비즈니스용 Skype 서버에서 서버 간 인증 (OAuth) 및 파트너 응용 프로그램 관리Manage server-to-server authentication (OAuth) and partner applications in Skype for Business Server

요약: 비즈니스용 Skype 서버에서 OAuth 및 파트너 응용 프로그램을 관리 합니다.Summary: Manage OAuth and partner applications in Skype for Business Server.

비즈니스용 Skype 서버는 다른 응용 프로그램 및 서버 제품과 안전 하 고 원활 하 게 통신할 수 있어야 합니다.Skype for Business Server must be able to securely, and seamlessly, communicate with other applications and server products. 예를 들어 연락처 데이터 및/또는 보관 데이터가 Microsoft Exchange Server 2013에 저장 되도록 비즈니스용 Skype 서버를 구성할 수 있습니다. 하지만 비즈니스용 Skype 서버와 Exchange가 서로 안전 하 게 통신할 수 있는 경우에만이 작업을 수행할 수 있습니다.For example, you can configure Skype for Business Server so that contact data and/or archiving data is stored in Microsoft Exchange Server 2013; however, this can only be done if Skype for Business Server and Exchange are able to securely communicate with one another. 마찬가지로 Office Web Apps 서버 내에서 비즈니스용 Skype 서버 회의를 예약할 수 있습니다. 두 서버 (SharePoint 및 비즈니스용 Skype 서버)가 서로 신뢰 하는 경우에만이 작업을 수행할 수 있습니다.Likewise, you can schedule a Skype for Business Server conference from within Office Web Apps Server; again, this can only be done if the two servers (SharePoint and Skype for Business Server) trust one another. 비즈니스용 Skype 서버와 Exchange 간의 통신에는 하나의 인증 메커니즘을 사용할 수 있지만 비즈니스용 Skype 서버 및 SharePoint 통신을 위한 별도의 메커니즘을 사용 하는 경우에는 모든 서버 간 인증 및 권한 부여에 대해 표준화 된 방법을 사용 하는 것이 더 효과적이 고 효율적인 방법입니다.Although it's possible to use one authentication mechanism for communication between Skype for Business Server and Exchange but a separate mechanism for Skype for Business Server and SharePoint communication, a better and more efficient approach is to use a standardized method for all server-to-server authentication and authorization.

서버 간 인증에 표준화 된 단일 방법을 사용 하는 것은 비즈니스용 Skype 서버에서 수행 하는 방법입니다.Using a single, standardized method for server-to-server authentication is the approach taken by Skype for Business Server. Office server 2013 release부터 시작 하 여 비즈니스용 Skype 서버 및 Exchange Server 및 SharePoint Server를 비롯 한 기타 Microsoft Server 제품에서 서버 간 인증 및 권한 부여에 대 한 OAuth (Open Authorization) 프로토콜을 지원 했습니다.Started with Office Servers 2013 release, Skype for Business Server (as well as other Microsoft Server products, including Exchange Server and SharePoint Server) supported the OAuth (Open Authorization) protocol for server-to-server authentication and authorization. 대부분의 주요 웹 사이트에서 사용되는 표준 권한 부여 프로토콜인 OAuth를 사용하는 경우 사용자 자격 증명과 암호가 컴퓨터 간에 전달되지 않습니다.With OAuth, a standard authorization protocol used by a number of major websites, user credentials and passwords are not passed from one computer to another. 대신 인증 및 권한 부여는 보안 토큰 교환을 기반으로 하며, 이러한 토큰이 일정 기간 동안 특정 리소스 집합에 대한 액세스 권한을 부여합니다.Instead, authentication and authorization is based on the exchange of security tokens; these tokens grant access to a specific set of resources for a specific amount of time.

OAuth 인증은 일반적으로 한 명의 인증 서버와 서로 통신 해야 하는 두 개의 영역에 대 한 세 가지 당사자를 포함 합니다.OAuth authentication typically involves three parties: a single authorization server and the two realms that need to communicate with one another. 인증 서버를 사용 하지 않고 서버 간 인증을 수행할 수도 있으며이 문서 뒷부분에서 설명할 프로세스입니다. 보안 토큰은 통신 해야 하는 두 영역에 대 한 인증 서버 (보안 토큰 서버 라고도 함)에서 발급 합니다. 이러한 토큰은 한 영역에서 시작 되는 통신을 다른 영역에서 신뢰 해야 하는지 확인 합니다.(You can also do server-to-server authentication without using an authorization server, a process that will be discussed later in this document.) Security tokens are issued by the authorization server (also known as a security token server) to the two realms that need to communicate; these tokens verify that communications originating from one realm should be trusted by the other realm. 예를 들어 권한 부여 서버는 특정 비즈니스용 Skype 서버 영역의 사용자가 지정 된 Exchange 영역에 액세스할 수 있는지 여부를 확인 하는 토큰과 토큰을 발급할 수 있습니다.For example, the authorization server might issue tokens that verify that users from a specific Skype for Business Server realm are able to access a specified Exchange realm, and vice-versa.

참고

영역은 단순한 보안 컨테이너입니다.A realm is simply a security container. 기본적으로 비즈니스용 Skype 서버는 기본 SIP 도메인을 OAuth 영역으로 사용 합니다.By default, Skype for Business Server uses your default SIP domain as its OAuth realm. 추가 SIP 네임 스페이스가 OAuth 인증서의 주체 대체 이름 목록에 추가 됩니다.Additional SIP namespaces are added to the Subject Alternate Name list in the OAuth certificate.

비즈니스용 Skype 서버에서는 서버 간 인증 시나리오가 세 가지로 지원 됩니다.Skype for Business Server supports three server-to-server authentication scenarios. 비즈니스용 Skype 서버를 사용 하 여 다음 작업을 수행할 수 있습니다.With Skype for Business Server, you can:

  • 비즈니스용 Skype 서버의 온-프레미스 설치와 Exchange 및/또는 SharePoint Server의 온-프레미스 설치 간에 서버 간 인증을 구성 합니다.Configure server-to-server authentication between an on-premises installation of Skype for Business Server and an on-premises installation of Exchange and/or SharePoint Server.

  • 365 365 Microsoft Exchange Server 및 비즈니스용 Skype 서버 간, 또는 비즈니스용 Skype 서버와 SharePoint 간의 연결을 사용 하 여 서버 간 인증을 구성 합니다.Configure server-to-server authentication between a pair of Microsoft 365 or Office 365 components (for example, between Microsoft Exchange Server and Skype for Business Server, or between Skype for Business Server and SharePoint).

  • 크로스-프레미스 환경 (즉, 온-프레미스 서버와 Microsoft 365 또는 Office 365 구성 요소 간의 서버 간 인증)에서 서버 간 인증을 구성 합니다.Configure server-to-server authentication in a cross-premises environment (that is, server-to-server authentication between an on-premises server and a Microsoft 365 or Office 365 component).

이 시점에서 Exchange 2013, SharePoint Server, Lync Server 2013, 비즈니스용 Skype 서버 2015 및 비즈니스용 Skype 2019은 서버 간 인증을 지원 합니다. 이러한 서버 중 하나를 실행 하 고 있지 않으면 OAuth 인증을 완벽 하 게 구현할 수 없게 됩니다.Note that, at this point in time, only Exchange 2013, SharePoint Server, Lync Server 2013, Skype for Business Server 2015, and Skype for Business 2019 support server-to-server authentication; if you are not running one of these servers, you will not be able to fully implement OAuth authentication.

또한 서버 간 인증이 선택적입니다. 비즈니스용 Skype 서버에서 Exchange와 같은 다른 서버와 통신할 필요가 없는 경우에는 서버 간 인증을 완전히 건너뛸 수 있습니다.It should also be pointed out that server-to-server authentication is optional: If Skype for Business Server does not need to communicate with other servers (such as Exchange) then server-to-server authentication can be skipped altogether. Lync Server 2013 및 기타 응용 프로그램에 대해 서버 간 인증이 이미 구성 되어 있는 경우 비즈니스용 Skype 서버에서 다시 수행할 필요가 없습니다.If server-to-server authentication is already configured for Lync Server 2013 and other applications, there's no need to re-do it for Skype for Business Server.

그러나 "통합 연락처 저장소"와 같은 비즈니스용 Skype 서버의 일부 기능을 사용 하려는 경우에는 서버 간 인증이 필요 합니다.However, server-to-server authentication is required if you want to use some of the features in Skype for Business Server, such as the "unified contact store." 통합 연락처 저장소를 사용 하는 경우 비즈니스용 Skype 서버 연락처 정보가 비즈니스용 Skype 서버 대신 Exchange에 저장 됩니다. 이를 통해 사용자는 비즈니스용 Skype, Outlook 또는 Outlook Web Access에서 쉽게 액세스할 수 있는 단일 연락처 집합을 사용할 수 있습니다.With unified contact store, Skype for Business Server contact information is stored in Exchange instead of in Skype for Business Server; this enables users to have a single set of contacts that is readily accessible from within Skype for Business, Outlook, or Outlook Web Access. 통합 연락처 저장소에서 Exchange와 정보를 공유 하려면 비즈니스용 Skype 서버가 필요 하기 때문에 기능을 배포 하려면 서버 간 인증을 사용 해야 합니다.Because the unified contact store requires Skype for Business Server to share information with Exchange, you must use server-to-server authentication in order to deploy the feature. 서버 간 인증은 인스턴트 메시징 세션의 성적 기록이 개별 데이터베이스 레코드가 아닌 Exchange 전자 메일로 저장 되는 Exchange 보관을 사용 하도록 선택한 경우에도 필요 합니다.Server-to-server authentication is also required if you choose to use Exchange archiving, in which the transcripts of instant messaging sessions are saved as Exchange emails rather than as individual database records.

Microsoft 365 또는 Office 365 버전의 비즈니스용 Skype 서버가 해당 Exchange와 통신 하려면 먼저 비즈니스용 Skype 서버에서 인증 서버 로부터 보안 토큰을 받아야 합니다.For the Microsoft 365 or Office 365 version of Skype for Business Server to communicate with its Exchange counterpart, Skype for Business Server must first obtain a security token from the authorization server. 그런 다음 비즈니스용 Skype 서버는 해당 보안 토큰을 사용 하 여 Exchange에 자신을 식별 합니다.Skype for Business Server then uses that security token to identify itself to Exchange. Microsoft 365 또는 Office 365 버전의 Exchange에서는 비즈니스용 Skype 서버와 통신 하기 위해 동일한 프로세스를 거쳐야 합니다.The Microsoft 365 or Office 365 versions of Exchange must go through the same process in order to communicate with Skype for Business Server.

그러나 두 Microsoft 서버 간의 온-프레미스 서버 간 인증에서는 타사 토큰 서버를 사용할 필요가 없습니다.However, for on-premises server-to-server authentication between two Microsoft servers there is no need to use a third-party token server. 비즈니스용 Skype 서버 및 Exchange와 같은 서버 제품에는 서버 간 인증을 지 원하는 다른 Microsoft 서버 (예: SharePoint Server)의 인증 목적으로 사용할 수 있는 기본 제공 토큰 서버가 있습니다.Server products such as Skype for Business Server and Exchange have a built-in token server that can be used for authentication purposes with other Microsoft servers (such as SharePoint Server) that support server-to-server authentication. 예를 들어 비즈니스용 Skype 서버는 자체적으로 보안 토큰을 발급 하 고 서명을 한 다음 해당 토큰을 사용 하 여 Exchange와 통신할 수 있습니다.For example, Skype for Business Server can issue and sign a security token by itself, then use that token to communicate with Exchange. 이러한 경우에는 타사 토큰 서버가 필요하지 않습니다.In a case like this, there is no need for a third-party token server.

비즈니스용 Skype 서버를 온-프레미스 구현에 대해 서버 간 인증을 구성 하려면 다음 두 가지 작업을 수행 해야 합니다.In order to configure server-to-server authentication for an on-premises implementation of Skype for Business Server, you must do two things:

  • 기본 제공 되는 비즈니스용 Skype 서버 토큰 발급자에 인증서를 할당 합니다.Assign a certificate to the built-in Skype for Business Server token issuer.

  • 비즈니스용 Skype 서버에서 통신할 서버를 "파트너 응용 프로그램"으로 구성 합니다.Configure the server that Skype for Business Server will communicate with to be a "partner application." 예를 들어 비즈니스용 Skype 서버가 Exchange와 통신 해야 하는 경우 Exchange를 파트너 응용 프로그램으로 구성 해야 합니다.For example, if Skype for Business Server needs to communicate with Exchange, you will need to configure Exchange to be a partner application.

참고

"파트너 응용 프로그램" 이란 비즈니스용 Skype 서버가 타사 보안 토큰 서버를 거치지 않고도 보안 토큰을 직접 교환할 수 있는 응용 프로그램입니다.A "partner application" is any application that Skype for Business Server can directly exchange security tokens with, without having to go through a third-party security token server.

OAuth는 제품의 핵심 부분 이므로 사용 하지 않도록 설정 하거나 제거할 수 없습니다.Note that OAuth is a core part of the product and cannot be disabled or removed.

참고 항목See also

비즈니스용 Skype 서버에 서버 간 인증 인증서 할당Assign a server-to-server authentication certificate to Skype for Business Server

비즈니스용 Skype 서버에서 하이브리드 환경 구성Configure a hybrid environment in Skype for Business Server