排除Office 365的ECE OAUTH2身份验证故障

下载选项

  • ePub     (81.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (69.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 12 月 13 日
文档 ID:218453

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍排除企业聊天和电子邮件(ECE)与Microsoft Office 365(O365)电子邮件集成的故障的步骤。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 企业聊天和电子邮件(ECE)12.6
    • Microsoft Office 365(O365)
    • Microsoft Azure Active Directory(Azure AD)

    使用的组件

    本文档中的信息基于以下软件版本:

    • 欧洲经委会12.6(1)
    • Azure AD
    • O365

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景

    Microsoft已正式弃用O365电子邮件帐户的基本身份验证。该计划在2019年宣布,后因新型冠状病毒肺炎(COVID-19,即2019冠状病毒病)推迟至2022年10月。即使在2022年10月的最后期限之后,Microsoft也允许最后一次重新启用基本身份验证。这一最后例外于2022年12月31日结束。在此日期之后,Microsoft不再对任何客户启用基本身份验证。 

    此检查列表中的项目来自TAC与客户合作以配置此功能的服务请求。由于O365和Azure AD的许可方式,TAC无法在实验室中重新创建或检查这些项目。如果您需要上述任何方面的帮助,请联系Microsoft支持或您的内部IT支持团队。

    检查项目

    最低版本

    针对ECE的OAuth支持与O365一起引入ECE工程特别计划,以响应Cisco bug ID CSCvr86493 .您必须确保ECE安装了正确的ES并使用正确的文档。

    最佳实践是安装适用于您的版本的最新ES。

    系统配置

    必须正确配置Web URL。具体设置根据ECE的版本而变化。必须配置此项,使其与代理和管理员用于登录ECE的URL匹配,并且其格式为:https://ece.example.com。

    在每个版本中设置名称:

      11.5 - 12.5:分区级别设置,“Web服务器URL或负载均衡器URL”

      12.6 + :分区>应用>常规设置>“应用的外部URL”

    此设置也用于单点登录(SSO)和聊天入口点的默认HTML。在OAuth for O365发行之前的版本中,除非使用代理SSO,否则此设置不是必需的。在所有使用OAuth的部署中,必须配置此设置。此外,这必须与用于登录管理控制台的FQDN匹配。 

    Azure AD应用程序

    确保在配置Azure AD应用程序时严格遵循文档。 

    具体注释:

    1. 重定向URL - FQDN必须与ECE中应用的外部URL设置匹配,并且必须在访问管理控制台时使用。
    2. 访问令牌 — 刷新令牌必须持续60分钟。 

    令牌生成

    令牌生成过程是配置过程中最重要的步骤之一。最佳实践是在尝试发出令牌之前,确保浏览器已在隐名模式或私有模式下打开。这会提示用户输入凭证。确保为其创建令牌的用户完全控制邮箱。

    原因在于,大多数客户也使用Azure AD进行用户身份验证。用户打开浏览器时,其凭证通过Kerberos传递到login.microsoft.com站点。反过来,这会导致向登录到工作站或服务器的用户(而不是可以访问邮箱的帐户)颁发令牌。 

    邮箱配置

    确保邮箱已启用所需的协议。至少必须启用SMTP才能允许发送邮件。您还必须根据设计启用IMAP或POP3。

    Exchange许可证 

    确保至少已向Exchange Online中的邮箱分配了一个E3许可证。 

    邮箱权限

    ECE支持两种类型的邮箱访问用户帐户。 

     1.邮箱帐户 — 此方法要求您为要进行ECE检查的每个邮箱创建一个帐户和访问令牌。例如,如果您有两个邮箱sales@example.comsupport@example.com,则必须在部门中创建两个电子邮件帐户。对于一个帐户,您必须创建令牌并使用sales@example.com用户名和密码登录。第二个帐户令牌必须使用support@example.com用户名和密码创建。

     2.共享帐户 — 此方法允许您使用可以访问多个邮箱的单个邮件帐户。要继续使用销售和支持邮箱,请在此处创建一个帐户,但为已授予邮箱完全控制权的Azure AD帐户创建具有用户名和密码的令牌。 

    两种访问方法都有其优缺点,但是由您自己决定哪种方法最适合您的特定环境。 

    网络连接

    ECE要求服务服务器和所有应用服务器均可访问O365域以及login.microsoft.com域。在应用服务器上创建初始令牌时,所有后续令牌更新都在服务服务器上进行。服务服务器具有检索器和调度程序进程,因此IMAP/POP3和SMTP端口必须对此服务器开放。此外,应用服务器必须能够发送电子邮件,以便警报通知正常运行。在您尝试设置或使用O365集成之前,验证《安装指南》中调用的所有端口都已打开。

    URL

    服务服务器和应用服务器必须至少能够访问这些URL。

     - *.office365.com

     -login.microsoftonline.com

    您的特定实施可能需要其他URL。 

    端口

    服务服务器和应用服务器必须至少能够访问这些端口。

     - TCP 443 -(HTTPS)用于生成和更新访问令牌和刷新令牌

     - TCP 587 — (STARTTLS上的SMTP)由调度程序进程和警报通知进程使用

     - TCP 993 — (通过SSL/TLS的IMAP)供检索器进程使用

     - TCP 995 -(POP3 over SSL/TLS)供检索器进程使用

    参考:POP、IMAP和SMTP设置

    连通性测试

    Microsoft已创建了一个可用于测试连通性的网站。这不是思科或eGain提供的工具,TAC无法为其使用提供任何支持。您可以从应用和服务服务器使用它来测试配置和连接。ECE仅支持SMTP用于出站,IMAP或POP3用于入站。使用Microsoft网站的“出站SMTP电子邮件”测试以及“POP电子邮件”和“IMAP电子邮件”测试。

    https://testconnectivity.microsoft.com/tests/o365

    文档链接

    11.6(1)

    12.0(1)

    12.5(1)

    12.6(1)

    修订历史记录

    版本 发布日期 备注
    1.0
    13-Dec-2022
    初始版本
    TAC Authored

    由思科工程师提供

    • Robert W Rogier
      思科TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品