Skype for Business MACP, AD FS et Home Realm Discovery

Skype for Business MACP, AD FS et Home Realm Discovery

30 mars 2022 Non Par Stefan Plizga

Skype for Business permet de configurer le MACP (Modern Administration Control Panel) avec AD FS. La documentation officielle est ici : https://docs.microsoft.com/en-us/skypeforbusiness/control-panel-auth-script

Dans le cas où l’infrastructure AD FS dispose de plusieurs « Claims Provider Trusts », l’écran de sélection du bon « Claim Provider Trust » appelé « Home Realm Discovery » (HRD) apparait avant que l’administrateur Skype for Business Server ne puisse être authentifié avec AD FS.

Il peut être utile de ne pas afficher l’écran HRD pour accéder à Skype for Business MACP, notamment dans le cas où les Claims Provider Trusts additionnels dans AD FS ne serviront jamais pour authentifier un administrateur Skype for Business. Cet article montre comment configurer cela pour une application OAuth / OpenID Connect dans AD FS.

Important : cette méthode est également possible pour n’importe quelle application OAuth / OpenID Connect configurée dans AD FS en tant que « Native Application ».

Après avoir lancé le script de Microsoft pour configurer MACP dans AD FS, on obtient cela dans AD FS :

Dans AD FS, pour une application SAML (visible dans Relying Party Trusts), il est simple de sélectionner le ou les Claims Provider Trusts souhaités avec la commande Set-AdfsRelyingPartyTrust -ClaimsProviderName.

Par contre, pour une application OAuth / OpenID Connect, l’option n’est pas disponible pour une « Native Application », mais seulement pour une Web API. L’astuce consiste à configurer une Web API dans l’Application Group concerné, ici Skype for Business Sever 2019 MACP.

Dans un premier temps, il faut récupérer le Client ID de la Native Application :

Ensuite, dans l’écran précédent, cliquer sur Add application pour ajouter une Web API :

Dans Identifier, copier le Client ID récupéré précédemment :

Choisir ensuite l’Access Control Policy souhaitée, en général on limitera l’authentification depuis le réseau d’entreprise :

Laisser le scope par défaut :

La Web API apparait ensuite :

En PowerShell, il est maintenant possible d’utiliser la commande Set-AdfsWebApiApplication pour définir le ou les Claims Provider Trusts à utiliser :

Set-AdfsWebApiApplication -TargetName "Skype for Business Server 2019 MACP - Web API" -ClaimsProviderName @("Active Directory")

— Stefan

CatégorieAD FS Skype for Business Server
Mots-clésHRD OAuth OIDC