Gérer l’authentification de serveur à serveur (OAuth) et les applications partenaires dans Skype Entreprise Server
Résumé: Gérer les applications OAuth et partenaires dans Skype Entreprise Server.
Skype Entreprise Server doit être en mesure de communiquer de manière sécurisée et transparente avec d’autres applications et produits serveur. Par exemple, vous pouvez configurer Skype Entreprise Server afin que les données de contact et/ou d’archivage soient stockées dans Microsoft Exchange Server 2013 ; Toutefois, cette opération ne peut être effectuée que si Skype Entreprise Server et Exchange sont en mesure de communiquer en toute sécurité entre eux. De même, vous pouvez planifier une conférence Skype Entreprise Server à partir d’Office Web Apps Server. Là encore, cette opération ne peut être effectuée que si les deux serveurs (SharePoint et Skype Entreprise Server) se font confiance. Bien qu’il soit possible d’utiliser un mécanisme d’authentification pour la communication entre Skype Entreprise Server et Exchange, mais un mécanisme distinct pour la communication Skype Entreprise Server et SharePoint, une approche meilleure et plus efficace consiste à utiliser une méthode standardisée pour l’authentification et l’autorisation de serveur à serveur.
L’utilisation d’une seule méthode standardisée pour l’authentification de serveur à serveur est l’approche adoptée par Skype Entreprise Server. Démarré avec la version Office Server 2013, Skype Entreprise Server (et d’autres produits Microsoft Server, notamment Exchange Server et SharePoint Server) a pris en charge le protocole OAuth (Open Authorization) pour l’authentification et l’autorisation de serveur à serveur. Avec OAuth, un protocole d’autorisation standard utilisé par de nombreux sites web principaux, les informations d’identification et les mots de passe des utilisateurs ne sont pas transmis d’un ordinateur à un autre. Au lieu de cela, l’authentification et l’autorisation sont basées sur l’échange de jetons de sécurité ; ces jetons accordent l’accès à un ensemble spécifique de ressources pendant un laps de temps spécifique.
L’authentification OAuth implique généralement trois parties : un serveur d’autorisation unique et les deux domaines qui doivent communiquer entre eux. (Vous pouvez également effectuer une authentification de serveur à serveur sans utiliser de serveur d’autorisation, processus décrit plus loin dans ce document.) Les jetons de sécurité sont émis par le serveur d’autorisation (également appelé serveur de jetons de sécurité) pour les deux domaines qui doivent communiquer ; ces jetons vérifient que les communications provenant d’un domaine doivent être approuvées par l’autre domaine. Par exemple, le serveur d’autorisation peut émettre des jetons qui vérifient que les utilisateurs d’un domaine Skype Entreprise Server spécifique peuvent accéder à un domaine Exchange spécifié, et vice versa.
Remarque
Un domaine est tout simplement un conteneur de sécurité. Par défaut, Skype Entreprise Server utilise votre domaine SIP par défaut comme domaine OAuth. Des espaces de noms SIP supplémentaires sont ajoutés à la liste Autre nom du sujet du certificat dans le certificat OAuth.
Skype Entreprise Server prend en charge trois scénarios d’authentification de serveur à serveur. Avec Skype Entreprise Server, vous pouvez :
Configurez l’authentification de serveur à serveur entre une installation locale de Skype Entreprise Server et une installation locale d’Exchange et/ou SharePoint Server.
Configurez l’authentification de serveur à serveur entre une paire de composants Microsoft 365 ou Office 365 (par exemple, entre Microsoft Exchange Server et Skype Entreprise Server, ou entre Skype Entreprise Server et SharePoint).
Configurez l’authentification de serveur à serveur dans un environnement intersite (autrement dit, l’authentification de serveur à serveur entre un serveur local et un composant Microsoft 365 ou Office 365).
À ce stade, seuls Exchange 2013, SharePoint Server, Lync Server 2013, Skype Entreprise Server 2015 et Skype Entreprise 2019 prennent en charge l’authentification de serveur à serveur . Si vous n’exécutez pas l’un de ces serveurs, vous ne pourrez pas implémenter entièrement l’authentification OAuth.
Il convient également de souligner que l’authentification de serveur à serveur est facultative : si Skype Entreprise Server n’a pas besoin de communiquer avec d’autres serveurs (comme Exchange), l’authentification de serveur à serveur peut être complètement ignorée. Si l’authentification de serveur à serveur est déjà configurée pour Lync Server 2013 et d’autres applications, il n’est pas nécessaire de la recréer pour Skype Entreprise Server.
Toutefois, l’authentification de serveur à serveur est requise si vous souhaitez utiliser certaines des fonctionnalités de Skype Entreprise Server, telles que le « magasin de contacts unifié ». Avec le magasin de contacts unifié, les informations de contact de Skype Entreprise Server sont stockées dans Exchange plutôt que dans Skype Entreprise Server. Cela permet aux utilisateurs d’avoir un ensemble unique de contacts facilement accessible à partir de Skype Entreprise, Outlook ou Outlook Web Access. Étant donné que le magasin de contacts unifié exige que Skype Entreprise Server partage des informations avec Exchange, vous devez utiliser l’authentification de serveur à serveur pour déployer la fonctionnalité. L’authentification de serveur à serveur est également requise si vous choisissez d’utiliser l’archivage Exchange, dans lequel les transcriptions des sessions de messagerie instantanée sont enregistrées sous forme d’e-mails Exchange plutôt que sous forme d’enregistrements de base de données individuels.
Pour que la version Microsoft 365 ou Office 365 de Skype Entreprise Server communique avec son équivalent Exchange, Skype Entreprise Server doit d’abord obtenir un jeton de sécurité auprès du serveur d’autorisation. Skype Entreprise Server utilise ensuite ce jeton de sécurité pour s’identifier auprès d’Exchange. Les versions Microsoft 365 ou Office 365 d’Exchange doivent suivre le même processus pour communiquer avec Skype Entreprise Server.
Toutefois, pour l’authentification serveur à serveur local entre deux serveurs Microsoft, il n’est pas nécessaire d’utiliser un serveur de jetons partenaire. Les produits serveur tels que Skype Entreprise Server et Exchange disposent d’un serveur de jetons intégré qui peut être utilisé à des fins d’authentification avec d’autres serveurs Microsoft (tels que SharePoint Server) qui prennent en charge l’authentification de serveur à serveur. Par exemple, Skype Entreprise Server peut émettre et signer un jeton de sécurité par lui-même, puis utiliser ce jeton pour communiquer avec Exchange. Dans un cas comme celui-ci, il n’est pas nécessaire d’utiliser un serveur de jetons partenaire.
Pour configurer l’authentification de serveur à serveur pour une implémentation locale de Skype Entreprise Server, vous devez effectuer deux opérations :
Attribuez un certificat à l’émetteur de jeton Skype Entreprise Server intégré.
Configurez le serveur avec lequel Skype Entreprise Server communique pour qu’il soit une « application partenaire ». Par exemple, si Skype Entreprise Server doit communiquer avec Exchange, vous devez configurer Exchange pour qu’il soit une application partenaire.
Remarque
Une « application partenaire » est toute application avec laquelle Skype Entreprise Server peut échanger directement des jetons de sécurité, sans avoir à passer par un serveur de jetons de sécurité tiers.
OAuth est une partie principale du produit et ne peut pas être désactivé ou supprimé.
Voir aussi
Attribuer un certificat d’authentification de serveur à serveur à Skype Entreprise Server
Configurer un environnement hybride dans Skype Entreprise Server