Gerir a autenticação servidor a servidor (OAuth) e aplicações de parceiros no Skype para Empresas Server
Resumo: Gerir o OAuth e as aplicações de parceiros no Skype para Empresas Server.
O Skype para Empresas Server tem de conseguir comunicar de forma segura e totalmente integrada com outras aplicações e produtos de servidor. Por exemplo, pode configurar o Skype para Empresas Server para que os dados de contacto e/ou os dados de arquivo sejam armazenados no Microsoft Exchange Server 2013; no entanto, isto só pode ser feito se o Skype para Empresas Server e o Exchange conseguirem comunicar entre si de forma segura. Da mesma forma, pode agendar uma conferência do Skype para Empresas Server a partir do Office Web Apps Server; novamente, isto só pode ser feito se os dois servidores (SharePoint e Skype para Empresas Server) confiarem uns nos outros. Embora seja possível utilizar um mecanismo de autenticação para comunicação entre o Skype para Empresas Server e o Exchange, mas um mecanismo separado para a comunicação do Skype para Empresas Server e do SharePoint, uma abordagem melhor e mais eficiente é utilizar um método padronizado para toda a autenticação e autorização servidor a servidor.
Utilizar um único método padronizado para autenticação servidor a servidor é a abordagem seguida pelo Skype para Empresas Server. Iniciado com a versão do Office Servers 2013, o Skype para Empresas Server (e outros produtos do Microsoft Server, incluindo o Exchange Server e o SharePoint Server) suportavam o protocolo OAuth (Open Authorization) para autenticação e autorização servidor a servidor. Com o OAuth, um protocolo de autorização padrão utilizado por muitos sites principais, credenciais de utilizador e palavras-passe não é transmitido de um computador para outro. Em vez disso, a autenticação e a autorização baseiam-se na troca de tokens de segurança; estes tokens concedem acesso a um conjunto específico de recursos durante um período de tempo específico.
A autenticação com o OAuth geralmente envolve três partes: um servidor de autorização individual e dois realms que precisam se comunicar entre si. (Também pode efetuar a autenticação servidor a servidor sem utilizar um servidor de autorização, um processo que é discutido mais adiante neste documento.) Os tokens de segurança são emitidos pelo servidor de autorização (também conhecido como servidor de tokens de segurança) para os dois domínios que precisam de comunicar; estes tokens verificam se as comunicações provenientes de um realm devem ser consideradas fidedignas pelo outro realm. Por exemplo, o servidor de autorização pode emitir tokens que verificam se os utilizadores de um domínio específico do Skype para Empresas Server conseguem aceder a um domínio do Exchange especificado e vice-versa.
Nota
Um realm é simplesmente um contêiner de segurança. Por predefinição, o Skype para Empresas Server utiliza o seu domínio SIP predefinido como o respetivo domínio OAuth. Namespaces SIP adicionais são adicionadas à lista Nome Alternativo da Entidade no certificado OAuth.
O Skype para Empresas Server suporta três cenários de autenticação servidor a servidor. Com o Skype para Empresas Server, pode:
Configure a autenticação servidor a servidor entre uma instalação no local do Skype para Empresas Server e uma instalação no local do Exchange e/ou do SharePoint Server.
Configure a autenticação servidor a servidor entre um par de componentes do Microsoft 365 ou do Office 365 (por exemplo, entre o Microsoft Exchange Server e o Skype para Empresas Server ou entre o Skype para Empresas Server e o SharePoint).
Configure a autenticação servidor a servidor num ambiente em vários locais (ou seja, autenticação servidor a servidor entre um servidor no local e um componente do Microsoft 365 ou do Office 365).
Neste momento, apenas o Exchange 2013, o SharePoint Server, o Lync Server 2013, o Skype para Empresas Server 2015 e o Skype para Empresas 2019 suportam a autenticação servidor a servidor; Se não estiver a executar um destes servidores, não poderá implementar totalmente a autenticação OAuth.
Também deve ser indicado que a autenticação servidor a servidor é opcional: se o Skype para Empresas Server não precisar de comunicar com outros servidores (como o Exchange), a autenticação servidor a servidor pode ser completamente ignorada. Se a autenticação servidor a servidor já estiver configurada para o Lync Server 2013 e outras aplicações, não é necessário voltar a fazê-lo para o Skype para Empresas Server.
No entanto, a autenticação servidor a servidor é necessária se quiser utilizar algumas das funcionalidades no Skype para Empresas Server, como o "arquivo de contactos unificado". Com o arquivo de contactos unificado, as informações de contacto do Skype para Empresas Server são armazenadas no Exchange em vez de no Skype para Empresas Server; isto permite que os utilizadores tenham um único conjunto de contactos facilmente acessíveis a partir do Skype para Empresas, Outlook ou Outlook Web Access. Uma vez que o arquivo de contactos unificado requer que o Skype para Empresas Server partilhe informações com o Exchange, tem de utilizar a autenticação servidor a servidor para implementar a funcionalidade. A autenticação servidor a servidor também é necessária se optar por utilizar o arquivo do Exchange, no qual as transcrições de sessões de mensagens instantâneas são guardadas como e-mails do Exchange e não como registos de bases de dados individuais.
Para que a versão do Microsoft 365 ou do Office 365 do Skype para Empresas Server comunique com o seu homólogo do Exchange, o Skype para Empresas Server tem primeiro de obter um token de segurança a partir do servidor de autorização. Em seguida, o Skype para Empresas Server utiliza esse token de segurança para se identificar no Exchange. As versões do Microsoft 365 ou do Office 365 do Exchange têm de passar pelo mesmo processo para comunicar com o Skype para Empresas Server.
No entanto, para a autenticação servidor a servidor no local entre dois servidores da Microsoft, não é necessário utilizar um servidor de tokens de parceiro. Os produtos de servidor, como o Skype para Empresas Server e o Exchange, têm um servidor de tokens incorporado que pode ser utilizado para fins de autenticação com outros servidores da Microsoft (como o SharePoint Server) que suportam a autenticação servidor a servidor. Por exemplo, o Skype para Empresas Server pode emitir e assinar um token de segurança por si só e, em seguida, utilizar esse token para comunicar com o Exchange. Num caso como este, não é necessário um servidor de tokens de parceiro.
Para configurar a autenticação servidor a servidor para uma implementação no local do Skype para Empresas Server, tem de efetuar duas ações:
Atribua um certificado ao emissor de tokens incorporado do Skype para Empresas Server.
Configure o servidor com o qual o Skype para Empresas Server comunica para ser uma "aplicação de parceiro". Por exemplo, se o Skype para Empresas Server precisar de comunicar com o Exchange, terá de configurar o Exchange para ser uma aplicação parceira.
Nota
Uma "aplicação de parceiro" é qualquer aplicação com a qual o Skype para Empresas Server pode trocar diretamente tokens de segurança, sem ter de passar por um servidor de tokens de segurança de terceiros.
O OAuth é uma parte central do produto e não pode ser desativado ou removido.
Confira também
Atribuir um certificado de autenticação servidor a servidor ao Skype para Empresas Server
Configurar um ambiente híbrido no Skype para Empresas Server