server.
Sin embargo, se requiere autenticación de servidor a servidor si desea usar algunas de las características de Skype Empresarial Server, como el "almacén de contactos unificado". Con el almacén de contactos unificado, la información de contacto de Skype Empresarial Server se almacena en Exchange en lugar de en Skype Empresarial Server; esto permite a los usuarios tener un único conjunto de contactos al que se puede acceder fácilmente desde Skype Empresarial, Outlook o Outlook Web Access. Como el almacén de contactos unificado requiere que Skype Empresarial Server comparta información con Exchange, debe usar la autenticación de servidor a servidor para implementar la característica. También se requiere autenticación de servidor a servidor si decide usar el archivado de Exchange, en el que las transcripciones de las sesiones de mensajería instantánea se guardan como correos electrónicos de Exchange, en lugar de como registros individuales de la base de datos.
Para que la versión de Microsoft 365 u Office 365 de Skype Empresarial Server se comunique con su equivalente de Exchange, Skype Empresarial Server debe obtener primero un token de seguridad del servidor de autorización. Skype Empresarial Server usa ese token de seguridad para identificarse a sí mismo en Exchange. Las versiones de Exchange de Microsoft 365 u Office 365 deben pasar por el mismo proceso para comunicarse con Skype Empresarial Server.
Sin embargo, para la autenticación de servidor a servidor local entre dos servidores de Microsoft no es necesario usar un servidor de tokens de partner. Los productos de servidor, como Skype Empresarial Server y Exchange, tienen un servidor de tokens integrado que se puede usar con fines de autenticación con otros servidores de Microsoft (como SharePoint Server) compatibles con la autenticación de servidor a servidor. Por ejemplo, Skype Empresarial Server puede emitir y firmar un token de seguridad por sí mismo y, a continuación, usar ese token para comunicarse con Exchange. En un caso como este, no es necesario un servidor de token de partner.
Para configurar la autenticación de servidor a servidor para una implementación local de Skype Empresarial Server, debe hacer dos cosas:
Asigne un certificado al emisor de tokens integrado de Skype Empresarial Server.
Configure el servidor con el que se comunica Skype Empresarial Server para que sea una "aplicación asociada". Por ejemplo, si Skype Empresarial Server necesita comunicarse con Exchange, debe configurar Exchange para que sea una aplicación asociada.
Nota
Una "aplicación de partner" es cualquier aplicación con la que Skype Empresarial Server puede intercambiar directamente tokens de seguridad, sin tener que pasar por un servidor de tokens de seguridad de terceros.
OAuth es una parte esencial del producto y no se puede deshabilitar ni quitar.
Vea también
Asignar un certificado de autenticación de servidor a servidor a Skype Empresarial Server