WS-Federation інтеграції

Інтеграція Hideez Server з Exchange Outlook Web Application і Exchange Admin Center через WS-Federation

Ця інтеграція забезпечує автентифікацію для Exchange Outlook Web Application (OWA) та Exchange Admin Center (EAC), які виступають як провайдери послуг (SP), через сервер Hideez як постачальник ідентифікації (IdP).

Крок 1: Налаштування інтеграції для Exchange OWA у Hideez Server

Увійдіть до Hideez Server як адміністратор.
Перейдіть до налаштувань WS Federation:
- Зайдіть у Налаштування → Параметри WS Federation section.
Додайте Exchange OWA як провайдера послуг:
- Натисніть Додати постачальника послуг.
- Заповніть наступні дані:
  - Ім'я: OWA
  - WT-Realm: https://{owa-url} (наприклад, https://mail.example.com/owa/)
  - Reply URL: https://{owa-url} (наприклад, https://mail.example.com/owa/)
  - У нашому випадку:https://exch.lab.hideez.com/owa/
- Натисніть Додати.
Отримайте деталі IdP:
- Натисніть Деталі для нового провайдера послуг.
- Завантажте сертифікат підпису IdP.
- Скопіюйте URL WS Federation IdP.

Залиште вкладку WS Federation відкритою з отриманими значеннями (URL IdP WS Federation та сертифікат).

Крок 2: Налаштування інтеграції для Exchange Admin Center (EAC) у Hideez Server

Додайте Exchange Admin Center (EAC) як провайдера послуг:
- Натисніть Додати постачальника послуг.
- Заповніть наступні дані:
  - Ім'я: ECP
  - WT-Realm: https://{ecp-url} (наприклад, https://mail.example.com/ecp/)
  - Reply URL: https://{ecp-url} (наприклад, ⁣ https://mail.example.com/ecp/)
- У нашому випадку: https://exch.lab.hideez.com/ecp/
- Натисніть Add.
Отримайте деталі IdP:
- Натисніть Details для нового провайдера послуг.
- Завантажте сертифікат підпису IdP.
- Скопіюйте URL WS Federation IdP.

Залиште вкладку WS Federation відкритою з отриманими значеннями (URL IdP WS Federation та сертифікат).

Крок 3: Налаштування автентифікації для Exchange OWA через Hideez Server

1. Встановіть сертифікат на сервері Exchange для OWA:

Відкрийте консоль MMC на сервері Exchange:
- Натисніть Win + R, введіть mmc і натисніть Enter.
У консолі MMC перейдіть до File → Add/Remove Snap-in.
Виберіть Certificates зі списку, натисніть Add.
Виберіть Computer account → Local Computer → Finish → OK.

Перейдіть до:
- Certificates (Local Computer) → Trusted Root Certification Authorities → Certificates.
Клацніть правою кнопкою миші на Certificates → All Tasks → Import.
Виконайте імпорт сертифіката:
- Виберіть завантажений сертифікат ws-fed-signing-owa.cer і помістіть його до сховища Trusted Root Certification Authorities
Натисніть Next → Finish.

2. Виконайте команди в Exchange Management Shell для OWA:

Set-OrganizationConfig -AdfsIssuer "{Hideez WS Fed URL}" -AdfsAudienceUris "{OWA Base URL}" -AdfsSignCertificateThumbprint {Hideez Cert Thumbprint}

{OWA Base URL}: URL OWA, наприклад, https://mail.example.com/owa/.
{Hideez WS Fed URL}: URL IdP WS Federation.
{Hideez Cert Thumbprint}: Thumbprint сертифіката IdP.

Приклад:

Set-OrganizationConfig -AdfsIssuer "https://dev.hideez.com/wsfed" -AdfsAudienceUris "https://exch.lab.hideez.com/owa/" -AdfsSignCertificateThumbprint d80e7aa3d27ac800fb2d5fa7c08748a73d924cd2

Крок 4: Налаштування автентифікації для EAC через Hideez Server

1. Встановіть сертифікат на сервері Exchange для EAC:

Відкрийте консоль MMC на сервері Exchange:
- Натисніть Win + R, введіть mmc і натисніть Enter.
У консолі MMC перейдіть до File → Add/Remove Snap-in.
Виберіть Certificates зі списку, натисніть Add.
Виберіть Computer account → Local Computer → Finish → OK.

Перейдіть до:
- Certificates (Local Computer) → Trusted Root Certification Authorities → Certificates.
Клацніть правою кнопкою миші на Certificates → All Tasks → Import.
Виконайте імпорт сертифікату:
- Виберіть завантажений сертифікат ws-fed-signing-ecp.cer і помістіть його до сховища Trusted Root Certification Authorities
Натисніть Next → Finish.

2. Виконайте команди в Exchange Management Shell для EAC

Відкрийте Exchange Management Shell на сервері Exchange і Виконайте команду для налаштування автентифікації EAC:

Set-OrganizationConfig -AdfsIssuer "{Hideez WS Fed URL}" -AdfsAudienceUris "{ECP Base URL}" -AdfsSignCertificateThumbprint {Hideez Cert Thumbprint}

{ECP Base URL}: базовий URL для EAC (наприклад, https://mail.example.com/ecp/).
{Hideez WS Fed URL}: URL WS Federation IdP (наприклад, https://dev.hideez.com/wsfed).
{Hideez Cert Thumbprint}: Thumbprint сертифіката IdP, завантаженого раніше.

Приклад команди:

Set-OrganizationConfig -AdfsIssuer "https://dev.hideez.com/wsfed" -AdfsAudienceUris "https://exch.lab.hideez.com/ecp/" -AdfsSignCertificateThumbprint 3e04c68e71a591de637d0d21dcfd8e6f4b843684

Якщо вам необхідно одночасно налаштувати Outlook Web Application (OWA) і Exchange Admin Center (EAC), ви можете скористатися наступною командою:

Set-OrganizationConfig -AdfsIssuer "{Hideez WS Fed URL}" -AdfsAudienceUris "{OWA Base URL}","{ECP Base URL}" -AdfsSignCertificateThumbprint {Hideez Cert Thumbprint}

Пояснення параметрів команди:

{Hideez WS Fed URL}: URL точки доступу Hideez WS Federation, яка виконує роль постачальника ідентифікації (IdP) для автентифікації.
{OWA Base URL}: Базовий URL для сервісу Outlook Web Application (OWA) як постачальника послуг (SP), наприклад: https://mail.example.com/owa/.
{ECP Base URL}: Базовий URL для сервісу Exchange Admin Center (EAC) як постачальника послуг (SP), наприклад: https://mail.example.com/ecp/.
{Hideez Cert Thumbprint}: Відбиток сертифіката підпису Hideez, встановленого на сервері Exchange, який використовується для встановлення довірчих відносин.

Приклад:

Set-OrganizationConfig -AdfsIssuer "https://dev.hideez.com/wsfed" -AdfsAudienceUris "https://exch.lab.hideez.com/owa/","https://exch.lab.hideez.com/ecp/" -AdfsSignCertificateThumbprint d80e7aa3d27ac800fb2d5fa7c08748a73d924cd2

Крок 5: Налаштування віртуальних директорій

Виконайте команду для OWA:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Виконайте команду для EAC:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Крок 6: Перезапуск Internet Information Services (IIS)

net stop was /y
net start w3svc

PreviousHideez Server як зовнішній метод аутентифікації для Microsoft Entra ID через OIDC NextПрограма Hideez Client на робочих станціях Windows

Last updated 8 days ago