Использование средства Modern Authentication (ADAL) со Skype для бизнеса

Skype for Business Server 2015
 

Дата изменения раздела:2017-07-25

В этой статье объясняется, как использовать современную проверку подлинности (на основе библиотеки проверки подлинности Active Directory (ADAL) и OAuth 2.0), с марта 2016 г. входящую в накопительный пакет обновления Skype для бизнеса для Skype для бизнеса Server 2015.

ADAL — это аббревиатура для Active Directory Authentication Library (библиотека проверки подлинности Active Directory). Вместе с OAuth 2.0 ADAL образует основу современной проверки подлинности. Эта библиотека кода предназначена для защиты ресурсов в каталоге, доступном для клиентских приложений (например, Skype для бизнеса), с помощью маркеров безопасности. ADAL и OAuth 2.0 обеспечивают большое количество сценариев проверки подлинности и авторизации, например многофакторную проверку подлинности (MFA), и дополнительные формы проверки подлинности SAML.

Служба современной проверки подлинности может использоваться для получения доступа к защищенным ресурсам широким спектром приложений, которые выступают в качестве клиентов. В Skype для бизнеса Server 2015 эта технология применяется для связи между локальными клиентами и локальными серверами, обеспечивая пользователям надлежащий уровень авторизации для использования ресурсов.

Для подключения с применением средства Modern Authentication (на основе ADAL и OAuth 2.0) характерны некоторые стандартные элементы.

  • Есть клиент, который выполняет запрос ресурса, — в данном случае это Skype для бизнеса.

  • Имеется ресурс под защитой службы каталогов, к которому клиенту необходим определенный уровень доступа, — в данном случае это Skype для бизнеса Server 2015.

  • Есть подключение по протоколу OAuth, т. е. подключение, выделенное для авторизации пользователя для доступа к ресурсу. (OAuth также называется описательно "проверка подлинности между серверами" и часто сокращается до S2S.)

При подключении с использованием современной проверки подлинности (ADAL) (Skype для бизнеса Server 2015) Skype для бизнеса Server 2015 подключается через службы AD FS (AD FS 3.0 в Windows Server 2012 R2). Проверка подлинности может выполняться с использованием другого поставщика удостоверений, но сервер Skype для бизнеса Server необходимо настроить для прямого подключения через AD FS. Если службы AD FS не настроены для работы с Skype для бизнеса Server 2015, выполните установку AD FS.

С марта 2016 г. ADAL входит в накопительный пакет обновления Skype для бизнеса Server 2015. Этот накопительный пакет обновления для Skype для бизнеса необходимо установить, так как он требуется для правильной настройки.

noteПримечание.
На этапе начального выпуска служба современной проверки подлинности в локальной среде поддерживается только в том случае, если отсутствует смешанная топология Skype (например, используется исключительно среда Skype для бизнеса Server 2015). Эта ситуация может изменяться.

Для успешной настройки необходимо загрузить пакет PowerShell, содержащий файлы .ps1 с командами, которые используются в ADAL.

В ходе этой процедуры вы подключаете установку AD FS к пулу Skype для бизнеса Server 2015, настроенному для работы с ADAL.

  1. Установите накопительный пакет обновления для Skype для бизнеса Server 2015 за март 2016 г. для пула Skype для бизнеса Server 2015 или Standard Edition. (При необходимости запланируйте периоды обслуживания, чтобы запустить Центр обновления Windows для автоматической установки.)

  2. На локальных серверах AD FS скачайте сценарий Setup-AdfsOAuthTrustForSfB. (Это необходимо выполнить для каждой фермы AD FS или независимого сервера AD FS и не нужно выполнять для прокси-серверов и прокси-сервера AD FS.)

  3. Запишите внутреннее и внешнее полное доменное имя веб-службы для пула Skype для бизнеса Server 2015 или Standard Edition. Это необходимо выполнить для всех пулов Skype для бизнеса.

  4. В PowerShell на серверах ADFS выполните сценарий Setup-AdfsOAuthTrustForSfB. Для этого потребуется ввести правильные URL-адреса внутреннего и внешнего полного доменного имени веб-службы. Ниже приводится пример.

    Setup-AdfsOAuthTrustForSfB.ps1 -poolIDs https://contosoSkype.contoso.com,https://contoso01Skype.contosoIn.com

    Для дополнительных пулов необходимо вручную добавить URL-адреса веб-служб пула в раздел отношения доверия с проверяющей стороной Skype для бизнеса Server 2015 в службах AD FS.

    importantВажно!
    Невозможно использовать пассивную проверку подлинности для пула одновременно с ADAL. Чтобы использовать ADAL, сначала отключите пассивную проверку подлинности. Список командлетов PowerShell для настройки проверки подлинности в пуле см. в этой статье.
    tipСовет.
    Если имеются дополнительные пулы, необходимо добавить их как идентификаторы в раздел отношения доверия с проверяющей стороной в AD FS.
    На сервере ADFS откройте меню управления ADFS. Разверните узел "Отношения доверия" > "Отношения доверия с проверяющей стороной". Щелкните правой кнопкой мыши раздел отношений доверия с проверяющей стороной в списке, выберите "Свойства" > "Идентификаторы", введите URL-адреса дополнительных пулов и нажмите "Добавить".
  5. Вернитесь на сервер переднего плана Skype для бизнеса Server 2015 или Standard Edition. Отсюда необходимо выполнить командлеты, чтобы создать сервер OAuth и изменить настройку OAuth для работы с Skype для бизнеса. Этот шаг необходимо выполнить только один раз для каждого развертывания Skype для бизнеса Server 2015. Ниже приводится пример:

    New-CsOAuthServer -Identity sts.contosoIn.com -Type ADFS -MetadataURL https://sts.contosoIn.com/FederationMetadata/2007-06/FederationMetadata.xml

    tipСовет.
    URL-адрес "Identity" в этой команде — это имя службы федерации ADFS, которое отображается в меню управления ADFS, когда вы щелкаете правой кнопкой мыши и выбираете "Служба > Свойства". "Type" всегда ADFS, а "MetadataURL" всегда <название вашей службы ADFS> + "/FederationMetadata/2007-06/FederationMetadata.xml".

    Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity sts.contosoIn.com

  6. На сервере переднего плана Skype для бизнеса Server 2015 или Standard Edition протестируйте новую конфигурацию. Для этого введите адрес SIP пользователя и полное доменное имя пула. Этот шаг необходимо выполнить только один раз для каждого развертывания Skype для бизнеса Server 2015 Ниже приводится пример:

    Test-CsRegistration -UserSipAddress AyakaY@contosoIns.com -TargetFqdn Pool1.contoso.com -Authentication OAuthInteractive

  7. При появлении запроса введите учетные данные тестового пользователя. Убедитесь, что тест завершен успешно.

    noteПримечание.
    Если URL-адрес STS разрешается в ADFS внутренне , отображаться будет подсказка Безопасность Windows . Если он разрешается внешне, будет отображаться подсказка Вход . Обычно рекомендуется выполнить действия, которые приведут к отображению подсказки Безопасность Windows . Обратите внимание, что это поведение изменяется, особенно при реализации проверки подлинности по формам форм (FBA).

    Также помните, что если URL-адрес STS разрешается во внутреннем сервере ADFS, а в веб-браузерах включена встроенная проверка подлинности Windows, на компьютерах, на которых много разных пользователей входят в клиентские приложения, будут возникать ошибки проверки подлинности, если в веб-браузере не настроено явным образом предлагать пользователям вводить учетные данные в определенной зоне безопасности. В качестве примера можно представить киоск. Учетная запись, под которой выполнен вход в операционную систему, может отличаться от учетной записи пользователя, под которой выполнен вход в клиент Skype для бизнеса. В этом случае могут возникнуть описанные здесь ошибки.

    Данный параметр веб-браузера можно найти и изменить в Internet Explorer, выбрав "Сервис (или значок шестеренки) > Свойства обозревателя" и на вкладке "Безопасность" выбрав "Зоны безопасности" (например "Местная интрасеть"). В этом диалоговом окне нажмите кнопку "Другой" и прокрутите до конца списка в диалоговом окне "Параметры". В разделе "Проверка подлинности пользователя > Вход" отображается параметр "Запрос имени пользователя и пароля". Если у вас есть киоски, где пользователь, запускающий клиент Skype для бизнеса, отличается (имеет другую учетную запись) от пользователя, вошедшего в компьютер, можно для таких компьютеров в целях тестирования установить для этого параметра значение "ВКЛ." в групповой политике.

    Наконец, может отображаться несколько подсказок, так как система безопасности собирает данные, необходимые для проверки подлинности или авторизации вашей учетной записи.

Настроив средство ADAL для вашего Skype для бизнеса и (автоматически) для клиентских приложений Office 2016 на всех платформах, вы можете использовать его для Exchange Online (если эта возможность не включена по умолчанию) или в клиентах Office 2013.

importantВажно!
Вам нужны более подробные сведения о входе с использованием современной проверки подлинности для клиентских приложений? См. статью How modern authentication works for Office 2013 and Office 2016 client apps (Современная проверка подлинности в клиентских приложениях Office 2013 и Office 2016).

Чтобы включить современную проверку подлинности для Exchange Online, потребуется выполнить несколько командлетов PowerShell. Если используются клиентские приложения Office 2013, нужно будет изменить некоторые разделы реестра на клиентских компьютерах.

  • Подключитесь к Exchange Online и выполните следующие командлеты:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

    Get-OrganizationConfig | ft name, *OAuth*

  • Настройте эти разделы реестра для каждого устройства и компьютера, на котором необходимо включить современную проверку подлинности. В крупных организациях необходимо использовать объекты групповой политики. Для получения сведений о создании GPO см. раздел Create a Group Policy Object to modify the registry on a domain joined computer (Создание объекта групповой политики для изменения реестра на компьютере, присоединенном к домену) в этой статье.

     

    Параметр реестра

    Тип

    Значение

    HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL

    REG_DWORD

    1

    HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version

    REG_DWORD

    1

    Задав эти разделы, настройте в приложениях Office 2013использование многофакторной проверки подлинности с Office 365.

    tipСовет.
    Чтобы отключить на устройствах службу современной проверки подлинности для Office 2013, задайте для раздела реестра HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL нулевое значение.
    Помните, что для отключения службы современной проверки подлинности для Office 2016 на устройствах также можно использовать аналогичный раздел реестра (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL).

Некоторые версии клиентов не поддерживают протокол OAuth. Проверьте вашу версию клиента Office в разделе "Установка и удаление программ" панели управления и сравните с приведенными ниже номерами (и диапазоном) версий:

  • Клиент Office 15.0.[0000–4766].*

  • Клиент Office 16.0.[0000–4293].*

  • Клиент Office 16.0.6001.[0000–1032]

  • Клиент Office 16.0.[6000-6224].*

 
Показ: