3.16.11

Microsoft Exchange для аутентифікації через SAML

Інтеграція Hideez Server з Microsoft Exchange для аутентифікації через SAML

Microsoft Exchange для аутентифікації через SAML

Цей посібник надає покрокову інструкцію з налаштування AD FS (Active Directory Federation Services) як SP (Service Provider, Постачальник послуг) для забезпечення аутентифікації у OWA (Outlook Web App) і EAC (Exchange Admin Center). Описано процес використання Hideez Server як IdP (Identity Provider, Постачальник ідентичності) для аутентифікації в Microsoft Exchange через SAML (Security Assertion Markup Language).

1. Початкове налаштування

Необхідні умови

Перед початком роботи переконайтеся, що у вашій організації вже розгорнуто та налаштовано наступне:

  1. AD (Active Directory) встановлено та налаштовано.

  2. Microsoft Exchange працює та доступний.

  3. Налаштовано CA (Certificate Authority, Центр сертифікації).

  4. Користувачі можуть входити до OWA (Outlook Web App) через браузери, використовуючи облікові дані AD (Active Directory).

  5. Усі дії виконуються користувачем із роллю Domain Admins і Enterprise Admins.

  6. Сервер AD FS (Active Directory Federation Services) буде встановлено на новий, окремий сервер у межах середовища AD (Active Directory).

2. Налаштування AD FS і OWA

Крок 1: Експорт сертифіката підпису AD FS і імпорт на сервери Exchange

Сервер AD FS використовує сертифікат підпису токенів для захищеного зв’язку між AD FS, контролерами домену AD і серверами Exchange. Цей сертифікат потрібно імпортувати до Сховища кореневих сертифікатів із довірою на всіх серверах Exchange.

Експорт сертифіката

  1. Увійдіть до сервера AD FS.

  2. Відкрийте AD FS Management Console (Консоль керування AD FS) → Перейдіть до AD FS → Service → Certificates.

  3. Виберіть Token-signing certificate, клацніть правою кнопкою миші та оберіть View Certificate.

  4. Перейдіть на вкладку Details → Натисніть Copy to File….

  5. Виконайте Майстер експорту сертифікатів:

    • Виберіть формат DER encoded X.509 (.CER).

    • Збережіть експортований сертифікат у місці, доступному для всіх серверів Exchange.

Імпорт сертифіката

  1. Скопіюйте експортований сертифікат на кожен сервер Exchange.

  2. Імпортуйте його до Сховища сертифікатів із довірою на кожному сервері Exchange.

Крок 2: Створення довірчого зв’язку для OWA в AD FS

Процес створення довірчого зв’язку

  1. Відкрийте AD FS Management Console (Консоль керування AD FS).

  2. Перейдіть до AD FS → Relying Party Trusts → Натисніть Add Relying Party Trust….

  3. Виберіть Claims aware і натисніть Start.

  4. Виберіть Enter data about the relying party manually.

  5. Укажіть такі дані:

    • Display Name: Outlook on the web

    • Relying Party URL: https://exch.lab.hideez.com/owa/

  6. Пропустіть крок Configure Certificate.

  7. Позначте Enable support for the WS-Federation Passive protocol, і введіть URL OWA.

  8. Додайте URL OWA як Relying Party Trust Identifier.

  9. Виберіть Permit everyone → Натисніть Next → Збережіть налаштування.

Крок 3: Створення правил заяв у AD FS

Процес створення правил заяв

  1. Відкрийте Edit Claim Issuance Policy для довірчого зв’язку OWA.

  2. Натисніть Add Rule… → Виберіть Pass Through or Filter an Incoming Claim.

  3. Налаштуйте правило так:

    • Claim Rule Name: Pass Through UPN (User Principal Name)

    • Incoming Claim Type: UPN (User Principal Name)

  4. Натисніть Finish → Натисніть OK.

3. Налаштування AD FS у режимі SP (Service Provider)

За замовчуванням, AD FS працює як IdP (Identity Provider), але його можна налаштувати як SP (Service Provider) для інтеграції з зовнішніми IdP, такими як Hideez Server.

Процес додавання стороннього IdP

  1. Відкрийте AD FS Management Console.

  2. Перейдіть до Claims Provider Trusts → Add Claims Provider Trust.

  3. Завантажте XML-файл метаданих від стороннього IdP (наприклад, Hideez Server).

  4. Призначте ім’я для IdP (наприклад, "Hideez IdP"), натисніть Next, потім Finish.

Крок 4: Налаштування Hideez Server для SAML

Процес налаштування Hideez Server

  1. Завантажте метадані з AD FS:

    • Приклад URL: https://adfs.lab.hideez.com/FederationMetadata/2007-06/FederationMetadata.xml

  2. Витягніть наступну інформацію з метаданих:

    • Entity ID

    • Assertion Consumer Service (ACS) URL

  3. Введіть отримані дані в налаштування Hideez Server:

    • Name: ADFS

    • Entity ID: http://adfs.lab.hideez.com/adfs/services/trust

    • ACS URL: https://adfs.lab.hideez.com/adfs/ls/

  4. Відобразіть атрибути:

    • Mapping Attribute: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

    • User Attribute: Email

Примітка щодо атрибутів

Значення атрибутів для відображення є сталими. У вашому налаштуванні вони залишатимуться такими ж, як у прикладі.

Приклад робочого процесу

  1. Користувач переходить на OWA: https://exch.lab.hideez.com/owa/.

  2. OWA перенаправляє користувача на AD FS для аутентифікації.

  3. AD FS перенаправляє запит до стороннього IdP (наприклад, Hideez Server).

  4. IdP перевіряє запит і повертає відповідь SAML до AD FS.

  5. AD FS обробляє заяви та пересилає їх до OWA, завершуючи процес аутентифікації.

PreviousНалаштування SAML для GitLab (on premises)NextВстановлення ADFS (Active Directory Federation Services)

Last updated