Exchange Hybrid本地OWA/ECP启用HMA后OAuth认证失败:The token should have valid permissions or linked account associated with partner application

问题描述

今天按照How to configure Exchange Server on-premises to use Hybrid Modern Authentication说明配置Exchange Server 2019 CU14后引入的启用OWA HMA功能,配置好OAuth后OWA页面可正常跳转微软登录认证,但无法正常登录本地OWA,而是无限跳转到登录页面。



F12看到可以正常从Azure AD拿到token:

POST回OWA后,OWA会在Cookie设置一个OpenIdConnect.token.v1:

再次跳转OWA后就出错了:

导致再次跳转到微软登录验证。

 

查看日志

打开Exchange的日志

C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa

C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp

可以看到以下上面两次OWA请求对应OAuthExtension相关的日志(这里拿了ECP日志):

可以看到第一次V1OpenId成功认证后变为ExchangeSelfIssuedSession,但ExchangeSelfIssuedSession认证时出现以下问题

可见问题关键点:

  • 本地Exchange的Partner Application未正确配置Exchange Online的LinkedAccount

解决方案

检查Partner Application配置

运行以下命令确认配置:

发现Exchange Online的LinkedAccount为空

设置正确的 LinkedAccount

此步骤作用:

  • 绑定Partner Application到正确的 本地 Exchange Online-ApplicationAccount 账户
  • 允许Exchange Server正确处理OAuth身份验证。

电脑迷

电脑爱好者/Vmoe字幕组组员/舰娘轻度患者/AE初学者

相关文章

0 评论
    留言