Cómo usar la autenticación moderna (ADAL) con Skype Empresarial

Skype for Business Server 2015
 

Última modificación del tema:2017-07-25

En este artículo se explica cómo usar la autenticación moderna (que se basa en la Biblioteca de autenticación de Active Directory [ADAL] y en OAuth 2.0) que puede encontrarse en la actualización acumulativa de marzo 2016 de Skype Empresarial para Skype Empresarial Server 2015.

ADAL es el acrónimo de "Biblioteca de autenticación de Active Directory" y, junto con OAuth 2.0, es fundamental en la autenticación moderna. Esta biblioteca de código está diseñada para que los recursos protegidos de su directorio estén disponibles para las aplicaciones cliente (como Skype Empresarial) a través de tokens de seguridad. ADAL funciona con OAuth 2.0 para permitir más escenarios de autorización y autenticación, como la autenticación multifactor (MFA) y más formas de autenticación SAML.

Varias aplicaciones que actúan como clientes pueden aprovecharse de la autenticación moderna para obtener recursos protegidos. En Skype Empresarial Server 2015, esta tecnología se usa entre clientes locales y servidores locales para proporcionar a los usuarios un nivel adecuado de autorización para los recursos.

Las conversaciones de autenticación moderna (que se basan en ADAL y OAuth 2.0) tienen algunos elementos en común.

  • Existe un cliente que realiza una solicitud para un recurso, en este caso, el cliente es Skype Empresarial.

  • Existe un recurso para el que el cliente necesita un nivel específico de acceso, y este recurso está protegido mediante un servicio de directorio, en este caso el recurso es Skype Empresarial Server 2015.

  • Existe una conexión OAuth, es decir, una conexión que se dedica a autorizar a un usuario para que tenga acceso al recurso. (OAuth también se conoce por el nombre descriptivo, autenticación "de servidor a servidor" y, a menudo, aparece abreviado como S2S).

En las conversaciones de autenticación moderna (ADAL) de Skype Empresarial Server 2015, Skype Empresarial Server 2015 se comunica a través de ADFS (ADFS 3.0 en Windows Server 2012 R2). La autenticación puede ocurrir con otro proveedor de identidades (IdP), pero el servidor de Skype Empresarial necesita configurarse para poder comunicarse directamente con ADFS. Si no ha configurado ADFS para que funcione con Skype Empresarial Server 2015, complete la instalación ADFS.

ADAL está incluido en la actualización acumulativa de marzo de 2016 para Skype Empresarial Server 2015 y la actualización acumulativa de marzo de 2016 para Skype Empresarial debe estar instalada y es necesaria para una configuración correcta.

noteNota:
Con la versión inicial, la autenticación moderna en un entorno local solo se admite si no existe una topología combinada de Skype. Por ejemplo, si el entorno es totalmente de Skype Empresarial Server 2015. Esta instrucción puede estar vinculada a cambios.

Debe descargarse un paquete de PowerShell que incluye archivos .ps1 con los comandos que usa ADAL para obtener una configuración correcta.

En este proceso, conecte la instalación de ADFS a un grupo de Skype Empresarial Server 2015 que esté configurado para ADAL.

  1. Instale la actualización acumulativa de marzo de 2016 para Skype Empresarial Server 2015 para su grupo de Skype Empresarial Server 2015 o Servidor Standard Edition. (Programe la ventana de mantenimiento, según sus necesidades, para ejecutar Windows Update para la instalación automática).

  2. En los servidores locales de ADFS, descargue el script Setup-AdfsOAuthTrustForSfB. (Esto debe realizarse por cada granja de servidores de ADFS o servidores independientes de ADFS. No es necesario realizarlo en proxy o proxies ADFS).

  3. Tome nota de los nombres de dominio completos de servicios web externos e internos (FQDNs) para su grupo de Skype Empresarial Server 2015 o Servidor Standard Edition. Esto debe realizarse para todos los grupos de Skype Empresarial.

  4. Desde PowerShell en los servidores de ADFS, ejecute el script Setup-AdfsOAuthTrustForSfB. Necesitará escribir las direcciones URL adecuadas para los FQDN de servicios web externos e internos. Aquí se muestra un ejemplo:

    Setup-AdfsOAuthTrustForSfB.ps1 -poolIDs https://contosoSkype.contoso.com,https://contoso01Skype.contosoIn.com

    En caso de que haya grupos adicionales, las direcciones URL de los servicios web de esos grupos deberán agregarse de forma manual en la relación de confianza para usuario autenticado de Skype Empresarial Server 2015 en ADFS.

    importantImportante:
    No es posible usar a la vez ADAL y la autenticación pasiva para un grupo. Para poder usar ADAL, debe deshabilitar la autenticación pasiva. Para establecer la autenticación de un grupo con los cmdlets de PowerShell, consulte este artículo.
    tipSugerencia:
    Si tiene grupos adicionales, necesita agregarlos como Identificadores a la relación de confianza para usuario autenticado en ADFS.
    Vaya al servidor de ADFS y abra Administración ADFS. Expanda Relaciones de confianza > Relaciones de confianza para usuario autenticado. Haga clic con el botón derecho en la Relación de confianza para usuario autenticado que se muestra y haga clic con el botón derecho en Propiedades > Identificadores > escriba la dirección URL del grupo adicional > haga clic en Agregar.
  5. Vuelva al front-end de Skype Empresarial Server 2015 o al servidor de Servidor Standard Edition. Desde aquí, debe ejecutar los cmdlets que crean un servidor de OAuth y modifican la configuración de OAuth para que funcione con Skype Empresarial. Solo necesita realizar este paso una vez por cada implementación de Skype Empresarial Server 2015. Aquí se muestra un ejemplo:

    New-CsOAuthServer -Identity sts.contosoIn.com -Type ADFS -MetadataURL https://sts.contosoIn.com/FederationMetadata/2007-06/FederationMetadata.xml

    tipSugerencia:
    La dirección URL 'Identity' que ve en este comando es realmente el nombre del servicio de federación ADFS que ve en Administración ADFS cuando hace clic con el botón derecho en Servicio > Propiedades. 'Type' es siempre ADFS, y 'MetadataURL' siempre es <Your ADFS service name> + "/FederationMetadata/2007-06/FederationMetadata.xml".

    Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity sts.contosoIn.com

  6. Sin salir del front-end de Skype Empresarial Server 2015 o de Servidor Standard Edition, pruebe la nueva configuración escribiendo la dirección SIP de un usuario y el grupo FQDN. Solo necesita realizar este paso una vez por cada implementación de Skype Empresarial Server 2015. Aquí se muestra un ejemplo:

    Test-CsRegistration -UserSipAddress AyakaY@contosoIns.com -TargetFqdn Pool1.contoso.com -Authentication OAuthInteractive

  7. Cuando se le solicite, escriba las credenciales del usuario de prueba. Compruebe que la prueba se completa correctamente.

    noteNota:
    Cuando la dirección URL de STS se resuelve como ADFS internamente , el aviso que verá será un aviso de Seguridad de Windows . Si la dirección URL se resuelve externamente, verá un aviso denominado Iniciar sesión . Normalmente, querríamos un aviso de Seguridad de Windows aquí. Tenga en cuenta que este comportamiento cambia, particularmente si ha implementado la Autenticación basada en formularios (FBA).

    Además, tenga en cuenta que cuando la dirección URL de STS se resuelve como un servidor interno de ADFS y la autenticación integrada de Windows está habilitada en los exploradores, pueden producirse errores de autenticación en los equipos donde muchos usuarios diferentes inician sesión en aplicaciones cliente, a no ser que el explorador esté configurado explícitamente para solicitar las credenciales a los usuarios en una zona de seguridad del explorador determinada. Por ejemplo, piense en un quiosco. La cuenta con sesión iniciada en el sistema operativo puede ser diferente que la cuenta de usuario con sesión iniciada en el cliente de Skype Empresarial. Si este es el caso, consulte los errores que se describen aquí.

    Puede ver y cambiar la configuración de este explorador en Internet Explorer haciendo clic en > Herramientas (o el Engranaje) > Opciones de Internet > pestaña Seguridad > Zona de seguridad (como Intranet local). Desde este cuadro de diálogo, haga clic en el botón Nivel personalizado y desplácese al final de la lista del cuadro de diálogo Configuración. En Autenticación de usuario > Iniciar sesión > verá una opción para "Solicitar el nombre de usuario y la contraseña". Si tiene quioscos en los que el usuario que inicia el cliente de Skype Empresarial es diferente (tiene una cuenta diferente) del usuario que ha iniciado sesión en el equipo, quizás le interese establecer esta opción en "ACTIVADO" para estas máquinas de la directiva de grupo.

    Por último y muy importante, tal vez experimente más de un aviso ya que el sistema de seguridad recopila la información que necesita para autenticar o autorizar la cuenta.

Ahora que ADAL está configurado en su Skype Empresarial y (automáticamente) para las aplicaciones cliente de Office 2016 en plataformas, quizás quiera aprovecharlo para Exchange Online (donde no está "Activado" de forma predeterminada) o en clientes de Office 2013.

importantImportante:
¿Necesita saber qué esperar de los inicios de sesión con autenticación moderna de sus aplicaciones cliente? Eche un vistazo a "Cómo funciona la autenticación moderna para las aplicaciones cliente de Office 2013 y Office 2016"..

Para activar la autenticación moderna para Exchange Online, necesitará ejecutar algunos de los cmdlets de PowerShell. En el caso de las aplicaciones cliente de Office 2013, necesitará cambiar algunas claves del registro en las máquinas cliente.

  • Conéctese a Exchange Online y ejecute los siguientes cmdlets:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

    Get-OrganizationConfig | ft name, *OAuth*

  • Establezca estas claves del registro para cada dispositivo o equipo en el que quiera habilitar la autenticación moderna. Necesitará un GPO para organizaciones más grandes. Para obtener información sobre cómo realizar un GPO, consulte la sección "Crear un objeto de directiva de grupo para modificar el registro en un equipo unido a un dominio" en este artículo .

     

    Clave del registro

    Tipo

    Valor

    HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL

    REG_DWORD

    1

    HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version

    REG_DWORD

    1

    Una vez que estas claves están definidas, establezca sus aplicaciones de Office 2013 para usar la autenticación multifactor (MFA) con Office 365.

    tipSugerencia:
    Para deshabilitar la autenticación moderna de dispositivos de Office 2013, establezca la clave del registro HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL en un valor cero.
    Tenga en cuenta que también puede usarse una clave del registro similar (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL) para deshabilitar la autenticación moderna en dispositivos de Office 2016.

Algunas versiones de cliente no admiten OAuth. Puede comprobar su versión de cliente de Office en la ventana de Agregar y quitar programas del Panel de control para comparar el número de versión de las versiones (o intervalos de versiones) enumeradas aquí:

  • Cliente de Office 15.0 [0000-4766].*

  • Cliente de Office 16.0 [0000-4293].*

  • Cliente de Office 16.0.6001.[0000-1032]

  • Cliente de Office 16.0 [6000-6224].*

 
Mostrar: