Подключение Office 365 к Blitz Identity Provider

Подключение Office 365 к Blitz Identity Provider

Для подключения Microsoft Office 365 к Blitz Identity Provider используется протокол SAML. Для интеграции нужно выполнить следующие шаги:

  1. Произвести добавление и верификацию домена в Azure AD. Для этого войти в консоль управления Microsoft Azure AD, используя учетную администратора организации, перейти на вкладку Домены. Нажав кнопку Добавить, добавить адрес домена. Чек-бокс “Я планирую настроить этот домен для единого входа с использованием локального каталога Active Directory” отмечать не нужно.
    MSO_specify_domain
    Далее, нажав кнопку Проверить, получить верификационные данные домена – это будет TXT запись, которую необходимо прописать для домена в DNS регистратора.
    MSO_verify_domain
  2. Настроить единый вход (SSO) в Azure AD для верифицированного домена. Для настройки SSO в Azure AD необходима утилита Azure Active Directory Module for Windows PowerShell (64-bit version). Запустить PowerShell for Azure AD и выполнить следующие шаги. В частности:
  • подключиться к Azure AD:
$msolcred = get-credential  # запрос логин/пароля администратора Azure AD
connect-msolservice -credential $msolcred # подключение к Azure AD
  • задать параметры Blitz Identity Provider и загрузить их на сервер. Для этого скопируйте весь код, приведенный ниже, в PowerShell и нажмите клавишу Enter. В ходе выполнения этого скрипта будет запрошен hostname — домен, где установлен Blitz Identity Provider, и domainname — домен, который ранее был проверен в Azure AD.
Do {
Write-Host "Enter Blitz Identity Provider host name with http/https: " -NoNewLine
$hostname = Read-Host
}
Until($hostname)
Do {
Write-Host "Enter your domain without http/https: " -NoNewLine
$dom = Read-Host
}
Until($dom)
$url = "$hostname/blitz/saml/profile/SAML2/POST/SSO"
$uri = "$hostname/blitz/saml"
$logouturl = "$hostname/blitz/saml/profile/SAML2/Redirect/SLO"
$cert = Invoke-WebRequest -URI "$hostname/blitz/saml/profile/Metadata/SAML"
$cert = $cert -replace "`r"
$cert = $cert -replace "`n"
$cert = $cert -replace " "
$cert = $cert -replace ".*<IDPSSODescriptor" -replace "</IDPSSODescriptor>.*"
$cert = $cert -replace ".*<ds:X509Certificate>" -replace "</ds:X509Certificate>.*"
Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

Powershell

Вместо скрипта вы можете вручную выполнить последовательность команд в PowerShell

Перед выполнением команд замените hostname на домен, где установлен Blitz Identity Provider, и domainname на домен, который ранее был проверен в Azure AD.

# название домена, для которого настраивается SSO 
$dom = "domainname.ru"

# URL обработчика SSO запроса, который идет через POST
$url = "https://hostname.ru/blitz/saml/profile/SAML2/POST/SSO"

# URL адрес поставщика идентификации
$uri = "https://hostname.ru/blitz/saml"

# URL обработчик 
$logouturl = "https://hostname.ru/blitz/saml/profile/SAML2/Redirect/SLO" 

# сертификат поставщика идентификации из метаданных, необходимо собрать в одну строку
$cert = "MIIDEDCCAfigAwIBAgIVAMnIE6hvuBtJR5lSJ8WZOwlgnFjfMA0GCSqGSIb3DQEBBQUAMBQxEjAQBgNVBAMTCTEyNy4wLjAuMTAeFw0xMjExMDYwODA4MjVaFw0zMjExMDYwODA4MjVaMBQxEjAQBgNVBAMTCTEyNy4wLjAuMTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKJRQcxX1m68c2qB+VMRVhqFtOuw3CqATTt2/N5atwQCmbrwpwAbGfXVrqKInP6sJ9pOn8qec2LBI8F6peMndx1bzQ3IbR2wgJA7QEXFgE4oehrJW/5hfCY8JNiTecBhnWYPGN8zaQocEkqWjlzJIL5t+CPHwh70wr8zbSChC0VOJfBHzVvfzvcgKGPWRhkFzFjQwy9/grV0LaMS6RnbG+09YqI0xMi/o1fWHpbAJ/cK0gI9FVvztH83E7mEN1PfZNjMDTnCGzkOg7ml/UbFwBBhUoapKPZk+a6aKEFpf+PLRgMbBfdJDZ5+iVlc71yy/FT7r+O0n0VIz0BQZmb8bIMCAwEAAaNZMFcwNgYDVR0RBC8wLYIJMTI3LjAuMC4xhiBodHRwczovLzEyNy4wLjAuMS9pZHAvc2hpYmJvbGV0aDAdBgNVHQ4EFgQU26nwBGK3G8YZzIcVc3jLKKb1FecwDQYJKoZIhvcNAQEFBQADggEBAFL6oEBKQf8fVo20IYoq8ngCd4LXYqOVTm4+X65FkTMJDYUiu7tt+dj2j10t0g0JNv4M49O15EJU1WavPlw64R66ZajNFNlbGB9fYrcOsXSAKo3CMFlGEqQO39a889HkzyyblLHjWevt7E6GJut26X8IubNF6pCfdSW2t+b1TsFLWnP1bjHIxMeDffj+UTBI5EPXLjIrMBGK18a4pP8LqBByE+RNggo4teEw2trQAFidjlw1rBsZsMu0XQFlgDsWJaCNCdvw7InK9SjWqJbm3st1Vno8EBSjBppoSqQuDxqrWVRMMCNl3dez9yaOkhttBd8CS989MxVjjbfDzZmpeeU="

# отправить параметры на сервер
Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
  1. Перейти в консоль управления Blitz Identity Provider. В разделе SAML добавить следующие атрибуты и их параметры:
SAML‑атрибут Источник Тип кодировщика Название Короткое название Формат имени
ImmutableID Неизменный уникальный идентификатор SAML2StringNameID ImmutableID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
UserId Идентификатор пользователя, например, его email SAML2String IDPEmail UserId urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

  1. Перейти в раздел Приложения, добавить новое приложение, нажав на кнопку Добавить приложение. В появившемся окне ввести следующие данные:
  • идентификатор – urn:federation:MicrosoftOnline
  • название – название приложения, например Office 365
  • домен Office 365 – login.microsoftonline.com
  1. Перейти к свойствам добавленного приложения Office 365 и выбрать SAML в качестве протокола подключения. Далее сконфигурировать SAML-подключение:
  • в поле «Метаданные» скопировать следующие метаданные:
<?xml version="1.0" encoding="utf-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="urn:federation:MicrosoftOnline">
  <SPSSODescriptor WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsoftonline.com/login.srf" index="0" isDefault="true"/>
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://login.microsoftonline.com/login.srf" index="1"/>
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://login.microsoftonline.com/login.srf" index="2" />
    <NameIDFormat>
      urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
    </NameIDFormat>
    <NameIDFormat>
      urn:mace:shibboleth:1.0:nameIdentifier
    </NameIDFormat>
    <NameIDFormat>
      urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    </NameIDFormat>
    <NameIDFormat>
      urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    </NameIDFormat>
    <NameIDFormat>
      urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    </NameIDFormat>
  </SPSSODescriptor>
</EntityDescriptor>
  • подписывать утверждения – установить в режим conditional;
  • шифровать утверждения – установить в режим never;
  • шифровать идентификаторы– установить в режим never;
  • добавить следующие атрибуты для передачи в качестве SAML-утверждений: ImmutableID, UserId и transientId. По каждому атрибуту должна быть проставлена галочка «Передавать».
  • сохранить изменения.

SAML configure

  1. Перейти в раздел Пользователи. Найти пользователя, данные о котором следует загрузить в Microsoft Azure AD для проверки входа в Office 365 через Blitz Identity Provider. Скопировать его уникальный идентификатор.
  2. Открыть PowerShell, скопировать и выполнить следующую команду, предварительно изменив ее данные, прежде всего – значение ImmutableID:

После выполнения команды этот пользователь будет добавлен в Microsoft Azure. Теперь можно входить в Office 365 с помощью учетной записи данного пользователя через портал login.microsoftonline.com. В качестве логина следует ввести адрес электронной почты этого пользователя и сразу нажать клавишу Enter (без ввода пароля). В результате портал Microsoft перенаправит пользователя на страницу входа Blitz Identity Provider.

Мы используем файлы cookie, чтобы улучшить работу сайта и предоставить пользователям больше возможностей. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie.
Принять