Cómo usar la autenticación moderna (ADAL) con Skype EmpresarialHow to use Modern Authentication (ADAL) with Skype for Business

Este artículo explica cómo utilizar autenticación modernos (que se basa en la biblioteca de autenticación de Active Directory (ADAL) y OAuth 2.0) que se puede encontrar en el de 2016 marzo actualización acumulativa de Skype para el negocio de Skype para Business Server 2015.This article explains how to use Modern Authentication (which is based on the Active Directory Authentication Library (ADAL) and OAuth 2.0) that can be found in the March 2016 Cumulative Update for Skype for Business for Skype for Business Server 2015.

¿Qué se incluye en este artículo?What's in this article?

¿Qué es ADAL?What is ADAL?

Configurar ADAL en su grupo y configurar ADFS como un servidor de token de seguridadConfigure ADAL in your pool and set ADFS as security token server

Otras opciones para habilitar el inicio de sesión de ADAL (como aplicaciones cliente de Office)Other Options for Enabling ADAL sign-in (like Office client apps)

Clientes en los que no se admite la autenticación moderna / ADALClients where Modern Authentication / ADAL isn't Supported

¿Qué es ADAL?What is ADAL?

ADAL es el acrónimo de "Biblioteca de autenticación de Active Directory" y, junto con OAuth 2.0, es fundamental en la autenticación moderna.ADAL is the acronym for the 'Active Directory Authentication Library', and, along with OAuth 2.0, it is an underpinning of Modern Authentication. Esta biblioteca del código está diseñada para disponer de recursos protegidos en el directorio de aplicaciones de cliente (como Skype para empresas) a través de tokens de seguridad.This code library is designed to make secured resources in your directory available to client applications (like Skype for Business) via security tokens. ADAL funciona con OAuth 2.0 para permitir más escenarios de autorización y autenticación, como la autenticación multifactor (MFA) y más formas de autenticación SAML.ADAL works with OAuth 2.0 to enable more authentication and authorization scenarios, like Multi-factor Authentication (MFA), and more forms of SAML Auth.

Varias aplicaciones que actúan como clientes pueden aprovecharse de la autenticación moderna para obtener recursos protegidos.A variety of apps that act as clients can leverage Modern Authentication for help in getting to secured resources. En Skype para Business Server 2015, esta tecnología se utiliza entre clientes locales y servidores locales con el fin de proporcionar a los usuarios un nivel adecuado de autorización de recursos.In Skype for Business Server 2015, this technology is used between on-premises clients and on-premises servers in order to give users a proper level of authorization to resources.

Las conversaciones de autenticación moderna (que se basan en ADAL y OAuth 2.0) tienen algunos elementos en común.Modern Authentication conversations (which are based on ADAL and OAuth 2.0) have some elements in common.

  • Hay un cliente que realiza una solicitud para un recurso, en este caso, el cliente Skype para el negocio.There is a client making a request for a resource, in this case, the client is Skype for Business.

  • Hay un recurso al que el cliente necesita un nivel específico de acceso, y este recurso está protegido por un servicio de directorio, en este caso, el recurso es Skype para Business Server 2015.There is a resource to which the client needs a specific level of access, and this resource is secured by a directory service, in this case the resource is Skype for Business Server 2015.

  • Hay una conexión de OAuth, en otras palabras, una conexión que está dedicado a autorizar a un usuario para tener acceso a un recurso.There is an OAuth connection, in other words, a connection that is dedicated to authorizing a user to access a resource. (OAuth también se conoce por el nombre descriptivo, autenticación "de servidor a servidor" y, a menudo, aparece abreviado como S2S).(OAuth is also known by the more descriptive name, 'Server-to-Server' auth, and is often abbreviated as S2S.)

En Skype para conversaciones de negocios servidor 2015 modernos autenticación (ADAL), Skype para Business Server 2015 se comunica a través de ADFS (ADFS 3.0 en Windows Server 2012 R2).In Skype for Business Server 2015 Modern Authentication (ADAL) conversations, Skype for Business Server 2015 communicates through ADFS (ADFS 3.0 in Windows Server 2012 R2). La autenticación puede ocurrir con otro proveedor de identidades (IdP), pero el servidor de Skype Empresarial necesita configurarse para poder comunicarse directamente con ADFS.The authentication may happen using some other Identity Provider (IdP), but Skype for Business server needs to be configured to communicate with ADFS, directly. Si no ha configurado ADFS para trabajar con Skype para Business Server 2015 complete la instalación de ADFS.If you haven't configured ADFS to work with Skype for Business Server 2015 please complete the ADFS installation.

ADAL se incluye en el de 2016 marzo actualización acumulativa de Skype para Business Server 2015 y el de 2016 marzo actualización acumulativa de Skype para el negocio debe instalarse y es necesario para una configuración correcta.ADAL is included in the March 2016 Cumulative Update for Skype for Business Server 2015, and the March 2016 Cumulative Update for Skype for Business must be installed and is needed for successful configuration.

Nota

Con la versión inicial, la autenticación moderna en un entorno local solo se admite si no existe una topología combinada de Skype.During the initial release, Modern Authentication in an on-premises environment is supported only if there is no mixed Skype topology involved. Por ejemplo, si el entorno es puramente Skype para Business Server 2015.For example, if the environment is purely Skype for Business Server 2015. Esta instrucción puede estar vinculada a cambios.This statement may be subject to change.

Debe descargarse un paquete de PowerShell que incluye archivos .ps1 con los comandos que usa ADAL para obtener una configuración correcta.A PowerShell package including .ps1 files with the commands used by ADAL must be downloaded for successful configuration.

Configurar ADAL en su grupo y configurar ADFS como un servidor de token de seguridadConfigure ADAL in your pool and set ADFS as security token server

En este proceso, se conecta la instalación de ADFS a un Skype para Business Server 2015 grupo configurado para ADAL.In this process, you connect your installation of ADFS to a Skype for Business Server 2015 pool that is configured for ADAL.

  1. Instalar el de 2016 marzo actualización acumulativa de Skype para Business Server 2015 para su Skype para Business Server 2015 pool o servidor Standard Edition.Install the March 2016 Cumulative Update for Skype for Business Server 2015 to your Skype for Business Server 2015 pool or Standard Edition server. (Programe la ventana de mantenimiento, según sus necesidades, para ejecutar Windows Update para la instalación automática).(Schedule maintenance windows, as needed, to run Windows Update for the automatic installation.)

  2. En sus servidores locales ADFS, Descargue el programa de instalación-AdfsOAuthTrustForSfB secuencia de comandos.On your on-premises ADFS server(s), download the Setup-AdfsOAuthTrustForSfB script. (Esto debe realizarse por cada granja de servidores de ADFS o servidores independientes de ADFS.(This needs to be done per ADFS farm or independent ADFS server(s). No es necesario realizarlo en proxy o proxies ADFS).It does not need to be done on ADFS Proxy or proxies).

  3. Tome nota de los internos y el servicio Web externo completo de nombres de dominio (FQDN) de su Skype para servidor Standard Edition o grupo de servidores de Business Server 2015.Make a note of the internal and external Web Service fully qualified domain names (FQDNs) for your Skype for Business Server 2015 pool or Standard Edition server. Esto debe realizarse para todos los grupos de Skype Empresarial.This needs to be done for all the Skype for Business Pools.

  4. Desde PowerShell en los servidores de ADFS, ejecute el script Setup-AdfsOAuthTrustForSfB. Necesitará escribir las direcciones URL adecuadas para los FQDN de servicios web externos e internos. Aquí se muestra un ejemplo:From PowerShell on the ADFS Server(s), run the Setup-AdfsOAuthTrustForSfB. You will need to enter the proper URLs for the internal and external Web Service FQDNs. Here's an example:

    Setup-AdfsOAuthTrustForSfB.ps1 -poolIDs https://contosoSkype.contoso.com,https://contoso01Skype.contosoIn.com

    Para las agrupaciones adicionales, debe agregar manualmente las URL de servicios Web de grupo para el Skype para Business Server 2015 confiar parte confiar en ADFS.For any additional pools, you will need to add the Pool Web Services URLs manually to the Skype for Business Server 2015 Relying Party Trust in ADFS.

    Importante

    No es posible usar a la vez ADAL y la autenticación pasiva para un grupo.It isn't possible to use Passive Authentication for a Pool and also use ADAL. Para poder usar ADAL, debe deshabilitar la autenticación pasiva.You must disable Passive Authentication in order to use ADAL. Para los cmdlets de PowerShell acerca de cómo configurar la autenticación para un grupo de servidores, consulte este artículo.For PowerShell cmdlets on how to set authentication for a Pool see this article.

    Sugerencia

    Si tiene grupos adicionales debe agregarlos como identificadores a confiar parte de confianza de ADFS. > vaya a su servidor de ADFS y abrir Administración de ADFS.If you have additional pools you need to add them as Identifiers to the Relying Party Trust in ADFS.> Go to your ADFS server and open ADFS Management. Ampliar las relaciones de confianza > confianza confianzas de fiesta.Expand Trust Relationships > Relying Party Trusts. Haga clic en confiar confía en las partes que se enumeran y propiedades con el botón secundario > identificadores > escriba la dirección URL de grupo adicionales > haga clic en Agregar.Right-click the Relying Party Trust that's listed and right-click for Properties > Identifiers > type the additional Pool URL(s) > click Add.

  5. Volver a tu Skype de server Business Server 2015 Front-End o Standard Edition.Return to your Skype for Business Server 2015 Front End or Standard Edition server server. Desde aquí debe ejecutar los cmdlets que crean un servidor OAuth y modificar esa configuración OAuth para trabajar con Skype para el negocio.From here you must run cmdlets that create an OAuth server and modify that OAuth configuration to work with Skype for Business. Sólo necesita realizar este paso una vez por Skype para la implementación de Business Server 2015.You only need to do this step once per Skype for Business Server 2015 deployment. Aquí se muestra un ejemplo:Here is an example:

    New-CsOAuthServer -Identity sts.contosoIn.com -Type ADFS -MetadataURL https://sts.contosoIn.com/FederationMetadata/2007-06/FederationMetadata.xml

    Sugerencia

    La dirección URL de 'Identidad' verá en este comando es realmente el ADFS federación nombre del servicio se puede ver en la administración de ADFS secundario servicio > propiedades.The 'Identity' URL you see in this command is actually the ADFS Federation Service Name you can see in ADFS Management when you right-click Service > Properties. 'Tipo' es siempre de ADFS y lo 'MetadataURL' es siempre <nombre del servicio de ADFS de la> + "/ FederationMetadata/2007-06/FederationMetadata.xml".The 'Type' is always ADFS, and the 'MetadataURL' is always <Your ADFS service name> + "/FederationMetadata/2007-06/FederationMetadata.xml".

    Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity sts.contosoIn.com

  6. Aún en su Skype para Business Server 2015 Front-End o Standard Edition server, probar la nueva configuración introduciendo la dirección SIP de un usuario y el FQDN del grupo.Still on your Skype for Business Server 2015 Front End or Standard Edition server, test the new configuration by entering the SIP address of a user and the pool FQDN. Sólo necesita realizar este paso una vez por Skype para la implementación de Business Server 2015.You only need to do this step once per Skype for Business Server 2015 deployment. Aquí se muestra un ejemplo:This is an example:

    Test-CsRegistration -UserSipAddress AyakaY@contosoIns.com -TargetFqdn Pool1.contoso.com -Authentication OAuthInteractive

  7. Cuando se le solicite, escriba las credenciales del usuario de prueba. Compruebe que la prueba se completa correctamente.When prompted, be sure to enter the credentials of the test user. Verify that the test completes successfully.

    Nota

    Cuando se resuelve la URL de STS para ADFS internamente , el aviso que se verá será un indicador de Seguridad de Windows .When your STS URL resolves to ADFS internally , the prompt you will see will be a Windows Security prompt. Si la dirección URL se resuelve externamente, verá un aviso denominado Iniciar sesión.If the URL resolves externally, you'll see a prompt named Sign in. Normalmente, querríamos un aviso de Seguridad de Windows aquí.Typically, we would want a Windows Security prompt here. Tenga en cuenta que este comportamiento cambia, particularmente si ha implementado la Autenticación basada en formularios (FBA).Note that this behaviour varies, particularly if you implemented Forms-Based Authentication (or FBA).

Además, tenga en cuenta que cuando la dirección URL de STS se resuelve como un servidor interno de ADFS y la autenticación integrada de Windows está habilitada en los exploradores, pueden producirse errores de autenticación en los equipos donde muchos usuarios diferentes inician sesión en aplicaciones cliente, a no ser que el explorador esté configurado explícitamente para solicitar las credenciales a los usuarios en una zona de seguridad del explorador determinada. Por ejemplo, piense en un quiosco. La cuenta con sesión iniciada en el sistema operativo puede ser diferente que la cuenta de usuario con sesión iniciada en el cliente de Skype Empresarial. Si este es el caso, consulte los errores que se describen aquí.Also be aware, when the STS URL resolves to an internal ADFS server and Windows Integrated authentication is enabled in browsers, computers where many different users sign in to client applications may have failures to authenticate unless the browser is explicitly configured to prompt users for their credentials in a given browser Security Zone. Think of a kiosk as an example. The account that is logged in to the Operating System may be different than the user account logging into the Skype for Business client. If this is the case, you may see the failures described here.

Puede ver y cambiar esta configuración del explorador en Internet Explorer haciendo clic en > herramientas (o el engranaje) > opciones de Internet > ficha seguridad > y la zona de seguridad (tales como Intranet Local).You can see and change this browser setting in Internet Explorer by clicking > Tools (or the Gear) > Internet Options > Security tab > and the Security Zone (such as Local Intranet). Desde este cuadro de diálogo, haga clic en el botón Nivel personalizado y desplácese al final de la lista del cuadro de diálogo Configuración.From this dialog, click the Custom level button and scroll to the end of the list in the Settings dialog. En la sección autenticación de usuario > inicio de sesión > verá una opción para 'Preguntar por el nombre de usuario y la contraseña'.Under User Authentication > Login > you'll see an option to 'Prompt for user name and password'. Si tiene quioscos en los que el usuario que inicia el cliente de Skype Empresarial es diferente (tiene una cuenta diferente) del usuario que ha iniciado sesión en el equipo, quizás le interese establecer esta opción en "ACTIVADO" para estas máquinas de la directiva de grupo.If you have kiosks where the user who starts the Skype for Business client is different (has a different account) from the user logged into the computer, you may want to test setting this option to 'ON' for these machines in a Group Policy.

Por último y muy importante, tal vez experimente más de un aviso ya que el sistema de seguridad recopila la información que necesita para autenticar o autorizar la cuenta.Finally, and importantly, you may experience more than one prompt as the security system collects the information it needs to authenticate or authorize your account.

Otras opciones para habilitar el inicio de sesión de ADAL (como aplicaciones cliente de Office)Other Options for Enabling ADAL sign-in (like Office client apps)

Ahora que ADAL está configurado para su Skype para empresas y (automáticamente) para aplicaciones cliente de Office 2016 entre plataformas, puede que desee aprovechar para Exchange Online (que no es 'On' de forma predeterminada), o en los clientes de Office 2013.Now that ADAL is configured for your Skype for Business and (automatically) for Office 2016 client apps across platforms, you may want to leverage it for Exchange Online (where it is not 'On' by default), or in Office 2013 clients.

Importante

¿Necesita saber qué esperar de los inicios de sesión con autenticación moderna de sus aplicaciones cliente?Need to know what to expect from Modern Authentication sign-ins from your client apps? Eche un vistazo a modernos cómo funciona la autenticación para aplicaciones de cliente de Office 2013 y 2016 de Office.Take a look at How modern authentication works for Office 2013 and Office 2016 client apps.

Para activar la autenticación modernos para Exchange Online, necesitará ejecutar algunos cmdlets de PowerShell.To turn Modern Authentication on for Exchange Online, you'll need to run some PowerShell cmdlets. En el caso de aplicaciones cliente de Office 2013, debe cambiar algunas claves del registro en los equipos cliente.In the case of Office 2013 client apps, you will need to change some registry keys on client machines.

  • Conectarse a Exchange Online y ejecute los siguientes cmdlets:Connect to Exchange Online and run the following cmdlets:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

    Get-OrganizationConfig | ft name, *OAuth*

  • Establezca estas claves del registro para cada dispositivo o equipo en el que quiera habilitar la autenticación moderna.Set these registry keys for every device or computer on which you want to enable Modern Authentication. Necesitará un GPO para organizaciones más grandes.You will need a GPO in larger organizations. Para obtener información sobre cómo crear un GPO, vea la 'crear un objeto de directiva de grupo para modificar el registro en los equipos unidos a un dominio' de este artículo.For information on how to make a GPO, see the 'Create a Group Policy Object to modify the registry on a domain joined computer' of this article.

Clave del registroRegistry Key
TipoType
ValorValue
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADALHKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL
REG_DWORDREG_DWORD
11
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\VersionHKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version
REG_DWORDREG_DWORD
11

Una vez establecidas estas claves, establecer sus aplicaciones de Office 2013 utilizar Autenticación con autenticación (AMF) con Office 365.Once these keys are set, set your Office 2013 apps to use Multifactor Authentication (MFA) with Office 365.

Sugerencia

Para deshabilitar la autenticación modernos en dispositivos para Office 2013, establezca la clave del registro HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL en un valor de cero.To disable Modern Authentication on devices for Office 2013, set the HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL registry key to a value of zero. Tenga en cuenta que también puede utilizarse una clave del Registro similar (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL) para deshabilitar la autenticación modernos en dispositivos de 2016 de Office.Be aware that a similar Registry key (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL) can also be used to disable Modern Authentication on devices for Office 2016.

Clientes en los que no se admite la autenticación moderna / ADALClients where Modern Authentication / ADAL isn't Supported

Algunas versiones de cliente no admiten OAuth. Puede comprobar su versión de cliente de Office en la ventana de Agregar y quitar programas del Panel de control para comparar el número de versión de las versiones (o intervalos de versiones) enumeradas aquí:Some client versions don't support OAuth. You can check your version of Office client in Control Panel where you Add and Remove programs in order to compare your version number to the versions (or ranges of versions) listed here:

  • Cliente de Office 15.0. [0000-4766].*Office Client 15.0.[0000-4766].*

  • Cliente de Office 16.0. [0000-4293.]*Office Client 16.0.[0000-4293].*

  • Cliente de Office 16.0.6001.[0000-1032]Office Client 16.0.6001.[0000-1032]

  • Cliente de Office 16.0. [6000-6224].*Office Client 16.0.[6000-6224].*