Перейти к основному контенту

Outlook on the web (OWA)

Outlook on the web (https://microsoft.com/microsoft-365/outlook) — это веб-почта для доступа к серверу совместной работы.

Подключение Outlook к Blitz Identity Provider выполняется по протоколу WS-Federation (частный случай протокола SAML от Microsoft). На стороне Exchange и состоитOWA настройки будут выполняться для метода аутентификации ADFS, т.к. в данном случае Blitz Identity Provider выступает заменой ADFS. Cостоит из трех этапов:

  • Этап 1. Настройки Exchange organization для использования аутентификации ADFS

  • Этап 2. Настройки аутентификации ADFS в Outlook on the web и в виртуальных каталогах EAC

  • Этап 3. Настройки на стороне Blitz Identity Provider

Важно:

В инструкции для примера указано, что Outlook расположен на домене https://mail.company.com/owa, а Blitz IDP установлен на домене https://login.company.com. Уточните ваши адреса перед применением инструкции.

Этап 1. Настройки Exchange organization для использования аутентификации ADFS

Чтобы

    настроить
  1. Необходимо организациюполучить Exchangeотпечаток насертификата использованиеBlitz. аутентификацииДля ADFS,этого необходимонужно использоватьвзять команднуюего строкуиз Exchange.метаданных ЧтобыBlitz узнать,- как открыть командную строку Exchange в локальной организации Exchange, перейдитепройдите по ссылке https://login.company.com/blitz/saml/profile/Metadata/SAML, откройте XML документ с метаданными и найдите раздел <ds:X509Certificate>.

    1. Запустите команду, чтобы найти отпечаток сертификата:Например:

    Добавьте строки:

    Set-Location-----BEGIN Cert:\LocalMachine\Root;CERTIFICATE-----
  Get-ChildItem<значение |сертификата>
  Sort-Object-----END SubjectCERTIFICATE-----

    Сохраните сертификат в файл с расширением .crt. Найдите в данных сертификата отпечаток SHA-1.

    1. Далее введите команду:
    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceNameBlitzURL>/blitz/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"

    ВГде этомуказать примере используютсяследующие значения:

    • Blitz URLBlitzURL: https://login.company.com/idp.tech.int/blitz/saml/profile/WSF-PRP/WSIGNIN/GET
    • OotwURL (Outlook on the web URLURL): https://cloudmail.mail.company.com/owa/
    • EAC URLEACURL: https://cloudmail.mail.company.com/ecp/
    • ОтпечатокThumbprint сертификата(отпечаток подписи токенасертификата): https://login.company.com/blitz/saml/profile/WSF-PRP/WSIGNIN/GETукажите значение, полученное в п.1

    Этап 2. Настройки аутентификации AD FS в Outlook on the web и в виртуальных каталогах EAC

    Для Outlook on the web и виртуальных каталогов EAC необходимо настроить аутентификацию AD FS как единственный доступный метод, отключив все остальные методы.

    1. Чтобы использовать командную консоль Exchange для настройки EAC или Outlook on the web в виртуальном каталоге так, чтобы они принимали только аутентификацию ADFS, введите следующую команду (для примера указан сервер с именем Mailbox01):
    Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

    В этом примереГде используются следующие значения параметра VirtualDirectoryIdentity:

    • "Mailbox01\ecp https://mail.company.com/ecp/" - настройка виртуальный каталог EAC на веб-сайте по умолчанию на сервере с именем Mailbox01;
    • "Mailbox01\owa https://mail.company.com/owa/" - настройка Outlook в виртуальном каталоге Web на веб-сайте по умолчанию на сервере с именем Mailbox01.
    1. Чтобы настроить все виртуальные каталоги EAC и Outlook on the web на каждом сервере Exchange в вашей организации, выполните следующие команды:
    Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

    Этап 3. Настройки на стороне Blitz Identity Provider

    В консоли управления Blitz Identity Provider перейдите в раздел SAML и выполните следующие действия:

    1. Нажмите Добавить новый SAML-атрибут.

    2. Укажите название первого атрибута - upn и выберите из выпадающего списка его источник - атрибут, который соответствует атрибуту userPrincipalName в хранилище. После нажмите Добавить.

    3. Укажите название второго атрибута - windowsaccountname и выберите из выпадающего списка его источник - атрибут, который соответствует атрибуту sAMAccountName в хранилище. После нажмите Добавить.

    4. Далее добавьте кодировщик для каждого атрибута. Для этого выберите атрибут и нажмите Добавить кодировщик.

    5. Для атрибута upn добавьте первый кодировщик SAML1String и укажите Пространство имен http://schemas.xmlsoap.org/ws/2005/05/identity/claims. Далее добавьте второй кодировщик - SAML1StringNameIdentifier и укажите Пространство имен urn:oasis:name:tc:SAML:1.1:nameid-formar:unspecified. Нажмите Сохранить после каждого создания кодировщика.

    1. Для атрибута windowsaccountname добавьте кодировщик SAML1String и укажите Пространство имен http://schemas.xmlsoap.org/ws/2005/05/identity/claims. Нажмите Сохранить.

    1. Далее в консоли управления Blitz Identity Provider перейдите в раздел Приложения.
    2. Создайте новое приложение, задав его базовые настройки:
    • Идентификатор (entityID или client_id): https://mail.company.com/owa/
    • Название: укажите название приложения, которое видно только внутри Blitz. Например, OWA.
    • Домен: https://mail.company.com/owa/

    1. Нажмите Сохранить.

    2. Далее нажмите кнопку Параметры у предложения OWA и отредактируйте параметры приложения:

    • Стартовая страница приложения: https://mail.company.com/owa

    • Протоколы: выберите SAML и нажмите Сконфигурировать

    • Выберите WS-Federation Passive Requestor Profile и нажмите Сконфигурировать. Установите следующие настройки:

      • Подписывать утверждения: conditional
      • Время жизни утверждений: PT30M
      • Включить передачу SAML-утверждений о пользователе в специальном блоке AttributeStatement: установить флажок.

    1. В разделе Атрибуты пользователя настройте передачу в Outlook атрибутов, созданных на первом этапе SAML-атрибутов и атрибута transientId. Пометьте передачу атрибутов upn и windowsaccountname галочкой.

    1. Нажмите Сохранить.
    2. Далее в разделе Метаданные нажмите Изменить. Скопируйте и вставьте следующий код:
    <?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
	xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	entityID="https://mail.company.com/owa/">
	<md:SPSSODescriptor protocolSupportEnumeration="urn:mace:shibboleth:wsf-prp:1.0:protocol">
		<md:AssertionConsumerService Binding="urn:mace:shibboleth:1.0:bindings:HTTP-POST-wsignin"
		Location="https://mail.company.com/owa/"
		index="1"/>
		<md:AssertionConsumerService Binding="urn:mace:shibboleth:1.0:bindings:HTTP-POST-wsignin"
		Location="https://mail.company.com/ecp/"
		index="2"/>
	</md:SPSSODescriptor>
</md:EntityDescriptor>
    1. Нажмите Сохранить.
    Совет:

    После прохождения всех шагов рекомендуем проверить корректность входа в Outlook on the web: https://mail.company.com/owa

Наверх