在 商務用 Skype Server 中管理 oAuth) 及合作夥伴應用程式 (伺服器對伺服器驗證
總結:在 商務用 Skype Server 中管理 OAuth 和合作夥伴應用程式。
商務用 Skype Server必須能夠安全且順暢地與其他應用程式和伺服器產品通訊。 例如,您可以設定商務用 Skype Server,以便將連絡人資料和/或封存資料儲存在 Microsoft Exchange Server 2013 中;不過,只有商務用 Skype Server和 Exchange 能夠安全地彼此通訊時,才能執行此操作。 同樣地,您也可以從 Office Web Apps Server 內排程商務用 Skype Server會議;同樣地,這只能在兩個伺服器 (SharePoint 並商務用 Skype Server) 彼此信任時才能完成。 雖然您可以使用一種驗證機制來進行商務用 Skype Server與 Exchange 之間的通訊,但商務用 Skype Server和 SharePoint 通訊是獨立的機制,但更有效率的方法是使用標準化方法進行所有伺服器對伺服器驗證與授權。
使用單一標準化的伺服器對伺服器驗證方法,是商務用 Skype Server採取的方法。 從 Office Server 2013 發行開始,商務用 Skype Server (以及其他 Microsoft Server 產品,包括 Exchange Server 和 SharePoint Server) 支援 OAuth (Open Authorization) protocol for server-to server 驗證與授權。 在 OAuth 中,許多主要網站使用的標準授權通訊協定、使用者認證和密碼不會從一部電腦傳遞到另一部電腦。 相反地,驗證和授權是以安全性權杖交換為基礎;這些權杖會在一段特定時間授與特定資源的存取權。
OAuth 驗證通常涉及三方:單一授權伺服器以及需要彼此通訊的兩個領域。 (您也可以在不使用授權伺服器的情況下進行伺服器對伺服器驗證,此程式將在本文稍後討論。) 安全性權杖是由授權伺服器 (也稱為安全性權杖伺服器) 至需要通訊的兩個領域發出;這些權杖可驗證來自某個領域之通訊應受另一個領域信任。 例如,授權伺服器可能會發出權杖,確認特定商務用 Skype Server領域的使用者能夠存取指定的 Exchange 領域,反之亦然。
注意事項
領域只是一個安全容器。 根據預設,商務用 Skype Server使用預設的 SIP 網域做為其 OAuth 領域。 其他 SIP 命名空間會新增至 OAuth 憑證中的主旨替代名稱清單。
商務用 Skype Server支援三種伺服器對伺服器驗證案例。 使用商務用 Skype Server,您可以:
在內部部署安裝 商務用 Skype Server 與 Exchange 和/或 SharePoint Server 的內部部署安裝之間設定伺服器對伺服器驗證。
在一組 Microsoft 365 或Office 365元件之間設定伺服器對伺服器驗證, (例如Microsoft Exchange Server與商務用 Skype Server之間,或商務用 Skype Server和 SharePoint) 之間。
在跨內部部署環境中設定伺服器對伺服器驗證 (,也就是內部部署伺服器與 Microsoft 365 或Office 365元件) 之間的伺服器對伺服器驗證。
請注意,目前只有 Exchange 2013、SharePoint Server、Lync Server 2013、商務用 Skype Server 2015 和 商務用 Skype 2019 支援伺服器對伺服器驗證;如果您不是執行其中一個伺服器,您將無法完全實作 OAuth 驗證。
也請注意,伺服器對伺服器驗證是選用的:如果商務用 Skype Server不需要與其他伺服器通訊, (例如 Exchange) 則伺服器對伺服器驗證可以略過。 如果已針對 Lync Server 2013 和其他應用程式設定伺服器對伺服器驗證,就不需要為商務用 Skype Server重新執行此動作。
不過,如果您想要使用 商務用 Skype Server 中的某些功能,例如「整合連絡人存放區」,則需要伺服器對伺服器驗證。透過整合的連絡人存放區,商務用 Skype Server連絡人資訊會儲存在 Exchange 中,而不是儲存在商務用 Skype Server中;這可讓使用者在商務用 Skype、Outlook 或 Outlook Web Access 內輕鬆存取一組連絡人。 因為整合的連絡人存放區需要商務用 Skype Server才能與 Exchange 共用資訊,您必須使用伺服器對伺服器驗證才能部署此功能。 如果您選擇使用 Exchange 封存,也需要伺服器對伺服器驗證,其中立即訊息會話的文字記錄會儲存為 Exchange 電子郵件,而非個別資料庫記錄。
若要讓 Microsoft 365 或 Office 365 版本的 商務用 Skype Server 與其 Exchange 版本通訊,商務用 Skype Server必須先從授權伺服器取得安全性權杖。 商務用 Skype Server然後使用該安全性權杖向 Exchange 識別身分。 Microsoft 365 或 Office 365 版本的 Exchange 必須執行相同的程式,才能與商務用 Skype Server通訊。
不過,對於兩個 Microsoft 伺服器之間的內部部署伺服器對伺服器驗證,不需要使用協力廠商權杖伺服器。 商務用 Skype Server和 Exchange 等伺服器產品有內建的權杖伺服器,可用來用於驗證用途與支援伺服器對伺服器驗證的其他 Microsoft 伺服器 (例如 SharePoint Server) 。 例如,商務用 Skype Server可以自行發行及簽署安全性權杖,然後使用該權杖與 Exchange 通訊。 在這種情形下,不需要協力廠商權杖伺服器。
若要設定內部部署實作 商務用 Skype Server 的伺服器對伺服器驗證,您必須執行兩個動作:
指派憑證給內建的商務用 Skype Server權杖發行者。
將商務用 Skype Server通訊的伺服器設定為「合作夥伴應用程式」。例如,如果商務用 Skype Server需要與 Exchange 通訊,您必須將 Exchange 設為合作夥伴應用程式。
注意事項
「合作夥伴應用程式」是商務用 Skype Server可以直接交換安全性權杖的任何應用程式,而不需要透過協力廠商安全性權杖伺服器。
請注意,OAuth 是產品的核心部分,無法停用或移除。