Outlook on the web (OWA)

Outlook on the web (https://microsoft.com/microsoft-365/outlook) — это веб-почта для доступа к серверу совместной работы.

Подключение Outlook к Blitz Identity Provider выполняется по протоколу SAML и состоит из трех этапов:

• Этап 1. Настройки Exchange organization для использования аутентификации ADFS

• Этап 2. Настройки аутентификации ADFS в Outlook on the web и в виртуальных каталогах EAC

• Этап 3. Настройки на стороне Blitz Identity Provider

Этап 1. Настройки Exchange organization для использования аутентификации ADFS

Чтобы настроить организацию Exchange на использование аутентификации ADFS, необходимо использовать командную строку Exchange. Чтобы узнать, как открыть командную строку Exchange в локальной организации Exchange, перейдите по ссылке.

1. Запустите команду, чтобы найти отпечаток сертификата:

Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

2. Далее введите команду:

Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/blitz/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"

В этом примере используются значения:

• Blitz URL: https://login.company.com/blitz/
• Outlook on the web URL: https://cloudmail.company.com/owa/
• EAC URL: https://cloudmail.company.com/ecp/
• Отпечаток сертификата подписи токена: https://login.company.com/blitz/saml/profile/WSF-PRP/WSIGNIN/GET

Этап 2. Настройки аутентификации AD FS в Outlook on the web и в виртуальных каталогах EAC

Для Outlook on the web и виртуальных каталогов EAC необходимо настроить аутентификацию AD FS как единственный доступный метод, отключив все остальные методы.

1. Чтобы использовать командную консоль Exchange для настройки EAC или Outlook on the web в виртуальном каталоге так, чтобы они принимали только аутентификацию ADFS, введите следующую команду (для примера указан сервер с именем Mailbox01):

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

В этом примере используются следующие значения параметра VirtualDirectoryIdentity:

• "Mailbox01\ecp https://mail.company.com/ecp/" - настройка виртуальный каталог EAC на веб-сайте по умолчанию на сервере с именем Mailbox01;
• "Mailbox01\owa https://mail.company.com/owa/" - настройка Outlook в виртуальном каталоге Web на веб-сайте по умолчанию на сервере с именем Mailbox01.

2. Чтобы настроить все виртуальные каталоги EAC и Outlook on the web на каждом сервере Exchange в вашей организации, выполните следующие команды:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Этап 3. Настройки на стороне Blitz Identity Provider

В консоли управления Blitz Identity Provider перейдите в раздел SAML и выполните следующие действия:

1. Нажмите Добавить новый SAML-атрибут.

2. Укажите название первого атрибутова - upn и windowsaccountname и источник в хранилище. В данном случае источники userPrincipalName и sAMAccountName. Выберите их из выпадающего списка его источник в хранилище - userPrincipalName.

3. Укажите название второго атрибута - windowsaccountname и выберите из выпадающего списка его источник в хранилище - sAMAccountName.

4. После каждого заполнения свойств атрибутов нажмите Добавить.

5. Далее добавьте кодировщик для каждого атрибута. Для этого выберите атрибут и нажмите Добавить кодировщик.

6. Для атрибута upn добавьте кодировщики SAML1String и SAML1StringNameIdentifier, для атрибута windowsaccountname добавьте кодировщик SAML1String.

7. Задайте настройки кодировщиков по аналогии с приведенным ниже примером:

Настройки кодировщиков для атрибута upn

Настройки кодировщика для атрибута windowsaccountname

8. Нажмите Сохранить после каждого создания кодировщика.
9. Далее в консоли управления Blitz Identity Provider перейдите в раздел Приложения.
10. Создайте новое приложение, задав его базовые настройки:

• Идентификатор (entityID или client_id): https://mail.company.com/owa/
• Название: укажите название приложения, которое видно только внутри Blitz. Например, OWA.
• Домен: https://mail.company.com/owa/

11. Нажмите Сохранить.

12. Далее нажмите кнопку Параметры у предложения OWA и отредактируйте параметры приложения:

• Стартовая страница приложения: https://mail.company.com/owa

• Протоколы: выберите SAML и нажмите Сконфигурировать

• Выберите WS-Federation Passive Requestor Profile и нажмите Сконфигурировать. Установите следующие настройки:

  • Подписывать утверждения: conditional
  • Время жизни утверждений: PT30M
  • Включить передачу SAML-утверждений о пользователе в специальном блоке AttributeStatement: установить флажок.

13. В разделе Атрибуты пользователя настройте передачу в Outlook атрибутов, созданных на первом этапе SAML-атрибутов и атрибута transientId. Пометьте передачу атрибутов upn и windowsaccountname галочкой.

14. Нажмите Сохранить.
15. Далее в разделе Метаданные нажмите Изменить. Скопируйте и вставьте следующий код:

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
	xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	entityID="https://mail.company.com/owa/">
	<md:SPSSODescriptor protocolSupportEnumeration="urn:mace:shibboleth:wsf-prp:1.0:protocol">
		<md:AssertionConsumerService Binding="urn:mace:shibboleth:1.0:bindings:HTTP-POST-wsignin"
		Location="https://mail.company.com/owa/"
		index="1"/>
		<md:AssertionConsumerService Binding="urn:mace:shibboleth:1.0:bindings:HTTP-POST-wsignin"
		Location="https://mail.company.com/ecp/"
		index="2"/>
	</md:SPSSODescriptor>
</md:EntityDescriptor>

16. Нажмите Сохранить.