在商務用 Skype Server 中管理伺服器對伺服器驗證 (OAuth) 及合作夥伴應用程式
總結: 在商務用 Skype Server 中管理 OAuth 和合作夥伴應用程式。
商務用 Skype Server 必須能夠安全且順暢地與其他應用程式和伺服器產品通訊。 例如,您可以設定商務用 Skype Server,以便將聯繫人數據和/或封存資料儲存在 Microsoft Exchange Server 2013 中;不過,只有當商務用 Skype Server 和 Exchange 可以安全地彼此通訊時,才能執行此操作。 同樣地,您也可以從 Office Web Apps Server 中排程商務用 Skype Server 會議;同樣地,這隻能在兩個伺服器 (SharePoint 和商務用 Skype Server) 彼此信任時才能完成。 雖然您可以使用一種驗證機制在商務用 Skype Server 和 Exchange 之間進行通訊,但商務用 Skype Server 和 SharePoint 通訊是獨立的機制,但更有效率的方法是使用標準化方法進行所有伺服器對伺服器驗證與授權。
使用單一標準化的伺服器對伺服器驗證方法,是商務用 Skype Server 採用的方法。 從 Office Server 2013 發行開始,商務用 Skype Server (和其他 Microsoft Server 產品,包括 Exchange Server 和 SharePoint Server) 支援 OAuth (Open Authorization) 通訊協定以進行伺服器對伺服器驗證與授權。 在 OAuth 中,許多主要網站使用的標準授權通訊協定、使用者認證和密碼並不會從一部計算機傳遞到另一部計算機。 相反地,驗證和授權是以安全性令牌的交換為基礎;這些令牌會在一段特定時間授與特定資源的存取權。
OAuth 驗證通常涉及三方:單一授權伺服器以及需要彼此通訊的兩個領域。 (您也可以在不使用授權伺服器的情況下進行伺服器對伺服器驗證,此程式稍後會在本文件中討論。) 安全性令牌是由授權伺服器發出, (也稱為安全性令牌伺服器,) 至需要通訊的兩個領域;這些令牌可驗證來自某個領域之通訊應受另一個領域信任。 例如,授權伺服器可能會發出令牌,確認來自特定商務用 Skype Server 領域的用戶能夠存取指定的 Exchange 領域,反之亦然。
注意事項
領域只是一個安全容器。 根據預設,商務用 Skype Server 會使用您的預設 SIP 網域做為其 OAuth 領域。 其他 SIP 命名空間會新增至 OAuth 憑證中的主旨替代名稱清單。
商務用 Skype Server 支援三種伺服器對伺服器驗證案例。 使用商務用 Skype Server,您可以:
在商務用 Skype Server 的內部部署安裝與 Exchange 和/或 SharePoint Server 的內部部署安裝之間設定伺服器對伺服器驗證。
在一組 Microsoft 365 或 Office 365 元件之間設定伺服器對伺服器驗證 (例如,在 Microsoft Exchange Server 與商務用 Skype Server 之間,或在商務用 Skype Server 和 SharePoint) 之間設定。
在跨內部部署環境中設定伺服器對伺服器驗證 (,也就是內部部署伺服器與 Microsoft 365 或 Office 365 元件) 之間的伺服器對伺服器驗證。
目前只有 Exchange 2013、SharePoint Server、Lync Server 2013、商務用 Skype Server 2015 和商務用 Skype 2019 支援伺服器對伺服器驗證;如果您不是執行這些伺服器之一,您將無法完全實作 OAuth 驗證。
也請注意,伺服器對伺服器驗證是選用的:如果商務用Skype Server不需要與其他伺服器通訊, (例如 Exchange) 則可以略過伺服器對伺服器驗證。 如果已針對 Lync Server 2013 和其他應用程式設定伺服器對伺服器驗證,就不需要針對商務用 Skype Server 重新進行。
不過,如果您想要使用商務用 Skype Server 中的某些功能,例如「整合聯繫人存放區」,則需要伺服器對伺服器驗證。透過整合的聯繫人存放區,商務用Skype Server連絡資訊會儲存在 Exchange 中,而不是儲存在商務用 Skype Server 中;這可讓用戶擁有一組可從商務用 Skype、Outlook 或 Outlook Web Access 輕鬆存取的單一連絡人。 因為整合的聯繫人存放區需要商務用 Skype Server 與 Exchange 共用資訊,您必須使用伺服器對伺服器驗證才能部署此功能。 如果您選擇使用 Exchange 封存,也需要伺服器對伺服器驗證,其中立即訊息會話的文字記錄會儲存為 Exchange 電子郵件,而非個別資料庫記錄。
若要讓 Microsoft 365 或 Office 365 版商務用 Skype Server 與其 Exchange 版本通訊,商務用 Skype Server 必須先從授權伺服器取得安全性令牌。 然後,商務用 Skype Server 會使用該安全性令牌來識別自己對 Exchange 的身分。 Microsoft 365 或 Office 365 版本的 Exchange 必須經過相同的程式,才能與商務用 Skype Server 通訊。
不過,對於兩個 Microsoft 伺服器之間的內部部署伺服器對伺服器驗證,不需要使用合作夥伴令牌伺服器。 商務用 Skype Server 和 Exchange 等伺服器產品有內建的令牌伺服器,可用來搭配其他 Microsoft 伺服器驗證, (例如支援伺服器對伺服器驗證的 SharePoint Server) 。 例如,商務用 Skype Server 可以自行發行及簽署安全性令牌,然後使用該令牌與 Exchange 通訊。 在這樣的情況中,不需要合作夥伴令牌伺服器。
若要設定商務用 Skype Server 內部部署實作的伺服器對伺服器驗證,您必須執行兩個動作:
指派憑證給內建的商務用 Skype Server 令牌發行者。
將商務用 Skype Server 通訊的伺服器設定為「合作夥伴應用程式」。例如,如果商務用 Skype Server 需要與 Exchange 通訊,您必須將 Exchange 設定為合作夥伴應用程式。
注意事項
「合作夥伴應用程式」是商務用 Skype Server 可以直接交換安全性令牌的任何應用程式,而不需要透過第三方安全性令牌伺服器。
OAuth 是產品的核心部分,無法停用或移除。