Подключение Microsoft Office 365 к Blitz Identity Provider

Подключение Microsoft Office 365 к Blitz Identity Provider

Для подключения Microsoft Office 365 к Blitz Identity Provider выполните шаги данной инструкции. Демонстрацию процесса интеграции вы можете посмотреть в нашем видеоролике.

  1. Произвести добавление и верификацию домена в Microsoft Azure AD.
    Используя учетную запись администратора организации, войти в консоль управления Microsoft Azure AD и перейти на вкладку «Домены».
    Нажав кнопку Добавить, указать адрес домена. Чек-бокс «Я планирую настроить этот домен для единого входа с использованием локального каталога Active Directory» отмечать не нужно. 

    Выбор домена в Office 365

    Выбор домена в Office 365

    Далее, нажав кнопку Проверить, получить верификационные данные домена — это будет TXT запись, которую необходимо прописать для домена в DNS регистратора.

    Настройка домена в Office 365

    Настройка домена в Office 365

  1. Настроить единый вход (SSO) в Microsoft Azure AD для верифицированного домена.
    Для настройки SSO в Microsoft Azure AD необходима утилита Azure Active Directory Module for Windows PowerShell (64-bit version). Запустить PowerShell for Azure AD и выполнить следующие шаги: 

    • подключиться к Microsoft Azure AD:
      $msolcred = get-credential  # запрос логин/пароля администратора Azure ADconnect-msolservice -credential $msolcred # подключение к Azure AD
    • задать параметры Blitz Identity Provider и загрузить их на сервер. Для этого скопируйте весь код, приведенный ниже, в PowerShell и нажмите клавишу Enter. В ходе выполнения этого скрипта будет запрошен hostname — домен, где установлен Blitz Identity Provider, и domainname — домен, который ранее был проверен в Microsoft Azure AD.
      Do {Write-Host "Enter Blitz Identity Provider host name with http/https: " -NoNewLine$hostname = Read-Host}Until($hostname)Do {Write-Host "Enter your domain without http/https: " -NoNewLine$dom = Read-Host}Until($dom)$url = "$hostname/blitz/saml/profile/SAML2/POST/SSO"$uri = "$hostname/blitz/saml"$logouturl = "$hostname/blitz/saml/profile/SAML2/Redirect/SLO"$cert = Invoke-WebRequest -URI "$hostname/blitz/saml/profile/Metadata/SAML"$cert = $cert -replace "`r"$cert = $cert -replace "`n"$cert = $cert -replace " "$cert = $cert -replace ".*<IDPSSODescriptor" -replace "</IDPSSODescriptor>.*"$cert = $cert -replace ".*<ds:X509Certificate>" -replace "</ds:X509Certificate>.*"Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

    Настройка подключения Microsoft Office 365 к серверу аутентификации Blitz Identity Provider

Вместо скрипта вы можете вручную выполнить последовательность команд в PowerShell

Перед выполнением команд замените hostname на домен, где установлен Blitz Identity Provider, и domainname на домен, который ранее был проверен в Microsoft Azure AD.

# название домена, для которого настраивается SSO$dom = "domainname.ru"# URL обработчика SSO запроса, который идет через POST$url = "https://hostname.ru/blitz/saml/profile/SAML2/POST/SSO"# URL адрес поставщика идентификации$uri = "https://hostname.ru/blitz/saml"# URL обработчик логаута$logouturl = "https://hostname.ru/blitz/saml/profile/SAML2/Redirect/SLO"# сертификат поставщика идентификации из метаданных, необходимо собрать в одну строку$cert = "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"# отправить параметры на серверSet-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated  -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
  1. Перейти в консоль управления Blitz Identity Provider.
    В разделе «SAML» добавить следующие атрибуты и их параметры: 

    SAML-атрибут Источник Тип кодировщика Название Короткое название Формат имени
    ImmutableID Неизменный уникальный идентификатор SAML2StringNameID ImmutableID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    UserId Идентификатор пользователя, например, его email SAML2String IDPEmail UserId urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
  1. Перейти в раздел «Приложения», добавить новое приложение, нажав на кнопку Добавить приложение. В появившемся окне ввести следующие данные:
    • идентификатор — urn:federation:MicrosoftOnline
    • название — название приложения, например Office 365
    • домен Office 365 — login.microsoftonline.com
  1. Перейти к свойствам добавленного приложения Office 365 и выбрать SAML в качестве протокола подключения.
    Далее сконфигурировать SAML-подключение. 

    • В поле «Метаданные» скопировать следующие метаданные:
      <?xml version="1.0" encoding="utf-8"?><EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="urn:federation:MicrosoftOnline">  <SPSSODescriptor WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsoftonline.com/login.srf" index="0" isDefault="true"/>    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://login.microsoftonline.com/login.srf" index="1"/>    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://login.microsoftonline.com/login.srf" index="2" />    <NameIDFormat>      urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress    </NameIDFormat>    <NameIDFormat>      urn:mace:shibboleth:1.0:nameIdentifier    </NameIDFormat>    <NameIDFormat>      urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified    </NameIDFormat>    <NameIDFormat>      urn:oasis:names:tc:SAML:2.0:nameid-format:transient    </NameIDFormat>    <NameIDFormat>      urn:oasis:names:tc:SAML:2.0:nameid-format:persistent    </NameIDFormat>  </SPSSODescriptor></EntityDescriptor>
    • «Подписывать утверждения» — установить в режим conditional.
    • «Шифровать утверждения» — установить в режим never.
    • «Шифровать идентификаторы«— установить в режим never.
    • Добавить следующие атрибуты для передачи в качестве SAML-утверждений: ImmutableID, UserId и transientId. По каждому атрибуту должна быть проставлена галочка «Передавать».
    • Сохранить изменения.

    Настройка SAML-подключения для Microsoft Office 365

    Настройка SAML-подключения для Microsoft Office 365

  1. Перейти в раздел «Пользователи».
    Найти пользователя, данные о котором следует загрузить в Microsoft Azure AD для проверки входа в Microsoft Office 365 через Blitz Identity Provider. Скопировать его уникальный идентификатор.
  1. Открыть PowerShell, скопировать и выполнить следующую команду, предварительно изменив ее данные, прежде всего — значение ImmutableID (вы можете отредактировать команду прямо на этой странице):

    После выполнения команды этот пользователь будет добавлен в Microsoft Azure AD.

Теперь можно входить в Microsoft Office 365 с помощью учетной записи данного пользователя через портал login.microsoftonline.com. В качестве логина следует ввести адрес электронной почты этого пользователя и сразу нажать клавишу Enter (без ввода пароля). В результате портал Microsoft перенаправит пользователя на страницу входа Blitz Identity Provider.