對Office 365的ECE OAUTH2身份驗證進行故障排除

下載選項

  • ePub     (81.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (69.5 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2022 年 12 月 13 日
文件 ID:218453

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹排除企業版聊天與電子郵件(ECE)與Microsoft Office 365(O365)電子郵件整合的問題的步驟。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 企業版聊天與電子郵件(ECE)12.6
    • Microsoft Office 365(O365)
    • Microsoft Azure Active Directory(Azure AD)

    採用元件

    本檔案中的資訊是根據以下軟體版本:

    • 歐洲經委會12.6(1)
    • Azure AD
    • O365

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景

    Microsoft已正式棄用O365電子郵件帳戶的基本身份驗證。該計畫於2019年宣佈,後因COVID-19被推遲至2022年10月。即使在2022年10月的最後期限之後,微軟也允許最後一次重新啟用基本身份驗證。這一最後例外於2022年12月31日結束。在此日期之後,Microsoft不再為任何客戶啟用基本身份驗證。 

    此檢查清單中的專案來自TAC與客戶合作以配置此功能的服務請求。由於O365和Azure AD的許可方式,TAC無法在實驗室中重新建立或檢查這些專案。如果您需要有關這些方面的任何幫助,請聯絡Microsoft支援或您的內部IT支援團隊。

    檢查專案

    最低版本

    針對ECE with O365的OAuth支援在ECE工程特別計畫中引入,作為對思科錯誤ID CSCvr86493的回應 .您必須確保ECE安裝了正確的ES,並使用正確的文檔。

    最佳實踐是安裝適用於您版本的最新ES。

    系統配置

    必須正確配置Web URL。具體設定根據ECE的版本而變化。必須將其配置為與代理和管理員用於登入ECE的URL匹配,且格式為https://ece.example.com。

    在每個版本中設定名稱:

      11.5 - 12.5:分割槽級別設定,「Web伺服器URL或負載平衡器URL」

      12.6 + :分割槽>應用>常規設定>「應用程式的外部URL」

    此設定還用於單點登入(SSO)和聊天入口點的預設HTML。在OAuth for O365發行之前的版本中,除非使用代理SSO,否則此設定不是強制性的。在所有使用OAuth的部署中,必須配置此設定。此外,該名稱必須與用於登入管理控制檯的FQDN匹配。 

    Azure AD應用程式

    請確保在配置Azure AD應用程式時嚴格遵循文檔。 

    具體附註:

    1. 重定向URL - FQDN必須與ECE中應用程式設定的外部URL匹配,並且必須在訪問管理控制檯時使用。
    2. 訪問令牌 — 刷新令牌必須持續60分鐘。 

    權杖產生

    令牌生成過程是配置過程中最重要的步驟之一。最佳作法是在嘗試發出權杖之前,確保已在隱匿或私人模式下開啟瀏覽器。這將提示使用者輸入憑據。確保為其建立令牌的使用者完全控制郵箱。

    對此的解釋是,大多數客戶也使用Azure AD進行使用者身份驗證。使用者開啟瀏覽器時,其憑證會通過Kerberos傳遞到login.microsoft.com站點。這反過來導致向登入到工作站或伺服器的使用者(而不是可以訪問郵箱的帳戶)發出令牌。 

    信箱組態

    確保郵箱已啟用所需的協定。至少必須啟用SMTP才能允許傳送郵件。您還必須根據設計啟用IMAP或POP3。

    Exchange許可證 

    確保至少已向Exchange Online中的郵箱分配了一個E3許可證。 

    郵箱許可權

    ECE支援兩種型別的郵箱訪問使用者帳戶。 

     1.郵箱帳戶 — 此方法要求您為要進行ECE檢查的每個郵箱建立一個帳戶和訪問令牌。例如,如果您有兩個郵箱sales@example.comsupport@example.com,則必須在部門中建立兩個電子郵件帳戶。對於一個帳戶,您必須建立令牌並使用sales@example.com使用者名稱和密碼登入。必須使用support@example.com使用者名稱和密碼建立第二個帳戶令牌。

     2.共用帳戶 — 此方法允許您使用可以訪問多個郵箱的單個郵件帳戶。若要繼續使用銷售和支援郵箱,請在此處建立一個帳戶,但為已完全控制郵箱的Azure AD帳戶建立具有使用者名稱和密碼的令牌。 

    兩種訪問方法都有其優缺點,但是由您來決定哪一種最適合您的特定環境。 

    網路連線

    ECE要求服務伺服器和所有應用伺服器都可以訪問O365域以及login.microsoft.com域。在服務伺服器上進行所有後續令牌更新時,從應用伺服器開始建立初始令牌。服務伺服器具有檢索器和分派器進程,因此IMAP/POP3和SMTP埠必須對此伺服器開放。此外,應用伺服器必須能夠傳送電子郵件,以便警報通知正常工作。在嘗試設定或使用O365整合之前,驗證《安裝指南》中呼叫的所有埠都已開啟。

    URL

    服務伺服器和應用伺服器必須至少能夠訪問這些URL。

     - *.office365.com

     -login.microsoftonline.com

    您的特定實施可能需要其他URL。 

    連接埠

    服務伺服器和應用伺服器必須至少能夠訪問這些埠。

     - TCP 443 -(HTTPS)用於生成和更新訪問令牌和刷新令牌

     - TCP 587 -(SMTP over STARTTLS)由排程程式進程和警報通知進程使用

     - TCP 993 — (使用SSL/TLS的IMAP)由檢索器進程使用

     - TCP 995 — (使用SSL/TLS的POP3)由檢索器進程使用

    參考:POP、IMAP和SMTP設定

    連通性測試

    Microsoft建立了一個可用於測試連通性的網站。這不是思科或eGain提供的工具,TAC無法就其使用提供任何支援。您可以從應用和服務伺服器使用此命令來測試配置和連線。ECE僅支援出站的SMTP和入站的IMAP或POP3。使用Microsoft網站中的「出站SMTP電子郵件」測試以及「POP電子郵件」和「IMAP電子郵件」測試。

    https://testconnectivity.microsoft.com/tests/o365

    檔案連結

    11.6(1)

    12.0(1)

    12.5(1)

    12.6(1)

    修訂記錄

    修訂 發佈日期 意見
    1.0
    13-Dec-2022
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Robert W Rogier
      Cisco TAC

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品