Управление проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Skype для бизнеса Server
Сводка: Управление OAuth и партнерскими приложениями в Skype для бизнеса Server.
Skype для бизнеса Server должен иметь возможность безопасного и простого взаимодействия с другими приложениями и серверными продуктами. Например, можно настроить Skype для бизнеса Server таким образом, чтобы контактные данные и (или) архивные данные хранились в Microsoft Exchange Server 2013. однако это можно сделать только в том случае, если Skype для бизнеса Server и Exchange могут безопасно взаимодействовать друг с другом. Аналогичным образом вы можете запланировать конференцию Skype для бизнеса Server на сервере Office Web Apps. Опять же, это можно сделать только в том случае, если два сервера (SharePoint и Skype для бизнеса Server) доверяют друг другу. Хотя можно использовать один механизм проверки подлинности для обмена данными между Skype для бизнеса Server и Exchange, но отдельный механизм для взаимодействия Skype для бизнеса Server и SharePoint, лучший и более эффективный подход заключается в использовании стандартизированного метода для проверки подлинности и авторизации между серверами.
Использование единого стандартизированного метода проверки подлинности между серверами — это подход, принятый Skype для бизнеса Server. Начатый с выпуском Office Server 2013, Skype для бизнеса Server (и другие продукты Microsoft Server, включая Exchange Server и SharePoint Server) поддерживал протокол OAuth (открытая авторизация) для проверки подлинности и авторизации между серверами. При использовании OAuth, стандартного протокола авторизации, используемого многими крупными веб-сайтами, учетные данные и пароли пользователей не передаются с одного компьютера на другой. Вместо этого проверка подлинности и авторизация основаны на обмене маркерами безопасности; эти маркеры предоставляют доступ к определенному набору ресурсов в течение определенного периода времени.
Как правило, проверка подлинность OAuth включает три компонента: отдельный сервер авторизации и две области, которые должны взаимодействовать друг с другом. (Вы также можете выполнять проверку подлинности между серверами без использования сервера авторизации. Процесс, который рассматривается далее в этом документе.) Маркеры безопасности выдаются сервером авторизации (также известным как сервер маркеров безопасности) двум областям, которые должны взаимодействовать; Эти маркеры проверяют, что сообщения, исходящие из одной области, должны быть доверенными для другой области. Например, сервер авторизации может выдавать маркеры, которые проверяют, что пользователи из определенной области Skype для бизнеса Server имеют доступ к указанной области Exchange, и наоборот.
Примечание.
Область представляет собой просто контейнер безопасности. По умолчанию Skype для бизнеса Server использует домен SIP по умолчанию в качестве области OAuth. В список "Альтернативное имя субъекта" в сертификате OAuth добавляются дополнительные пространства имен SIP.
Skype для бизнеса Server поддерживает три сценария проверки подлинности между серверами. С помощью Skype для бизнеса Server вы можете:
Настройте проверку подлинности между локальной установкой Skype для бизнеса Server и локальной установкой Exchange и (или) SharePoint Server.
Настройте проверку подлинности между серверами между парой компонентов Microsoft 365 или Office 365 (например, между Microsoft Exchange Server и Skype для бизнеса Server или между Skype для бизнеса Server и SharePoint).
Настройка проверки подлинности между серверами в локальной среде (т. е. между локальным сервером и компонентом Microsoft 365 или Office 365).
На данный момент только Exchange 2013, SharePoint Server, Lync Server 2013, Skype для бизнеса Server 2015 и Skype для бизнеса 2019 поддерживают проверку подлинности между серверами. Если вы не используете один из этих серверов, вы не сможете полностью реализовать проверку подлинности OAuth.
Кроме того, следует отметить, что проверка подлинности между серверами необязательна. Если Skype для бизнеса Server не требуется взаимодействовать с другими серверами (например, Exchange), проверка подлинности между серверами может быть полностью пропущена. Если проверка подлинности между серверами уже настроена для Lync Server 2013 и других приложений, повторно выполнять ее для Skype для бизнеса Server не требуется.
Однако проверка подлинности между серверами требуется, если вы хотите использовать некоторые функции Skype для бизнеса Server, такие как "единое хранилище контактов". При использовании единого хранилища контактов контактные данные Skype для бизнеса Server хранятся в Exchange, а не в Skype для бизнеса Server. это позволяет пользователям иметь единый набор контактов, доступный из Skype для бизнеса, Outlook или Outlook Web Access. Так как для единого хранилища контактов требуется, чтобы Skype для бизнеса Server делился информацией с Exchange, для развертывания функции необходимо использовать проверку подлинности между серверами. Проверка подлинности между серверами также требуется, если вы решили использовать архивацию Exchange, в которой расшифровки сеансов обмена мгновенными сообщениями сохраняются как сообщения электронной почты Exchange, а не как отдельные записи базы данных.
Чтобы версия Microsoft 365 или Office 365 Skype для бизнеса Server взаимодействовала со своим аналогом Exchange, Skype для бизнеса Server сначала должен получить маркер безопасности с сервера авторизации. Затем Skype для бизнеса Server использует этот маркер безопасности для идентификации себя в Exchange. Версии Microsoft 365 или Office 365 Exchange должны пройти тот же процесс, чтобы взаимодействовать со Skype для бизнеса Server.
Однако для локальной проверки подлинности между двумя серверами Майкрософт нет необходимости использовать сервер маркеров партнера. Серверные продукты, такие как Skype для бизнеса Server и Exchange, имеют встроенный сервер маркеров, который можно использовать для проверки подлинности с другими серверами Майкрософт (например, SharePoint Server), поддерживающими проверку подлинности между серверами. Например, Skype для бизнеса Server может выдавать и подписывать маркер безопасности самостоятельно, а затем использовать его для взаимодействия с Exchange. В таком случае сервер маркеров партнера не требуется.
Чтобы настроить проверку подлинности между серверами для локальной реализации Skype для бизнеса Server, необходимо выполнить два действия:
Назначьте сертификат встроенному издателю маркеров Skype для бизнеса Server.
Настройте сервер, с которым взаимодействует Skype для бизнеса Server, как "партнерское приложение". Например, если Skype для бизнеса Server необходимо взаимодействовать с Exchange, необходимо настроить Exchange в качестве партнерского приложения.
Примечание.
"Партнерское приложение" — это любое приложение, с которым Skype для бизнеса Server может напрямую обмениваться маркерами безопасности без необходимости проходить через сторонний сервер маркеров безопасности.
OAuth является основной частью продукта и не может быть отключен или удален.
См. также
Назначение сертификата проверки подлинности между серверами Skype для бизнеса Server