Gestire l'autenticazione da server a server (OAuth) e le applicazioni partner in Skype for Business Server

Riepilogo: Gestire le applicazioni OAuth e partner in Skype for Business Server.

Skype for Business Server deve essere in grado di comunicare in modo sicuro e senza problemi con altre applicazioni e prodotti server. Ad esempio, è possibile configurare Skype for Business Server in modo che i dati di contatto e/o di archiviazione siano archiviati in Microsoft Exchange Server 2013; tuttavia, questa operazione può essere eseguita solo se Skype for Business Server ed Exchange sono in grado di comunicare in modo sicuro tra loro. Analogamente, è possibile pianificare una conferenza di Skype for Business Server dall'interno del server Office Web Apps; anche in questo caso, questa operazione può essere eseguita solo se i due server (SharePoint e Skype for Business Server) si fidano l'uno dell'altro. Sebbene sia possibile utilizzare un meccanismo di autenticazione per la comunicazione tra Skype for Business Server ed Exchange, ma un meccanismo separato per le comunicazioni tra Skype for Business Server e SharePoint, un approccio migliore ed efficiente consiste nell'usare un metodo standardizzato per tutte le autorizzazioni e l'autenticazione da server a server.

L'approccio adottato da Skype for Business Server è l'uso di un unico metodo standardizzato per l'autenticazione da server a server. Iniziato con il rilascio dei server di Office 2013, Skype for Business Server (e altri prodotti Microsoft Server, tra cui Exchange Server e SharePoint Server) supportava il protocollo OAuth (Open Authorization) per l'autenticazione e l'autorizzazione da server a server. Con OAuth, un protocollo di autorizzazione standard usato da molti siti Web principali, le credenziali utente e le password non vengono passate da un computer a un altro. L'autenticazione e l'autorizzazione si basano invece sullo scambio di token di sicurezza; questi token concedono l'accesso a un set specifico di risorse per un periodo di tempo specifico.

L'autenticazione OAuth in genere coinvolge tre parti: un singolo server di autorizzazione e le due aree di autenticazione che devono comunicare tra loro. È anche possibile eseguire l'autenticazione da server a server senza usare un server di autorizzazione, processo descritto più avanti in questo documento. I token di sicurezza vengono emessi dal server di autorizzazione (noto anche come server di token di sicurezza) alle due aree di autenticazione che devono comunicare; questi token verificano che le comunicazioni provenienti da un'area di autenticazione debbano essere considerate attendibili dall'altro reame. Ad esempio, il server di autorizzazione potrebbe emettere token che verificano che gli utenti di una specifica area di autenticazione di Skype for Business Server siano in grado di accedere a un'area di autenticazione di Exchange specificata e viceversa.

Nota

Un reame è semplicemente un contenitore di sicurezza. Per impostazione predefinita, Skype for Business Server usa il dominio SIP predefinito come area di autenticazione OAuth. All'elenco Nome alternativo oggetto del certificato OAuth vengono aggiunti altri spazi dei nomi SIP.

Skype for Business Server supporta tre scenari di autenticazione da server a server. Con Skype for Business Server è possibile:

  • Configurare l'autenticazione da server a server tra un'installazione locale di Skype for Business Server e un'installazione locale di Exchange e/o SharePoint Server.

  • Configurare l'autenticazione da server a server tra una coppia di componenti di Microsoft 365 o Office 365 (ad esempio, tra Microsoft Exchange Server e Skype for Business Server o tra Skype for Business Server e SharePoint).

  • Configurare l'autenticazione da server a server in un ambiente tra le versioni locali, ovvero l'autenticazione da server a server tra un server locale e un componente di Microsoft 365 o Office 365.

Al momento, solo Exchange 2013, SharePoint Server, Lync Server 2013, Skype for Business Server 2015 e Skype for Business 2019 supportano l'autenticazione da server a server; se non si esegue uno di questi server, non sarà possibile implementare completamente l'autenticazione OAuth.

Va inoltre sottolineato che l'autenticazione da server a server è facoltativa: se Skype for Business Server non deve comunicare con altri server (come Exchange), l'autenticazione da server a server può essere ignorata del tutto. Se l'autenticazione da server a server è già configurata per Lync Server 2013 e altre applicazioni, non è necessario ripetere l'operazione per Skype for Business Server.

Tuttavia, l'autenticazione da server a server è necessaria se si desidera utilizzare alcune delle funzionalità di Skype for Business Server, come l'"archivio contatti unificato". Con l'archivio contatti unificato, le informazioni di contatto di Skype for Business Server vengono archiviate in Exchange anziché in Skype for Business Server; in questo modo gli utenti possono avere un singolo set di contatti facilmente accessibili da Skype for Business, Outlook o Outlook Web Access. Poiché l'archivio contatti unificato richiede Skype for Business Server per condividere informazioni con Exchange, per distribuire la funzionalità è necessario utilizzare l'autenticazione da server a server. L'autenticazione da server a server è necessaria anche se si sceglie di usare l'archiviazione di Exchange, in cui le trascrizioni delle sessioni di messaggistica istantanea vengono salvate come messaggi di posta elettronica di Exchange anziché come singoli record di database.

Affinché la versione Microsoft 365 o Office 365 di Skype for Business Server comunichi con la versione Exchange, Skype for Business Server deve prima ottenere un token di sicurezza dal server di autorizzazione. Skype for Business Server usa quindi tale token di sicurezza per identificarsi in Exchange. Le versioni Microsoft 365 o Office 365 di Exchange devono seguire lo stesso processo per poter comunicare con Skype for Business Server.

Tuttavia, per l'autenticazione da server a server locale tra due server Microsoft non è necessario usare un server token partner. I prodotti server come Skype for Business Server ed Exchange dispongono di un server token integrato che può essere utilizzato per scopi di autenticazione con altri server Microsoft (come SharePoint Server) che supportano l'autenticazione da server a server. Ad esempio, Skype for Business Server può emettere e firmare un token di sicurezza da solo, quindi usare tale token per comunicare con Exchange. In un caso come questo, non è necessario un server token partner.

Per configurare l'autenticazione da server a server per un'implementazione locale di Skype for Business Server, è necessario eseguire due operazioni:

  • Assegnare un certificato all'emittente di token di Skype for Business Server integrata.

  • Configurare il server con cui Comunica Skype for Business Server come "applicazione partner". Ad esempio, se Skype for Business Server deve comunicare con Exchange, è necessario configurare Exchange come applicazione partner.

Nota

Una "applicazione partner" è qualsiasi applicazione con cui Skype for Business Server può scambiare direttamente token di sicurezza, senza dover usare un server di token di sicurezza di terze parti.

OAuth è una parte fondamentale del prodotto e non può essere disabilitato o rimosso.

Vedere anche

Assegnare un certificato di autenticazione da server a server a Skype for Business Server

Configurare un ambiente ibrido in Skype for Business Server