Использование средства Modern Authentication (ADAL) со Skype для бизнесаHow to use Modern Authentication (ADAL) with Skype for Business

В этой статье рассматривается порядок использования современных проверки подлинности (полученный на основе библиотеки проверки подлинности Active Directory (ADAL) и OAuth 2.0), который можно найти в 2016 марта накопительный пакет обновлений за Скайп для бизнеса для Скайп для Business Server 2015.This article explains how to use Modern Authentication (which is based on the Active Directory Authentication Library (ADAL) and OAuth 2.0) that can be found in the March 2016 Cumulative Update for Skype for Business for Skype for Business Server 2015.

В этой статьеWhat's in this article?

Что такое ADAL?What is ADAL?

Настройка ADAL в пуле и настройка ADFS в качестве сервера маркеров безопасностиConfigure ADAL in your pool and set ADFS as security token server

Другие варианты включения входа ADAL (например, в клиентских приложениях Office)Other Options for Enabling ADAL sign-in (like Office client apps)

Клиенты, на которых служба Modern Authentication или ADAL не поддерживаетсяClients where Modern Authentication / ADAL isn't Supported

Что такое ADAL?What is ADAL?

ADAL сокращение для «Active Directory проверки подлинности библиотеки», и, вместе с OAuth 2.0, это является основой для современных проверки подлинности.ADAL is the acronym for the 'Active Directory Authentication Library', and, along with OAuth 2.0, it is an underpinning of Modern Authentication. Эта библиотека кода позволяет сделать доступным для клиентских приложений (например, Скайп для бизнеса) с помощью маркеров безопасности защищенным ресурсам в каталоге.This code library is designed to make secured resources in your directory available to client applications (like Skype for Business) via security tokens. ADAL для работы с OAuth 2.0, чтобы включить дополнительные сценарии проверки подлинности и авторизации, таких как многофакторной многофакторной проверки подлинности проверкой (Подлинности) и другие формы проверки подлинности SAMLADAL works with OAuth 2.0 to enable more authentication and authorization scenarios, like Multi-factor Authentication (MFA), and more forms of SAML Auth.

Служба современной проверки подлинности может использоваться для получения доступа к защищенным ресурсам широким спектром приложений, которые выступают в качестве клиентов.A variety of apps that act as clients can leverage Modern Authentication for help in getting to secured resources. В Скайп Business Server 2015 эта технология используется между клиентами в локальной и локальные серверы для выдачи пользователям должного уровня авторизации на ресурсы.In Skype for Business Server 2015, this technology is used between on-premises clients and on-premises servers in order to give users a proper level of authorization to resources.

Для подключения с применением средства Modern Authentication (на основе ADAL и OAuth 2.0) характерны некоторые стандартные элементы.Modern Authentication conversations (which are based on ADAL and OAuth 2.0) have some elements in common.

  • Клиент, запрос для ресурса, в этом случае клиент Скайп для бизнеса.There is a client making a request for a resource, in this case, the client is Skype for Business.

  • Есть ресурс, к которому клиент должен конкретный уровень доступа, и этот ресурс обеспечивается службой каталогов, в данном случае ресурса Скайп для Business Server 2015.There is a resource to which the client needs a specific level of access, and this resource is secured by a directory service, in this case the resource is Skype for Business Server 2015.

  • Нет подключения к OAuth, иными словами, подключения, который является выделенным для авторизации пользователя для доступа к ресурсу.There is an OAuth connection, in other words, a connection that is dedicated to authorizing a user to access a resource. (OAuth также известные с более подробными описаниями имя проверки подлинности «Сервер-сервер» и часто сокращается как S2S).(OAuth is also known by the more descriptive name, 'Server-to-Server' auth, and is often abbreviated as S2S.)

В Скайп для бесед Business Server 2015 современных проверки подлинности (ADAL) Скайп для Business Server 2015 обменивается данными через службы федерации Active Directory (ADFS 3.0 в Windows Server 2012 R2).In Skype for Business Server 2015 Modern Authentication (ADAL) conversations, Skype for Business Server 2015 communicates through ADFS (ADFS 3.0 in Windows Server 2012 R2). Проверка подлинности может произойти с помощью другого поставщика удостоверений (IdP), но Скайп для Business server должна быть настроена для взаимодействия с AD FS, напрямую.The authentication may happen using some other Identity Provider (IdP), but Skype for Business server needs to be configured to communicate with ADFS, directly. Если вы еще не настроили службы федерации Active Directory для работы с Скайп для Business Server 2015 заполните установки службы федерации Active Directory.If you haven't configured ADFS to work with Skype for Business Server 2015 please complete the ADFS installation.

ADAL включен в 2016 марта накопительный пакет обновлений за Скайп для Business Server 2015 и 2016 марта накопительный пакет обновлений за Скайп для бизнеса, должны быть установлены и необходимые для успешной настройки.ADAL is included in the March 2016 Cumulative Update for Skype for Business Server 2015, and the March 2016 Cumulative Update for Skype for Business must be installed and is needed for successful configuration.

Примечание

Во время первоначального выпуска современных проверки подлинности в локальной среде поддерживается только в том случае, если отсутствует участвующие смешанная топология Скайп.During the initial release, Modern Authentication in an on-premises environment is supported only if there is no mixed Skype topology involved. Например, если среда находится Скайп исключительно для Business Server 2015.For example, if the environment is purely Skype for Business Server 2015. Этот оператор может быть изменена.This statement may be subject to change.

Для успешной настройки необходимо загрузить пакет PowerShell, содержащий файлы .ps1 с командами, которые используются в ADAL.A PowerShell package including .ps1 files with the commands used by ADAL must be downloaded for successful configuration.

Настройка ADAL в пуле и настройка ADFS в качестве сервера маркеров безопасностиConfigure ADAL in your pool and set ADFS as security token server

В этом процессе Скайп для пула Business Server 2015, которые настроены для ADAL подключения установку службы федерации Active Directory.In this process, you connect your installation of ADFS to a Skype for Business Server 2015 pool that is configured for ADAL.

  1. Установка 2016 марта накопительный пакет обновлений за Скайп для 2015 Business Server для вашей Скайп для пула Business Server 2015 или сервера Standard Edition.Install the March 2016 Cumulative Update for Skype for Business Server 2015 to your Skype for Business Server 2015 pool or Standard Edition server. (Планирование обслуживания windows, необходимые для запуска центра обновления Windows для автоматической установки.)(Schedule maintenance windows, as needed, to run Windows Update for the automatic installation.)

  2. В вашей локальной службы федерации Active Directory серверов, Загрузите программы установки-AdfsOAuthTrustForSfB скрипта.On your on-premises ADFS server(s), download the Setup-AdfsOAuthTrustForSfB script. (Это необходимо сделать на ферме службы федерации Active Directory или независимых серверов служб ADFS.(This needs to be done per ADFS farm or independent ADFS server(s). Он не требуется выполнить на прокси-сервер службы федерации Active Directory или прокси-серверы).It does not need to be done on ADFS Proxy or proxies).

  3. Запишите внутренних и внешних веб-службы полные доменные имена (FQDN) для вашей Скайп Business Server 2015 пула или сервера Standard Edition.Make a note of the internal and external Web Service fully qualified domain names (FQDNs) for your Skype for Business Server 2015 pool or Standard Edition server. Это необходимо сделать для всех Скайп для пулов бизнеса.This needs to be done for all the Skype for Business Pools.

  4. В PowerShell на серверах ADFS выполните сценарий Setup-AdfsOAuthTrustForSfB. Для этого потребуется ввести правильные URL-адреса внутреннего и внешнего полного доменного имени веб-службы. Ниже приводится пример.From PowerShell on the ADFS Server(s), run the Setup-AdfsOAuthTrustForSfB. You will need to enter the proper URLs for the internal and external Web Service FQDNs. Here's an example:

    Setup-AdfsOAuthTrustForSfB.ps1 -poolIDs https://contosoSkype.contoso.com,https://contoso01Skype.contosoIn.com

    Для любого дополнительных пулов необходимо вручную добавить URL-адреса пула Web Services в Скайп для Business Server 2015 доверия с проверяющей стороной в службы федерации Active Directory.For any additional pools, you will need to add the Pool Web Services URLs manually to the Skype for Business Server 2015 Relying Party Trust in ADFS.

    Важно!

    Невозможно использовать пассивную проверку подлинности для пула одновременно с ADAL.It isn't possible to use Passive Authentication for a Pool and also use ADAL. Чтобы использовать ADAL, сначала отключите пассивную проверку подлинности.You must disable Passive Authentication in order to use ADAL. Командлеты PowerShell по настройке проверки подлинности для пула см.For PowerShell cmdlets on how to set authentication for a Pool see this article.

    Совет

    Если у вас есть дополнительные пулы необходимо добавить их как идентификаторы доверия с проверяющей стороной в службы федерации Active Directory. > перейдите к серверу службы федерации Active Directory и откройте управления службы федерации Active Directory.If you have additional pools you need to add them as Identifiers to the Relying Party Trust in ADFS.> Go to your ADFS server and open ADFS Management. Разверните узел отношения доверия между > отношения доверия проверяющей стороны.Expand Trust Relationships > Relying Party Trusts. Щелкните правой кнопкой мыши доверия с проверяющей стороной, который указан и щелкните правой кнопкой мыши для свойства > идентификаторы > введите дополнительные URL-адреса пула > нажмите кнопку Добавить.Right-click the Relying Party Trust that's listed and right-click for Properties > Identifiers > type the additional Pool URL(s) > click Add.

  5. Вернуться к вашей Скайп для Business Server 2015 переднего плана или сервере Standard Edition server.Return to your Skype for Business Server 2015 Front End or Standard Edition server server. Здесь необходимо выполнить командлеты, которые создать сервер OAuth и изменять конфигурации OAuth для работы с Скайп для бизнеса.From here you must run cmdlets that create an OAuth server and modify that OAuth configuration to work with Skype for Business. Необходимо выполнить это действие один раз в Скайп для развертывания Business Server 2015.You only need to do this step once per Skype for Business Server 2015 deployment. Ниже приводится пример:Here is an example:

    New-CsOAuthServer -Identity sts.contosoIn.com -Type ADFS -MetadataURL https://sts.contosoIn.com/FederationMetadata/2007-06/FederationMetadata.xml

    Совет

    «Удостоверения» URL-адрес, см в этой команде является фактически службы федерации Active Directory Federation имя службы можно определить в управлении службы федерации Active Directory, когда щелкните правой кнопкой мыши службу > свойства.The 'Identity' URL you see in this command is actually the ADFS Federation Service Name you can see in ADFS Management when you right-click Service > Properties. «Тип» всегда службы федерации Active Directory, а «MetadataURL» — это всегда <имя службы Your ADFS> + «/ FederationMetadata/2007-06/FederationMetadata.xml».The 'Type' is always ADFS, and the 'MetadataURL' is always <Your ADFS service name> + "/FederationMetadata/2007-06/FederationMetadata.xml".

    Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity sts.contosoIn.com

  6. По-прежнему на вашей Скайп для Business Server 2015 переднего плана или сервере Standard Edition проверьте новую конфигурацию, введя адрес SIP пользователя и полное доменное имя пула.Still on your Skype for Business Server 2015 Front End or Standard Edition server, test the new configuration by entering the SIP address of a user and the pool FQDN. Необходимо выполнить это действие один раз в Скайп для развертывания Business Server 2015.You only need to do this step once per Skype for Business Server 2015 deployment. Далее приведен пример:This is an example:

    Test-CsRegistration -UserSipAddress AyakaY@contosoIns.com -TargetFqdn Pool1.contoso.com -Authentication OAuthInteractive

  7. При появлении запроса введите учетные данные тестового пользователя. Убедитесь, что тест завершен успешно.When prompted, be sure to enter the credentials of the test user. Verify that the test completes successfully.

    Примечание

    Если URL-адрес службы маркеров безопасности разрешается в службы федерации Active Directory во внутренней сети , строки, которое будут видеть будет запрос Безопасности Windows .When your STS URL resolves to ADFS internally , the prompt you will see will be a Windows Security prompt. Если он разрешается внешне, будет отображаться подсказка Вход.If the URL resolves externally, you'll see a prompt named Sign in. Обычно рекомендуется выполнить действия, которые приведут к отображению подсказки Безопасность Windows.Typically, we would want a Windows Security prompt here. Обратите внимание, что это поведение изменяется, особенно при реализации проверки подлинности по формам форм (FBA).Note that this behaviour varies, particularly if you implemented Forms-Based Authentication (or FBA).

Также помните, что если URL-адрес STS разрешается во внутреннем сервере ADFS, а в веб-браузерах включена встроенная проверка подлинности Windows, на компьютерах, на которых много разных пользователей входят в клиентские приложения, будут возникать ошибки проверки подлинности, если в веб-браузере не настроено явным образом предлагать пользователям вводить учетные данные в определенной зоне безопасности. В качестве примера можно представить киоск. Учетная запись, под которой выполнен вход в операционную систему, может отличаться от учетной записи пользователя, под которой выполнен вход в клиент Skype для бизнеса. В этом случае могут возникнуть описанные здесь ошибки.Also be aware, when the STS URL resolves to an internal ADFS server and Windows Integrated authentication is enabled in browsers, computers where many different users sign in to client applications may have failures to authenticate unless the browser is explicitly configured to prompt users for their credentials in a given browser Security Zone. Think of a kiosk as an example. The account that is logged in to the Operating System may be different than the user account logging into the Skype for Business client. If this is the case, you may see the failures described here.

Можно просмотреть и изменить этот параметр браузера в Internet Explorer, нажав кнопку > средства (или шестеренки) > свойства обозревателя > вкладку Безопасность > и зоны безопасности (например, Местная интрасеть).You can see and change this browser setting in Internet Explorer by clicking > Tools (or the Gear) > Internet Options > Security tab > and the Security Zone (such as Local Intranet). В этом диалоговом окне нажмите кнопку "Другой" и прокрутите до конца списка в диалоговом окне "Параметры".From this dialog, click the Custom level button and scroll to the end of the list in the Settings dialog. В разделе Проверка подлинности пользователя > входа в систему > вы увидите параметр «Запрашивать имя пользователя и пароль».Under User Authentication > Login > you'll see an option to 'Prompt for user name and password'. Если у вас есть киоски, где пользователь, запускающий клиент Skype для бизнеса, отличается (имеет другую учетную запись) от пользователя, вошедшего в компьютер, можно для таких компьютеров в целях тестирования установить для этого параметра значение "ВКЛ." в групповой политике.If you have kiosks where the user who starts the Skype for Business client is different (has a different account) from the user logged into the computer, you may want to test setting this option to 'ON' for these machines in a Group Policy.

Наконец, может отображаться несколько подсказок, так как система безопасности собирает данные, необходимые для проверки подлинности или авторизации вашей учетной записи.Finally, and importantly, you may experience more than one prompt as the security system collects the information it needs to authenticate or authorize your account.

Другие варианты включения входа ADAL (например, в клиентских приложениях Office)Other Options for Enabling ADAL sign-in (like Office client apps)

Теперь, когда ADAL настроен для вашей Скайп для бизнеса и (автоматически) для клиентских приложений Office 2016 платформ, можно использовать его для Exchange Online (где он не «На» по умолчанию) или в клиентах Office 2013.Now that ADAL is configured for your Skype for Business and (automatically) for Office 2016 client apps across platforms, you may want to leverage it for Exchange Online (where it is not 'On' by default), or in Office 2013 clients.

Важно!

Необходимо знать, чего следует ожидать от проверки подлинности на современном войти в систему из клиентских приложений?Need to know what to expect from Modern Authentication sign-ins from your client apps? Рассмотрим того, как современные выполняется проверка подлинности для Office 2013 и Office 2016 клиентских приложений.Take a look at How modern authentication works for Office 2013 and Office 2016 client apps.

Для включения проверки подлинности на современном на Exchange Online, необходимо выполнить некоторые командлеты PowerShell.To turn Modern Authentication on for Exchange Online, you'll need to run some PowerShell cmdlets. В случае клиентских приложений Office 2013 необходимо изменить некоторые разделы реестра на клиентских компьютерах.In the case of Office 2013 client apps, you will need to change some registry keys on client machines.

  • Подключение к Exchange Online и выполните следующие командлеты:Connect to Exchange Online and run the following cmdlets:

    Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

    Get-OrganizationConfig | ft name, *OAuth*

  • Настройте эти разделы реестра для каждого устройства и компьютера, на котором необходимо включить современную проверку подлинности.Set these registry keys for every device or computer on which you want to enable Modern Authentication. В крупных организациях необходимо использовать объекты групповой политики.You will need a GPO in larger organizations. Сведения о том, как сделать объект групповой Политики можно «Создать объект групповой политики для изменения реестра на компьютеров, входящих в домен» этой статьи.For information on how to make a GPO, see the 'Create a Group Policy Object to modify the registry on a domain joined computer' of this article.

Параметр реестраRegistry Key
ТипType
ЗначениеValue
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADALHKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL
REG_DWORDREG_DWORD
11
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\VersionHKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version
REG_DWORDREG_DWORD
11

После настройки этих разделов задайте ваших приложений Office 2013 для использования Multifactor проверки подлинности (многофакторной проверкой Подлинности) с помощью Office 365.Once these keys are set, set your Office 2013 apps to use Multifactor Authentication (MFA) with Office 365.

Совет

Чтобы отключить современных проверки подлинности на устройствах для Office 2013, значение раздела реестра HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL нулевое значение.To disable Modern Authentication on devices for Office 2013, set the HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL registry key to a value of zero. Обратите внимание, что следующий раздел реестра (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL) можно использовать также для отключения проверки подлинности на современном на устройствах 2016 Office.Be aware that a similar Registry key (HKCU\SOFTWARE\Microsoft\Office\ 16.0 \Common\Identity\EnableADAL) can also be used to disable Modern Authentication on devices for Office 2016.

Клиенты, на которых служба Modern Authentication или ADAL не поддерживаетсяClients where Modern Authentication / ADAL isn't Supported

Некоторые версии клиентов не поддерживают протокол OAuth. Проверьте вашу версию клиента Office в разделе "Установка и удаление программ" панели управления и сравните с приведенными ниже номерами (и диапазоном) версий:Some client versions don't support OAuth. You can check your version of Office client in Control Panel where you Add and Remove programs in order to compare your version number to the versions (or ranges of versions) listed here:

  • Клиент Office 15.0. [0000-4766].*Office Client 15.0.[0000-4766].*

  • Клиент Office 16.0. [0000-4293].*Office Client 16.0.[0000-4293].*

  • Клиент Office 16.0.6001.[0000–1032]Office Client 16.0.6001.[0000-1032]

  • Клиент Office 16.0. [6000-6224].*Office Client 16.0.[6000-6224].*