摘要
本文介绍以下Skype for Business功能的身份验证机制:
-
电话拨入式会议
-
新式管理员 控制面板
-
Web 计划程序应用程序
注意: 建议使用新的新式管理员 控制面板 (MACP) ,而不是旧的管理员 控制面板。 这是因为旧面板在不受支持且未收到任何安全更新的 Silverlight 技术上运行。
有关 Web 计划程序组件的详细信息,请参阅 Skype for Business Web计划程序。
为 MACP 设置 OAuth 的先决条件
-
若要启用新式管理员 控制面板,Active Directory 联合身份验证服务 (AD FS) 服务器必须在Windows Server 2016或更高版本上运行。
注意: 若要能够使用 MACP,管理员无需启用会话初始协议 (SIP) 。
为 MACP 设置 OAuth
2023 年 6 月累积更新 7.0.2046.521,适用于 Skype for Business Server 2019,Macp Web 组件为以下功能提供基于 AD FS 的 OAuth 身份验证支持:
-
电话拨入式会议
-
新式管理员 控制面板
-
Web 计划程序
启用基于 ADFS 的 OAuth 身份验证
场服务器上的 ADFS
-
若要在场服务器上启用 ADFS,请确保拓扑中存在 AD FS 场。 有关详细信息,请参阅联合身份验证服务、配置联合服务器。
FE 服务器上的 ADFS
若要在前端 (FE) Skype for Business Server 2019 服务器上启用 AD FS,请执行以下步骤:
-
安装 2023 年 6 月累积更新 7.0.2046.521,适用于 Skype for Business Server 2019,Macp Web 组件在 Skype for Business Server 2019 环境中所有池中的所有 FE 服务器上。
-
配置AD_FS OAuth:
-
若要在 ADFS 服务器上创建应用,请运行 New-CsAdfsApplicationForSFBWebApps cmdlet。 cmdlet 将提示输入所需的输入,例如 ADFS 服务器 FQDN 凭据登录、ADFS 应用程序组名称 (默认值:SFB) 、ADFS 本机应用程序名称 (默认值:SFBWebapps) 、拓扑中的池名称、内部域名、外部域名以及 MACP 的简单 URL。
注意:
-
cmdlet 将为应用生成唯一的 adfsclientid (GUID) 。
-
若要编辑应用,请使用所需的输入运行 Set- CsAdfsApplicationForSFBWebApps cmdlet。
-
使用标识名称“onpremsts”运行 New-CsOauthServer cmdlet 以配置 ADF OAuth。 提供从上一步获取的 AdfsMetadataUrl 和 AdfsClientId 值。
-
若要禁用 ADF OAuth,请运行 Remove-CsOauthServer onpremsts cmdlet。
-
若要启用 ADF OAuth,请运行 New-CsOAuthServer cmdlet。
-
-
若要为 MACP 启用 OAuth,必须安装 2019 年 6 月累积更新 7.0.2046.521(适用于 2019 Skype for Business Server Macp Web 组件)。
-
如果在服务器上安装了 OAuth,则更新Skype for Business Server时无需再次启用 OAuth。
-
无法按池启用或禁用 OAuth 身份验证。 OAuth 必须共同应用于所有池。
OAuth 的登录屏幕
如果 OAuth 配置正确,则登录屏幕将显示给管理员以输入用户名和密码。
