Gestire l'autenticazione da server a server (OAuth) e le applicazioni partner in Skype for Business Server
Riepilogo: Gestire le applicazioni OAuth e partner in Skype for Business Server.
Skype for Business Server deve essere in grado di comunicare in modo sicuro e senza problemi con altre applicazioni e prodotti server. Ad esempio, è possibile configurare Skype for Business Server in modo che i dati dei contatti e/o i dati di archiviazione vengano archiviati in Microsoft Exchange Server 2013. Questa operazione può tuttavia essere eseguita solo se Skype for Business Server ed Exchange sono in grado di comunicare in modo sicuro tra loro. Analogamente, è possibile pianificare una conferenza di Skype for Business Server dall'interno di Office App Web Server. Anche in questo caso, questa operazione può essere eseguita solo se i due server (SharePoint e Skype for Business Server) si fidano l'uno dell'altro. Anche se è possibile usare un meccanismo di autenticazione per la comunicazione tra Skype for Business Server ed Exchange, ma un meccanismo separato per le comunicazioni di Skype for Business Server e SharePoint, un approccio migliore ed efficiente consiste nell'usare un metodo standardizzato per tutte le autorizzazioni e l'autenticazione da server a server.
L'approccio adottato da Skype for Business Server consiste nell'usare un unico metodo standardizzato per l'autenticazione da server a server. Iniziato con i server di Office 2013 versione, Skype for Business Server (così come altri prodotti Microsoft Server, tra cui Exchange Server e SharePoint Server) supportato il protocollo OAuth (Open Authorization) per l'autenticazione e l'autorizzazione da server a server. Con OAuth, un protocollo di autorizzazione standard usato da numerosi siti Web principali, le credenziali utente e le password non vengono passate da un computer a un altro. L'autenticazione e l'autorizzazione si basano invece sullo scambio di token di sicurezza; questi token concedono l'accesso a un set specifico di risorse per un periodo di tempo specifico.
L'autenticazione OAuth in genere coinvolge tre parti: un singolo server di autorizzazione e le due aree di autenticazione che devono comunicare tra loro. È anche possibile eseguire l'autenticazione da server a server senza usare un server di autorizzazione, processo che verrà discusso più avanti in questo documento. I token di sicurezza vengono emessi dal server di autorizzazione (noto anche come server di token di sicurezza) alle due aree di autenticazione che devono comunicare; questi token verificano che le comunicazioni provenienti da un'area di autenticazione debbano essere considerate attendibili dall'altro reame. Ad esempio, il server di autorizzazione potrebbe emettere token che verificano che gli utenti di un'area di autenticazione di Skype for Business Server specifica siano in grado di accedere a un'area di autenticazione di Exchange specificata e viceversa.
Nota
Un reame è semplicemente un contenitore di sicurezza. Per impostazione predefinita, Skype for Business Server usa il dominio SIP predefinito come area di autenticazione OAuth. All'elenco Nome alternativo oggetto del certificato OAuth vengono aggiunti altri spazi dei nomi SIP.
Skype for Business Server supporta tre scenari di autenticazione da server a server. Con Skype for Business Server è possibile:
Configurare l'autenticazione da server a server tra un'installazione locale di Skype for Business Server e un'installazione locale di Exchange e/o SharePoint Server.
Configurare l'autenticazione da server a server tra una coppia di componenti di Microsoft 365 o Office 365, ad esempio tra Microsoft Exchange Server e Skype for Business Server o tra Skype for Business Server e SharePoint.
Configurare l'autenticazione da server a server in un ambiente tra le versioni locali, ovvero l'autenticazione da server a server tra un server locale e un componente di Microsoft 365 o Office 365.
Si noti che, attualmente, solo Exchange 2013, SharePoint Server, Lync Server 2013, Skype for Business Server 2015 e Skype for Business 2019 supportano l'autenticazione da server a server. Se non si esegue uno di questi server, non sarà possibile implementare completamente l'autenticazione OAuth.
Va anche sottolineato che l'autenticazione da server a server è facoltativa: se Skype for Business Server non ha bisogno di comunicare con altri server (ad esempio Exchange), l'autenticazione da server a server può essere ignorata del tutto. Se l'autenticazione da server a server è già configurata per Lync Server 2013 e altre applicazioni, non è necessario ripetere l'operazione per Skype for Business Server.
Tuttavia, l'autenticazione da server a server è necessaria se si vogliono usare alcune delle caratteristiche di Skype for Business Server, ad esempio l'"archivio contatti unificato". Con l'archivio contatti unificato, Skype for Business Server informazioni di contatto vengono archiviate in Exchange invece che in Skype for Business Server, in modo che gli utenti abbiano un singolo set di contatti facilmente accessibile dall'interno di Skype for Business, Outlook o Outlook Web Access. Poiché l'archivio contatti unificato richiede Skype for Business Server per condividere informazioni con Exchange, è necessario usare l'autenticazione da server a server per distribuire la funzionalità. L'autenticazione da server a server è necessaria anche se si sceglie di usare l'archiviazione di Exchange, in cui le trascrizioni delle sessioni di messaggistica istantanea vengono salvate come messaggi di posta elettronica di Exchange anziché come singoli record di database.
Per comunicare con la versione Exchange Skype for Business Server di Microsoft 365 o Office 365, Skype for Business Server deve prima ottenere un token di sicurezza dal server di autorizzazione. Skype for Business Server usa quindi tale token di sicurezza per identificarsi in Exchange. Le versioni di Microsoft 365 o Office 365 di Exchange devono seguire lo stesso processo per comunicare con Skype for Business Server.
Tuttavia, per l'autenticazione da server a server locale tra due server Microsoft non è necessario usare un server token di terze parti. I prodotti server come Skype for Business Server ed Exchange hanno un server token incorporato che può essere utilizzato per scopi di autenticazione con altri server Microsoft (ad esempio SharePoint Server) che supportano l'autenticazione da server a server. Ad esempio, Skype for Business Server può emettere e firmare un token di sicurezza da solo, quindi usare tale token per comunicare con Exchange. In un caso come questo, non è necessario un server token di terze parti.
Per configurare l'autenticazione da server a server per un'implementazione locale di Skype for Business Server, è necessario eseguire due operazioni:
Assegnare un certificato all'emittente di token Skype for Business Server predefinito.
Configurare il server con cui Skype for Business Server comunicherà come "applicazione partner". Ad esempio, se Skype for Business Server deve comunicare con Exchange, sarà necessario configurare Exchange come applicazione partner.
Nota
Un 'applicazione partner' è qualsiasi applicazione che Skype for Business Server può scambiare direttamente token di sicurezza con, senza dover passare attraverso un server di token di sicurezza di terze parti.
Si noti che OAuth è una parte fondamentale del prodotto e non può essere disabilitato o rimosso.
Vedere anche
Assegnare un certificato di autenticazione da server a server a Skype for Business Server