Gerenciando a autenticação de servidor para servidor (OAuth) e aplicativos de parceiros no Lync Server 2013
Tópico última modificação: 14-05-2015
O Microsoft Lync Server 2013 deve ser capaz de se comunicar com segurança e sem problemas com outros aplicativos e produtos de servidor. Por exemplo, você pode configurar o Lync Server 2013 para que os dados de contato e/ou os dados de arquivamento sejam armazenados no Microsoft Exchange Server 2013; no entanto, isso só poderá ser feito se o Lync Server e o Exchange forem capazes de se comunicar com segurança entre si. Da mesma forma, você pode agendar uma conferência do Lync Server de dentro do Microsoft SharePoint Server; novamente, no entanto, isso só poderá ser feito se os dois servidores (SharePoint e Lync Server) confiarem um no outro. Embora seja possível usar um mecanismo de autenticação para comunicação do Lync para o Exchange e um mecanismo separado para comunicação do Lync para o SharePoint, uma abordagem melhor e mais eficiente é usar um método padronizado para toda a autenticação e autorização de servidor para servidor.
Usar um único método padronizado para autenticação de servidor para servidor é a abordagem usada pelo Lync Server 2013. Para a versão 2013, o Lync Server 2013 (bem como outros produtos do Microsoft Server, incluindo o Exchange 2013 e o Microsoft SharePoint Server) dão suporte ao protocolo OAuth (Open Authorization) para autenticação e autorização de servidor para servidor. Com o OAuth, um protocolo de autorização padrão usado por vários dos sites principais, as credenciais e senhas do usuário não são passadas de um computador a outro. Em vez disso, a autenticação e autorização são baseadas na troca de tokens de segurança; esses tokens concedem acesso a um conjunto específico de recursos por um período determinado.
A autenticação com o OAuth geralmente envolve três partes: um servidor de autorização individual e dois realms que precisam se comunicar entre si. (Você também pode fazer a autenticação de servidor para servidor sem usar um servidor de autorização, um processo que será discutido posteriormente neste documento.) Os tokens de segurança são emitidos pelo servidor de autorização (também conhecido como servidor de token de segurança) para os dois realms que precisam se comunicar; esses tokens verificam se as comunicações originadas de um realm devem ser confiáveis para o outro realm. Por exemplo, o servidor de autorização pode emitir tokens que verificam se os usuários de um realm específico do Lync Server 2013 podem acessar um realm especificado do Exchange 2013 e vice-versa.
Nota
Um realm é simplesmente um contêiner de segurança. Por padrão, o Lync Server 2013 usa seu domínio SIP padrão como seu realm OAuth. Namespaces SIP adicionais são adicionadas à lista Nome Alternativo da Entidade no certificado OAuth.
O Lync Server 2013 dá suporte a três cenários de autenticação de servidor para servidor. Com o Lync Server 2013, você pode:
Configure a autenticação de servidor para servidor entre uma instalação local do Lync Server 2013 e uma instalação local do Exchange 2013 e/ou do Microsoft SharePoint Server.
Configure a autenticação de servidor para servidor entre um par de componentes do Microsoft 365 (por exemplo, entre o Microsoft Exchange e o Microsoft Lync Server ou entre o Microsoft Lync Server e o Microsoft SharePoint).
Configure a autenticação de servidor para servidor em um ambiente entre instalações (ou seja, autenticação de servidor para servidor entre um servidor local e um componente do Microsoft 365).
Observe que, neste momento, somente o Exchange 2013, o SharePoint Server e o Lync Server 2013 dão suporte à autenticação de servidor para servidor; se você não estiver executando um desses servidores, não poderá implementar totalmente a autenticação OAuth.
Também deve ser indicado que você não precisa usar a autenticação de servidor para servidor: a autenticação de servidor para servidor não é necessária para implantar o Lync Server 2013. Se o Lync Server 2013 não precisar se comunicar com outros servidores (como o Exchange 2013), a autenticação de servidor para servidor não será necessária.
No entanto, a autenticação de servidor para servidor será necessária se você quiser usar alguns dos novos recursos do Lync Server, como o "repositório unificado de contatos". Com o repositório unificado de contatos, as informações de contato do Lync Server 2013 são armazenadas no Exchange 2013 em vez de no Lync Server; isso permite que os usuários tenham um único conjunto de contatos que está prontamente acessível no Lync, no Microsoft Outlook ou no Microsoft Outlook Web Access. Como o repositório unificado de contatos requer que o Lync Server 2013 compartilhe informações com o Exchange 2013, você deve usar a autenticação de servidor para servidor para implantar o recurso. A autenticação de servidor para servidor também será necessária se você optar por usar o arquivamento do Exchange, no qual as transcrições de sessões de mensagens instantâneas são salvas como emails do Exchange 2013, em vez de como registros de banco de dados individuais.
Para que a versão do Microsoft 365 do Lync Server se comunique com seu equivalente do Exchange, o Lync Server 2013 deve primeiro obter um token de segurança do servidor de autorização. Em seguida, o Lync Server usa esse token de segurança para se identificar no Exchange. A versão do Microsoft 365 do Exchange deve passar pelo mesmo processo para se comunicar com o Lync Server 2013.
No entanto, para uma autenticação de servidor para servidor ente dois servidores da Microsoft, não é preciso usar um servidor de token terceirizado. Produtos de servidor como o Lync Server 2013 e o Exchange 2013 têm um servidor de token interno que pode ser usado para fins de autenticação com outros servidores da Microsoft (como o SharePoint Server) que dão suporte à autenticação de servidor para servidor. Por exemplo, o Lync Server 2013 pode emitir e assinar um token de segurança por si só e, em seguida, usar esse token para se comunicar com o Exchange 2013. Em um caso como esse, não há a necessidade de um servidor de token terceirizado.
Para configurar a autenticação de servidor para servidor para uma implementação local do Lync Server 2013, você deve fazer duas coisas:
Atribua um certificado ao emissor de token interno do Lync Server.
Configure o servidor com o qual o Lync Server 2013 se comunicará para ser um "aplicativo parceiro". Por exemplo, se o Lync Server 2013 precisar se comunicar com o Exchange 2013, você precisará configurar o Exchange para ser um aplicativo parceiro.
Nota
Um "aplicativo parceiro" é qualquer aplicativo com o qual o Lync Server 2013 possa trocar tokens de segurança diretamente, sem precisar passar por um servidor de token de segurança de terceiros.
Observe que o OAuth é uma parte essencial do produto e não pode ser desabilitado, nem removido.