Gestion de l’authentification de serveur à serveur (OAuth) et des applications partenaires dans Lync Server 2013
Rubrique Dernière modification : 2015-05-14
Microsoft Lync Server 2013 doit être en mesure de communiquer en toute sécurité et en toute transparence avec d’autres applications et produits serveur. Par exemple, vous pouvez configurer Lync Server 2013 afin que les données de contact et/ou d’archivage soient stockées dans Microsoft Exchange Server 2013. Toutefois, cela ne peut être fait que si Lync Server et Exchange sont en mesure de communiquer en toute sécurité entre eux. De même, vous pouvez planifier une conférence Lync Server à partir de Microsoft SharePoint Server ; là encore, toutefois, cela ne peut être fait que si les deux serveurs (SharePoint et Lync Server) s’approuvent mutuellement. Bien qu’il soit possible d’utiliser un mécanisme d’authentification pour la communication Lync-Exchange et un mécanisme distinct pour la communication Lync-sharePoint, une approche plus efficace et plus efficace consiste à utiliser une méthode standardisée pour toutes les authentifications et autorisations de serveur à serveur.
L’utilisation d’une méthode unique et standardisée pour l’authentification de serveur à serveur est l’approche adoptée par Lync Server 2013. Pour la version 2013, Lync Server 2013 (ainsi que d’autres produits Microsoft Server, notamment Exchange 2013 et Microsoft SharePoint Server) prennent en charge le protocole OAuth (Open Authorization) pour l’authentification et l’autorisation de serveur à serveur. Avec OAuth, un protocole d’autorisation standard utilisé par un certain nombre de sites web principaux, les informations d’identification et les mots de passe utilisateur ne sont pas transmis d’un ordinateur à un autre. Au lieu de cela, l’authentification et l’autorisation sont basées sur l’échange de jetons de sécurité ; ces jetons accordent l’accès à un ensemble spécifique de ressources pendant un laps de temps spécifique.
L’authentification OAuth implique généralement trois parties : un serveur d’autorisation unique et les deux domaines qui doivent communiquer entre eux. (Vous pouvez également effectuer l’authentification de serveur à serveur sans utiliser de serveur d’autorisation, processus qui sera abordé plus loin dans ce document.) Les jetons de sécurité sont émis par le serveur d’autorisation (également appelé serveur de jetons de sécurité) aux deux domaines qui doivent communiquer ; ces jetons vérifient que les communications provenant d’un domaine doivent être approuvées par l’autre domaine. Par exemple, le serveur d’autorisation peut émettre des jetons qui vérifient que les utilisateurs d’un domaine Lync Server 2013 spécifique peuvent accéder à un domaine Exchange 2013 spécifié, et inversement.
Remarque
Un domaine est tout simplement un conteneur de sécurité. Par défaut, Lync Server 2013 utilise votre domaine SIP par défaut comme domaine OAuth. Des espaces de noms SIP supplémentaires sont ajoutés à la liste Autre nom du sujet du certificat dans le certificat OAuth.
Lync Server 2013 prend en charge trois scénarios d’authentification de serveur à serveur. Avec Lync Server 2013, vous pouvez :
Configurez l’authentification de serveur à serveur entre une installation locale de Lync Server 2013 et une installation locale d’Exchange 2013 et/ou de Microsoft SharePoint Server.
Configurez l’authentification de serveur à serveur entre une paire de composants Microsoft 365 (par exemple, entre Microsoft Exchange et Microsoft Lync Server, ou entre Microsoft Lync Server et Microsoft SharePoint).
Configurez l’authentification de serveur à serveur dans un environnement interstrés (autrement dit, l’authentification de serveur à serveur entre un serveur local et un composant Microsoft 365).
Notez qu’à ce stade, seuls Exchange 2013, SharePoint Server et Lync Server 2013 prennent en charge l’authentification de serveur à serveur ; si vous n’exécutez pas l’un de ces serveurs, vous ne pourrez pas implémenter entièrement l’authentification OAuth.
Il convient également de souligner que vous n’avez pas besoin d’utiliser l’authentification de serveur à serveur : l’authentification de serveur à serveur n’est pas requise pour déployer Lync Server 2013. Si Lync Server 2013 n’a pas besoin de communiquer avec d’autres serveurs (comme Exchange 2013), l’authentification de serveur à serveur n’est pas nécessaire.
Toutefois, l’authentification de serveur à serveur est requise si vous souhaitez utiliser certaines des nouvelles fonctionnalités de Lync Server, telles que le « magasin de contacts unifié ». Avec le magasin de contacts unifié, les informations de contact Lync Server 2013 sont stockées dans Exchange 2013 au lieu de dans Lync Server ; cela permet aux utilisateurs d’avoir un ensemble unique de contacts facilement accessibles à partir de Lync, Microsoft Outlook ou Microsoft Outlook Web Access. Étant donné que le magasin de contacts unifié nécessite que Lync Server 2013 partage des informations avec Exchange 2013, vous devez utiliser l’authentification de serveur à serveur pour déployer la fonctionnalité. L’authentification de serveur à serveur est également requise si vous choisissez d’utiliser l’archivage Exchange, dans lequel les transcriptions des sessions de messagerie instantanée sont enregistrées en tant qu’e-mails Exchange 2013 plutôt qu’en tant qu’enregistrements de base de données individuels.
Pour que la version Microsoft 365 de Lync Server communique avec son équivalent Exchange, Lync Server 2013 doit d’abord obtenir un jeton de sécurité auprès du serveur d’autorisation. Lync Server utilise ensuite ce jeton de sécurité pour s’identifier à Exchange. La version Microsoft 365 d’Exchange doit suivre le même processus pour communiquer avec Lync Server 2013.
Toutefois, en ce qui concerne l’authentification de serveur à serveur entre deux serveurs Microsoft, il n’est pas nécessaire d’utiliser un serveur de jetons tiers. Les produits serveur tels que Lync Server 2013 et Exchange 2013 ont un serveur de jetons intégré qui peut être utilisé à des fins d’authentification avec d’autres serveurs Microsoft (tels que sharePoint server) qui prennent en charge l’authentification de serveur à serveur. Par exemple, Lync Server 2013 peut émettre et signer un jeton de sécurité seul, puis utiliser ce jeton pour communiquer avec Exchange 2013. Dans ce cas, aucun serveur de jetons tiers n’est nécessaire.
Pour configurer l’authentification de serveur à serveur pour une implémentation locale de Lync Server 2013, vous devez effectuer deux opérations :
Affectez un certificat à l’émetteur de jeton intégré de Lync Server.
Configurez le serveur avec lequel Lync Server 2013 communiquera pour qu’il soit une « application partenaire ». Par exemple, si Lync Server 2013 doit communiquer avec Exchange 2013, vous devez configurer Exchange pour qu’il soit une application partenaire.
Remarque
Une « application partenaire » est toute application avec laquelle Lync Server 2013 peut échanger directement des jetons de sécurité, sans avoir à passer par un serveur de jetons de sécurité tiers.
Notez qu’OAuth est un composant de base du produit et ne peut être ni désactivé ni supprimé.