在 Skype for Business Server 中管理服务器到服务器的身份验证 (OAuth) 和合作伙伴应用程序
总结: 在 Skype for Business Server 中管理 OAuth 和合作伙伴应用程序。
Skype for Business Server 必须能够安全无缝地与其他应用程序和服务器产品通信。 例如,你可以配置 Skype for Business Server,以便联系人数据和/或存档数据存储在 Microsoft Exchange Server 2013 中;但是,仅当 Skype for Business Server 和 Exchange 能够安全地相互通信时,才能执行此操作。 同样,你可以从 Office Web Apps Server 中安排 Skype for Business Server 会议;仅当两台服务器 (SharePoint 和 Skype for Business Server) 相互信任时,才能执行此操作。 虽然可以使用一种身份验证机制在 Skype for Business Server 和 Exchange 之间进行通信,但 Skype for Business Server 和 SharePoint 通信的单独机制是使用标准化方法进行所有服务器到服务器的身份验证和授权。
使用单一的标准化方法进行服务器到服务器身份验证是 Skype for Business Server 采用的方法。 从 Office Server 2013 版本开始,Skype for Business Server (和其他 Microsoft Server 产品(包括 Exchange Server 和 SharePoint Server) )支持 OAuth (Open Authorization) 协议进行服务器到服务器身份验证和授权。 使用 OAuth 时,许多主要网站使用的标准授权协议、用户凭据和密码不会从一台计算机传递到另一台计算机。 相反,身份验证和授权基于安全令牌的交换;这些令牌在特定的时间内授予对一组特定资源的访问权限。
OAuth 身份验证通常涉及到三方:一台授权服务器和两个需要相互通信的领域。 (还可以在不使用授权服务器的情况下执行服务器到服务器身份验证,此过程稍后将在本文档中讨论。) 安全令牌由授权服务器颁发, (也称为安全令牌服务器,) 到需要通信的两个领域;这些令牌验证源自一个领域的通信是否应受到另一个领域的信任。 例如,授权服务器可能会颁发令牌,验证来自特定 Skype for Business Server 领域的用户是否能够访问指定的 Exchange 领域,反之亦然。
注意
领域只是一个安全容器。 默认情况下,Skype for Business Server 使用默认 SIP 域作为其 OAuth 领域。 其他 SIP 命名空间添加到 OAuth 证书中的“使用者替代名称”列表。
Skype for Business Server 支持三种服务器到服务器的身份验证方案。 使用 Skype for Business Server,你可以:
在本地安装 Skype for Business Server 和 Exchange 和/或 SharePoint Server 的本地安装之间配置服务器到服务器身份验证。
在 Microsoft 365 或 Office 365 组件对之间配置服务器到服务器身份验证, (例如,在 Microsoft Exchange Server 和 Skype for Business Server 之间,或者在 Skype for Business Server 与 SharePoint) 之间配置服务器到服务器身份验证。
在跨界环境中配置服务器到服务器身份验证, (即本地服务器与 Microsoft 365 或 Office 365 组件) 之间的服务器到服务器身份验证。
目前,只有 Exchange 2013、SharePoint Server、Lync Server 2013、Skype for Business Server 2015 和 Skype for Business 2019 支持服务器到服务器身份验证;如果未运行其中一台服务器,则无法完全实现 OAuth 身份验证。
还应指出,服务器到服务器身份验证是可选的:如果 Skype for Business Server 不需要与其他服务器(如 Exchange) ) (通信,则可以完全跳过服务器到服务器身份验证。 如果已为 Lync Server 2013 和其他应用程序配置了服务器到服务器身份验证,则无需为 Skype for Business Server 重新进行身份验证。
但是,如果要使用 Skype for Business Server 中的某些功能(例如“统一联系人存储”),则需要服务器到服务器身份验证。使用统一联系人存储时,Skype for Business Server 联系人信息存储在 Exchange 中,而不是存储在 Skype for Business Server 中;这使用户可以拥有一组可从 Skype for Business、Outlook 或 Outlook Web Access 中轻松访问的联系人。 由于统一联系人存储要求 Skype for Business Server 与 Exchange 共享信息,因此必须使用服务器到服务器身份验证才能部署该功能。 如果选择使用 Exchange 存档,则还需要服务器到服务器身份验证,其中即时消息会话的脚本保存为 Exchange 电子邮件而不是单个数据库记录。
若要使 Microsoft 365 或 Office 365 版本的 Skype for Business Server 与其 Exchange 对应服务器通信,Skype for Business Server 必须首先从授权服务器获取安全令牌。 然后,Skype for Business Server 使用该安全令牌向 Exchange 标识自身。 Microsoft 365 或 Office 365 版本的 Exchange 必须经历相同的过程才能与 Skype for Business Server 通信。
但是,对于两个 Microsoft 服务器之间的本地服务器到服务器身份验证,无需使用合作伙伴令牌服务器。 Skype for Business Server 和 Exchange 等服务器产品具有内置令牌服务器,可用于与其他 Microsoft 服务器 ((例如支持服务器到服务器身份验证的 SharePoint Server) )进行身份验证。 例如,Skype for Business Server 可以自行颁发和签名安全令牌,然后使用该令牌与 Exchange 通信。 在这种情况下,不需要合作伙伴令牌服务器。
若要为 Skype for Business Server 的本地实现配置服务器到服务器身份验证,必须执行两项操作:
将证书分配给内置的 Skype for Business Server 令牌颁发者。
将 Skype for Business Server 与通信的服务器配置为“合作伙伴应用程序”。例如,如果 Skype for Business Server 需要与 Exchange 通信,则需要将 Exchange 配置为合作伙伴应用程序。
注意
“合作伙伴应用程序”是 Skype for Business Server 可以直接与之交换安全令牌的任何应用程序,而无需通过第三方安全令牌服务器。
OAuth 是产品的核心部分,无法禁用或删除。