在 Lync Server 2013 中管理服务器到服务器的身份验证 (OAuth) 和合作伙伴应用程序
上次修改的主题: 2015-05-14
Microsoft Lync Server 2013 必须能够安全、无缝地与其他应用程序和服务器产品通信。 例如,可以配置 Lync Server 2013,以便联系人数据和/或存档数据存储在 2013 Microsoft Exchange Server;但是,只有 Lync Server 和 Exchange 能够安全地相互通信,才能执行此操作。 同样,也可以从 Microsoft SharePoint Server 内部安排 Lync Server 会议;但是,仅当 sharePoint 和 Lync Server (两台服务器) 相互信任时,才可以执行此操作。 尽管可以使用一种身份验证机制进行 Lync 到 Exchange 通信,并使用单独的机制进行 Lync 到 SharePoint 通信,但更好、更高效的方法是将标准化方法用于所有服务器到服务器的身份验证和授权。
Lync Server 2013 采用单一标准化方法进行服务器到服务器身份验证。 对于 2013 版本,Lync Server 2013 (以及其他 Microsoft Server 产品(包括 Exchange 2013 和 Microsoft SharePoint Server) 支持 OAuth (开放授权) 协议进行服务器到服务器的身份验证和授权。 使用 OAuth 时,许多主要网站使用的标准授权协议、用户凭据和密码不会从一台计算机传递到另一台计算机。 但是,身份验证和授权是基于安全令牌的交换;这些令牌会将访问权限授予特定时间量的一组特定资源。
OAuth 身份验证通常涉及到三方:一台授权服务器和两个需要相互通信的领域。 (还可以在不使用授权服务器的情况下进行服务器到服务器身份验证,此文档稍后将讨论一个过程。) 安全令牌由授权服务器颁发, (也称为安全令牌服务器,) 需要通信的两个领域:这些令牌验证来自一个领域的通信是否应受另一个领域的信任。 例如,授权服务器可能会颁发令牌,以验证来自特定 Lync Server 2013 领域的用户是否能够访问指定的 Exchange 2013 领域,反之亦然。
注意
领域只是一个安全容器。 默认情况下,Lync Server 2013 使用默认 SIP 域作为其 OAuth 领域。 其他 SIP 命名空间添加到 OAuth 证书中的“使用者替代名称”列表。
Lync Server 2013 支持三种服务器到服务器的身份验证方案。 使用 Lync Server 2013,可以:
在 Lync Server 2013 的本地安装与 Exchange 2013 和/或 Microsoft SharePoint Server 的本地安装之间配置服务器到服务器身份验证。
在一对 Microsoft 365 组件之间配置服务器到服务器的身份验证 (例如,在 Microsoft Exchange 和 Microsoft Lync Server 之间,或者在 Microsoft Lync Server 和 Microsoft SharePoint) 之间。
在跨界环境中配置服务器到服务器的身份验证 (即本地服务器与 Microsoft 365 组件) 之间的服务器到服务器身份验证。
请注意,目前只有 Exchange 2013、SharePoint Server 和 Lync Server 2013 支持服务器到服务器身份验证;如果未运行这些服务器之一,则无法完全实现 OAuth 身份验证。
还应指出,不需要使用服务器到服务器的身份验证:不需要服务器到服务器的身份验证才能部署 Lync Server 2013。 如果 Lync Server 2013 不需要与其他服务器(例如 Exchange 2013) ) (通信,则不需要服务器到服务器的身份验证。
但是,如果要使用 Lync Server 的某些新功能(例如“统一联系人存储”),则需要服务器到服务器的身份验证。通过统一的联系人存储,Lync Server 2013 联系人信息存储在 Exchange 2013 中,而不是存储在 Lync Server 中;这使用户能够拥有一组可从 Lync、Microsoft Outlook 或 Microsoft Outlook Web Access 中轻松访问的联系人。 由于统一联系人存储要求 Lync Server 2013 与 Exchange 2013 共享信息,因此必须使用服务器到服务器的身份验证才能部署该功能。 如果选择使用 Exchange 存档(即时消息会话的脚本保存为 Exchange 2013 电子邮件而不是单个数据库记录),则还需要服务器到服务器的身份验证。
若要使 Microsoft 365 版本的 Lync Server 与其 Exchange 对应服务器通信,Lync Server 2013 必须首先从授权服务器获取安全令牌。 然后,Lync Server 使用该安全令牌向 Exchange 标识自身。 Microsoft 365 版本的 Exchange 必须经历相同的过程才能与 Lync Server 2013 通信。
但是,对于两台 Microsoft 服务器之间的本地服务器到服务器身份验证,不需要使用第三方令牌服务器。 Lync Server 2013 和 Exchange 2013 等服务器产品具有内置令牌服务器,可用于其他 Microsoft 服务器 ((如支持服务器到服务器身份验证的 SharePoint 服务器) )进行身份验证。 例如,Lync Server 2013 可以自行颁发和签名安全令牌,然后使用该令牌与 Exchange 2013 通信。 在此类情况下,不需要第三方令牌服务器。
若要为 Lync Server 2013 的本地实现配置服务器到服务器身份验证,必须执行两项操作:
将证书分配给 Lync Server 的内置令牌颁发者。
将 Lync Server 2013 将与之通信的服务器配置为“合作伙伴应用程序”。例如,如果 Lync Server 2013 需要与 Exchange 2013 通信,则需要将 Exchange 配置为合作伙伴应用程序。
注意
“合作伙伴应用程序”是 Lync Server 2013 可以直接与之交换安全令牌的任何应用程序,而无需通过第三方安全令牌服务器。
请注意,OAuth 是产品的核心部分,不可禁用或删除。