Verwalten von Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in Skype for Business Server
Zusammenfassung: Verwalten von OAuth- und Partneranwendungen in Skype for Business Server
Skype for Business Server muss sicher und nahtlos mit anderen Anwendungen und Serverprodukten kommunizieren können. Beispielsweise können Sie Skype for Business Server so konfigurieren, dass Kontaktdaten und/oder Archivierungsdaten in Microsoft Exchange Server 2013 gespeichert werden. Dies ist jedoch nur möglich, wenn Skype for Business Server und Exchange sicher miteinander kommunizieren können. Ebenso können Sie eine Skype for Business Server-Konferenz in Office Web Apps Server planen. dies ist nur möglich, wenn die beiden Server (SharePoint und Skype for Business Server) einander vertrauen. Obwohl es möglich ist, einen Authentifizierungsmechanismus für die Kommunikation zwischen Skype for Business Server und Exchange zu verwenden, aber einen separaten Mechanismus für die Skype for Business Server- und SharePoint-Kommunikation, besteht ein besserer und effizienterer Ansatz darin, eine standardisierte Methode für die gesamte Server-zu-Server-Authentifizierung und -Autorisierung zu verwenden.
Die Verwendung einer einzelnen, standardisierten Methode für die Server-zu-Server-Authentifizierung ist der Ansatz von Skype for Business Server. Skype for Business Server (und andere Microsoft Server-Produkte, einschließlich Exchange Server und SharePoint Server) unterstützte das OAuth-Protokoll (Open Authorization) für die Server-zu-Server-Authentifizierung und -Autorisierung. Bei OAuth, einem Standardautorisierungsprotokoll, das von vielen wichtigen Websites verwendet wird, werden Benutzeranmeldeinformationen und Kennwörter nicht von einem Computer an einen anderen übergeben. Stattdessen basieren Authentifizierung und Autorisierung auf dem Austausch von Sicherheitstoken; Diese Token gewähren für einen bestimmten Zeitraum Zugriff auf eine bestimmte Gruppe von Ressourcen.
Die OAuth-Authentifizierung umfasst in der Regel drei Parteien: einen einzelnen Autorisierungsserver und die beiden Bereiche, die miteinander kommunizieren müssen. (Sie können auch eine Server-zu-Server-Authentifizierung durchführen, ohne einen Autorisierungsserver zu verwenden, ein Prozess, der weiter unten in diesem Dokument erläutert wird.) Sicherheitstoken werden vom Autorisierungsserver (auch als Sicherheitstokenserver bezeichnet) für die beiden Bereiche ausgestellt, die kommunizieren müssen. Diese Token stellen sicher, dass kommunikationen, die aus einem Bereich stammen, vom anderen Bereich als vertrauenswürdig eingestuft werden sollten. Der Autorisierungsserver kann beispielsweise Token ausgeben, die überprüfen, ob Benutzer aus einem bestimmten Skype for Business Server-Bereich auf einen angegebenen Exchange-Bereich zugreifen können und umgekehrt.
Hinweis
Ein Bereich ist einfach ein Sicherheitscontainer. Standardmäßig verwendet Skype for Business Server Ihre Standard-SIP-Domäne als OAuth-Bereich. Weitere SIP-Namespaces werden der Liste mit alternativen Antragstellernamen im OAuth-Zertifikat hinzugefügt.
Skype for Business Server unterstützt drei Server-zu-Server-Authentifizierungsszenarien. Skype for Business Server ermöglicht Folgendes:
Konfigurieren Sie die Server-zu-Server-Authentifizierung zwischen einer lokalen Installation von Skype for Business Server und einer lokalen Installation von Exchange und/oder SharePoint Server.
Konfigurieren Sie die Server-zu-Server-Authentifizierung zwischen einem Paar von Microsoft 365- oder Office 365-Komponenten (z. B. zwischen Microsoft Exchange Server und Skype for Business Server oder zwischen Skype for Business Server und SharePoint).
Konfigurieren sie die Server-zu-Server-Authentifizierung in einer standortübergreifenden Umgebung (d. b. die Server-zu-Server-Authentifizierung zwischen einem lokalen Server und einer Microsoft 365- oder Office 365-Komponente).
Derzeit unterstützen nur Exchange 2013, SharePoint Server, Lync Server 2013, Skype for Business Server 2015 und Skype for Business 2019 die Server-zu-Server-Authentifizierung; Wenn Sie keinen dieser Server ausführen, können Sie die OAuth-Authentifizierung nicht vollständig implementieren.
Es sollte auch darauf hingewiesen werden, dass die Server-zu-Server-Authentifizierung optional ist: Wenn Skype for Business Server nicht mit anderen Servern (z. B. Exchange) kommunizieren muss, kann die Server-zu-Server-Authentifizierung vollständig übersprungen werden. Wenn die Server-zu-Server-Authentifizierung bereits für Lync Server 2013 und andere Anwendungen konfiguriert ist, ist es nicht erforderlich, sie für Skype for Business Server erneut durchzuführen.
Die Server-zu-Server-Authentifizierung ist jedoch erforderlich, wenn Sie einige der Features in Skype for Business Server verwenden möchten, z. B. den "einheitlichen Kontaktspeicher". Beim einheitlichen Kontaktspeicher werden Skype for Business Server-Kontaktinformationen in Exchange und nicht in Skype for Business Server gespeichert. Dadurch können Benutzer über eine einzelne Gruppe von Kontakten verfügen, auf die in Skype for Business, Outlook oder Outlook Web Access leicht zugegriffen werden kann. Da der einheitliche Kontaktspeicher erfordert, dass Skype for Business Server Informationen für Exchange freigibt, müssen Sie die Server-zu-Server-Authentifizierung verwenden, um das Feature bereitzustellen. Die Server-zu-Server-Authentifizierung ist auch erforderlich, wenn Sie sich für die Exchange-Archivierung entscheiden, bei der die Transkripte von Chatsitzungen als Exchange-E-Mails und nicht als einzelne Datenbankdatensätze gespeichert werden.
Damit die Microsoft 365- oder Office 365-Version von Skype for Business Server mit ihrer Exchange-Entsprechung kommunizieren kann, muss Skype for Business Server zunächst ein Sicherheitstoken vom Autorisierungsserver abrufen. Skype for Business Server verwendet dann dieses Sicherheitstoken, um sich bei Exchange zu identifizieren. Die Microsoft 365- oder Office 365-Versionen von Exchange müssen denselben Prozess durchlaufen, um mit Skype for Business Server zu kommunizieren.
Für die lokale Server-zu-Server-Authentifizierung zwischen zwei Microsoft-Servern ist es jedoch nicht erforderlich, einen Partnertokenserver zu verwenden. Serverprodukte wie Skype for Business Server und Exchange verfügen über einen integrierten Tokenserver, der für Authentifizierungszwecke mit anderen Microsoft-Servern (z. B. SharePoint Server) verwendet werden kann, die die Server-zu-Server-Authentifizierung unterstützen. Beispielsweise kann Skype for Business Server selbst ein Sicherheitstoken ausstellen und signieren und dieses Token dann für die Kommunikation mit Exchange verwenden. In einem solchen Fall ist kein Partnertokenserver erforderlich.
Um die Server-zu-Server-Authentifizierung für eine lokale Implementierung von Skype for Business Server zu konfigurieren, müssen Sie zwei Schritte ausführen:
Weisen Sie dem integrierten Skype for Business Server-Tokenaussteller ein Zertifikat zu.
Konfigurieren Sie den Server, mit dem Skype for Business Server kommuniziert, als "Partneranwendung". Wenn Skype for Business Server beispielsweise mit Exchange kommunizieren muss, müssen Sie Exchange als Partneranwendung konfigurieren.
Hinweis
Eine "Partneranwendung" ist jede Anwendung, mit der Skype for Business Server Sicherheitstoken direkt austauschen kann, ohne einen Sicherheitstokenserver eines Drittanbieters durchlaufen zu müssen.
OAuth ist ein Kernbestandteil des Produkts und kann nicht deaktiviert oder entfernt werden.
Siehe auch
Zuweisen eines Server-zu-Server-Authentifizierungszertifikats zu Skype for Business Server
Konfigurieren einer Hybridumgebung in Skype for Business Server