Перейти к основному контенту

Outlook on the web (OWA)

Подключение Outlook on the web (OWA)

Outlook on the web (https://microsoft.com/microsoft-365/outlook) — это веб-почта для доступа к серверу совместной работы.

Подключение Outlook к Blitz Identity Provider выполняется по протоколу SAML и состоит из трех этапов:

  • Этап 1. Настройки Exchange organization для использования аутентификации ADFS

  • Этап 2. Настройки аутентификации AD FS в Outlook on the web и в виртуальных каталогах EAC

  • Этап 3. Настройки на стороне Blitz Identity Provider

Важно:

В инструкции для примера указано, что Outlook расположен на домене https://mail.company.com/owa, а Blitz IDP установлен на домене https://login.company.com. Уточните ваши адреса перед применением инструкции.

Этап 1. Настройки Exchange organization для использования аутентификации ADFS

Чтобы настроить организацию Exchange на использование аутентификации ADFS, необходимо использовать командную строку Exchange. Чтобы узнать, как открыть командную строку Exchange в локальной организации Exchange, перейдите по ссылке.

  1. Запустите команду, чтобы найти отпечаток сертификата:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
  1. Далее введите команду:
Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"

В этом примере используются значения:

  • AD FS URL: https://adfs.company.com/adfs/ls/
  • Outlook on the web URL: https://mail.company.com/owa/
  • EAC URL: https://mail.company.com/ecp/
  • Отпечаток сертификата подписи токена AD FS: ADFS Signing - adfs.company.com, сертификат со значением отпечатка 88970C64278A15D642934DC2961D9CCA5E28DA6B

Этап 2. Настройки аутентификации AD FS в Outlook on the web и в виртуальных каталогах EAC

Для Outlook on the web и виртуальных каталогов EAC необходимо настроить аутентификацию AD FS как единственный доступный метод, отключив все остальные методы.

  1. Чтобы использовать командную консоль Exchange для настройки EAC или Outlook on the web в виртуальном каталоге так, чтобы они принимали только аутентификацию ADFS, введите следующую команду (для примера указан сервер с именем Mailbox01):
Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

В этом примере используются следующие значения параметра VirtualDirectoryIdentity:

  • "Mailbox01\ecp https://mail.company.com/ecp/" - настройка виртуальный каталог EAC на веб-сайте по умолчанию на сервере с именем Mailbox01;
  • "Mailbox01\owa https://mail.company.com/owa/" - настройка Outlook в виртуальном каталоге Web на веб-сайте по умолчанию на сервере с именем Mailbox01.
  1. Чтобы настроить все виртуальные каталоги EAC и Outlook on the web на каждом сервере Exchange в вашей организации, выполните следующие команды:
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Этап 3. Настройки на стороне Blitz Identity Provider