Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Lync Server 2013
Última modificación del tema: 2015-05-14
Microsoft Lync Server 2013 debe poder comunicarse de forma segura y sin problemas con otras aplicaciones y productos de servidor. Por ejemplo, puede configurar Lync Server 2013 para que los datos de contacto y/o el archivado de datos se almacenen en Microsoft Exchange Server 2013; sin embargo, esto solo puede hacerse si Lync Server y Exchange pueden comunicarse de forma segura entre sí. Del mismo modo, puede programar una conferencia de Lync Server desde Microsoft SharePoint Server; sin embargo, esto solo puede hacerse si los dos servidores (SharePoint y Lync Server) confían entre sí. Aunque es posible usar un mecanismo de autenticación para la comunicación de Lync a Exchange y un mecanismo independiente para la comunicación de Lync a SharePoint, un enfoque mejor y más eficaz es usar un método estandarizado para toda la autenticación y autorización de servidor a servidor.
Usar un único método estandarizado para la autenticación de servidor a servidor es el enfoque adoptado por Lync Server 2013. Para la versión de 2013, Lync Server 2013 (así como otros productos de Microsoft Server, incluidos Exchange 2013 y Microsoft SharePoint Server) admiten el protocolo OAuth (Autorización abierta) para la autenticación y autorización de servidor a servidor. Con OAuth, un protocolo de autorización estándar usado por varios sitios web principales, credenciales de usuario y contraseñas no se pasan de un equipo a otro. En su lugar, la autenticación y la autorización se basan en el intercambio de tokens de seguridad; estos tokens conceden acceso a un conjunto específico de recursos durante un período de tiempo específico.
La autenticación de OAuth suele implicar tres partes: un único servidor de autorización y los dos reinos que necesitan comunicarse entre sí. (También puede realizar la autenticación de servidor a servidor sin usar un servidor de autorización, un proceso que se discutirá más adelante en este documento). Los tokens de seguridad son emitidos por el servidor de autorización (también conocido como un servidor de token de seguridad) a los dos reinos que necesitan comunicarse; estos tokens comprueban que las comunicaciones que proceden de un territorio deben ser de confianza para el otro reino. Por ejemplo, el servidor de autorización podría emitir tokens que comprueben que los usuarios de un territorio específico de Lync Server 2013 puedan acceder a un territorio de Exchange 2013 especificado y viceversa.
Nota
Un dominio es un contenedor de seguridad. De forma predeterminada, Lync Server 2013 usa su dominio SIP predeterminado como su dominio OAuth. Se agregan espacios de nombres SIP a la lista Nombre alternativo del sujeto en el certificado OAuth.
Lync Server 2013 admite tres escenarios de autenticación de servidor a servidor. Con Lync Server 2013 puede:
Configure la autenticación de servidor a servidor entre una instalación local de Lync Server 2013 y una instalación local de Exchange 2013 o Microsoft SharePoint Server.
Configure la autenticación de servidor a servidor entre un par de componentes de Microsoft 365 (por ejemplo, entre Microsoft Exchange y Microsoft Lync Server, o entre Microsoft Lync Server y Microsoft SharePoint).
Configurar la autenticación de servidor a servidor en un entorno entre locales (es decir, autenticación de servidor a servidor entre un servidor local y un componente de Microsoft 365).
Tenga en cuenta que, en este momento, solo Exchange 2013, SharePoint Server y Lync Server 2013 admiten la autenticación de servidor a servidor; si no está ejecutando uno de estos servidores, no podrá implementar completamente la autenticación OAuth.
También debe señalarse que no es necesario usar la autenticación de servidor a servidor: no es necesaria la autenticación de servidor a servidor para implementar Lync Server 2013. Si Lync Server 2013 no necesita comunicarse con otros servidores (como Exchange 2013), no es necesaria la autenticación de servidor a servidor.
Sin embargo, la autenticación de servidor a servidor es necesaria si desea usar algunas de las nuevas características de Lync Server, como el "almacén de contactos unificado". Con el almacén de contactos unificado, la información de contacto de Lync Server 2013 se almacena en Exchange 2013 en lugar de en Lync Server; esto permite a los usuarios tener un único conjunto de contactos al que se puede acceder fácilmente desde Lync, Microsoft Outlook o Microsoft Outlook Web Access. Dado que el almacén de contactos unificado requiere que Lync Server 2013 comparta información con Exchange 2013, debe usar la autenticación de servidor a servidor para implementar la característica. También se requiere autenticación de servidor a servidor si decide usar el archivado de Exchange, en el que las transcripciones de las sesiones de mensajería instantánea se guardan como correos electrónicos de Exchange 2013, en lugar de como registros individuales de la base de datos.
Para que la versión de Microsoft 365 de Lync Server se comunique con su equivalente de Exchange, Lync Server 2013 debe obtener primero un token de seguridad del servidor de autorización. A continuación, Lync Server usa ese token de seguridad para identificarse a sí mismo en Exchange. La versión microsoft 365 de Exchange debe pasar por el mismo proceso para comunicarse con Lync Server 2013.
Sin embargo, para una autenticación de servidor a servidor local entre dos servidores Microsoft, no es necesario usar ningún servidor de tokens de otro proveedor. Los productos de servidor como Lync Server 2013 y Exchange 2013 tienen un servidor de tokens integrado que se puede usar con fines de autenticación con otros servidores de Microsoft (como El servidor de SharePoint) que admiten la autenticación de servidor a servidor. Por ejemplo, Lync Server 2013 puede emitir y firmar un token de seguridad por sí mismo y, a continuación, usar ese token para comunicarse con Exchange 2013. En este caso, no es necesario usar ningún servidor de tokens de un tercero.
Para configurar la autenticación de servidor a servidor para una implementación local de Lync Server 2013, debe hacer dos cosas:
Asigne un certificado al emisor de tokens integrado de Lync Server.
Configure el servidor con el que se comunicará Lync Server 2013 para que sea una "aplicación asociada". Por ejemplo, si Lync Server 2013 necesita comunicarse con Exchange 2013, tendrá que configurar Exchange para que sea una aplicación asociada.
Nota
Una "aplicación de partner" es cualquier aplicación con la que Lync Server 2013 puede intercambiar directamente tokens de seguridad, sin tener que pasar por un servidor de tokens de seguridad de terceros.
Tenga en cuenta que OAuth es una parte fundamental del producto y no se puede desactivar ni eliminar.