# Microsoft Exchange для аутентифікації через SAML
## Microsoft Exchange для аутентифікації через SAML
{% hint style="info" %}
Цей посібник надає покрокову інструкцію з налаштування **AD FS (Active Directory Federation Services)** як **SP (Service Provider, Постачальник послуг)** для забезпечення аутентифікації у **OWA (Outlook Web App)** і **EAC (Exchange Admin Center)**. Описано процес використання **Hideez Server** як **IdP (Identity Provider, Постачальник ідентичності)** для аутентифікації в Microsoft Exchange через **SAML (Security Assertion Markup Language)**.
{% endhint %}
### **1. Початкове налаштування**
#### **Необхідні умови**
Перед початком роботи переконайтеся, що у вашій організації вже розгорнуто та налаштовано наступне:
1. **AD (Active Directory)** встановлено та налаштовано.
2. **Microsoft Exchange** працює та доступний.
3. Налаштовано **CA (Certificate Authority, Центр сертифікації)**.
4. Користувачі можуть входити до **OWA (Outlook Web App)** через браузери, використовуючи облікові дані **AD (Active Directory)**.
5. Усі дії виконуються користувачем із роллю **Domain Admins** і **Enterprise Admins**.
6. Сервер **AD FS (Active Directory Federation Services)** буде встановлено на новий, окремий сервер у межах середовища **AD (Active Directory)**.
***
### **2. Налаштування AD FS і OWA**
#### **Крок 1: Експорт сертифіката підпису AD FS і імпорт на сервери Exchange**
Сервер **AD FS** використовує **сертифікат підпису токенів** для захищеного зв’язку між AD FS, контролерами домену **AD** і серверами Exchange. Цей сертифікат потрібно імпортувати до **Сховища кореневих сертифікатів із довірою** на всіх серверах Exchange.
**Експорт сертифіката**
1. Увійдіть до сервера **AD FS**.
2. Відкрийте **AD FS Management Console (Консоль керування AD FS)** → Перейдіть до **AD FS → Service → Certificates**.
3. Виберіть **Token-signing certificate**, клацніть правою кнопкою миші та оберіть **View Certificate**.
4. Перейдіть на вкладку **Details** → Натисніть **Copy to File…**.
5. Виконайте **Майстер експорту сертифікатів**:
* Виберіть формат **DER encoded X.509 (.CER)**.
* Збережіть експортований сертифікат у місці, доступному для всіх серверів Exchange.
**Імпорт сертифіката**
1. Скопіюйте експортований сертифікат на кожен сервер Exchange.
2. Імпортуйте його до **Сховища сертифікатів із довірою** на кожному сервері Exchange.
***
#### **Крок 2: Створення довірчого зв’язку для OWA в AD FS**
**Процес створення довірчого зв’язку**
1. Відкрийте **AD FS Management Console (Консоль керування AD FS)**.
2. Перейдіть до **AD FS → Relying Party Trusts** → Натисніть **Add Relying Party Trust…**.
3. Виберіть **Claims aware** і натисніть **Start**.
4. Виберіть **Enter data about the relying party manually**.
5. Укажіть такі дані:
* **Display Name**: Outlook on the web
* **Relying Party URL**: `https://exch.lab.hideez.com/owa/`
6. Пропустіть крок **Configure Certificate**.
7. Позначте **Enable support for the WS-Federation Passive protocol**, і введіть URL OWA.
8. Додайте URL OWA як **Relying Party Trust Identifier**.
9. Виберіть **Permit everyone** → Натисніть **Next** → Збережіть налаштування.
***
#### **Крок 3: Створення правил заяв у AD FS**
**Процес створення правил заяв**
1. Відкрийте **Edit Claim Issuance Policy** для довірчого зв’язку OWA.
2. Натисніть **Add Rule…** → Виберіть **Pass Through or Filter an Incoming Claim**.
3. Налаштуйте правило так:
* **Claim Rule Name**: Pass Through UPN (User Principal Name)
* **Incoming Claim Type**: UPN (User Principal Name)
4. Натисніть **Finish** → Натисніть **OK**.
***
### **3. Налаштування AD FS у режимі SP (Service Provider)**
За замовчуванням, **AD FS** працює як **IdP (Identity Provider)**, але його можна налаштувати як **SP (Service Provider)** для інтеграції з зовнішніми IdP, такими як **Hideez Server**.
**Процес додавання стороннього IdP**
1. Відкрийте **AD FS Management Console**.
2. Перейдіть до **Claims Provider Trusts → Add Claims Provider Trust**.
3. Завантажте XML-файл метаданих від стороннього IdP (наприклад, Hideez Server).
4. Призначте ім’я для IdP (наприклад, "Hideez IdP"), натисніть **Next**, потім **Finish**.
***
#### **Крок 4: Налаштування Hideez Server для SAML**
**Процес налаштування Hideez Server**
1. Завантажте метадані з **AD FS**:
* Приклад URL: `https://adfs.lab.hideez.com/FederationMetadata/2007-06/FederationMetadata.xml`
2. Витягніть наступну інформацію з метаданих:
* **Entity ID**
* **Assertion Consumer Service (ACS) URL**
3. Введіть отримані дані в налаштування Hideez Server:
* **Name**: ADFS
* **Entity ID**: `http://adfs.lab.hideez.com/adfs/services/trust`
* **ACS URL**: `https://adfs.lab.hideez.com/adfs/ls/`
4. Відобразіть атрибути:
* **Mapping Attribute**: `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn`
* **User Attribute**: Email
***
#### **Примітка щодо атрибутів**
Значення атрибутів для відображення є сталими. У вашому налаштуванні вони залишатимуться такими ж, як у прикладі.
***
#### **Приклад робочого процесу**
1. Користувач переходить на OWA: `https://exch.lab.hideez.com/owa/`.
2. OWA перенаправляє користувача на **AD FS** для аутентифікації.
3. **AD FS** перенаправляє запит до стороннього **IdP** (наприклад, Hideez Server).
4. **IdP** перевіряє запит і повертає відповідь SAML до **AD FS**.
5. **AD FS** обробляє заяви та пересилає їх до OWA, завершуючи процес аутентифікації.
***
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://enterprise-ua.hideez.com/integraciyi-servera-hideez/saml-integraciyi/microsoft-exchange-dlya-autentifikaciyi-cherez-saml.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.