Подключение Microsoft Office 365 к Blitz Identity Provider
Статьи 26.10.2016
Для подключения Microsoft Office 365 к Blitz Identity Provider выполните шаги данной инструкции. Демонстрацию процесса интеграции вы можете посмотреть в нашем видеоролике.
- Произвести добавление и верификацию домена в Microsoft Azure AD.
Используя учетную запись администратора организации, войти в консоль управления Microsoft Azure AD и перейти на вкладку «Домены».
Нажав кнопку Добавить, указать адрес домена. Чек-бокс «Я планирую настроить этот домен для единого входа с использованием локального каталога Active Directory» отмечать не нужно.
Выбор домена в Office 365
Далее, нажав кнопку Проверить, получить верификационные данные домена — это будет TXT запись, которую необходимо прописать для домена в DNS регистратора.
Настройка домена в Office 365
- Настроить единый вход (SSO) в Microsoft Azure AD для верифицированного домена.
Для настройки SSO в Microsoft Azure AD необходима утилита Azure Active Directory Module for Windows PowerShell (64-bit version). Запустить PowerShell for Azure AD и выполнить следующие шаги:- подключиться к Microsoft Azure AD:
$msolcred = get-credential # запрос логин/пароля администратора Azure ADconnect-msolservice -credential $msolcred # подключение к Azure AD
- задать параметры Blitz Identity Provider и загрузить их на сервер. Для этого скопируйте весь код, приведенный ниже, в PowerShell и нажмите клавишу Enter. В ходе выполнения этого скрипта будет запрошен
hostname— домен, где установлен Blitz Identity Provider, иdomainname— домен, который ранее был проверен в Microsoft Azure AD.Do {Write-Host "Enter Blitz Identity Provider host name with http/https: " -NoNewLine$hostname = Read-Host}Until($hostname)Do {Write-Host "Enter your domain without http/https: " -NoNewLine$dom = Read-Host}Until($dom)$url = "$hostname/blitz/saml/profile/SAML2/POST/SSO"$uri = "$hostname/blitz/saml"$logouturl = "$hostname/blitz/saml/profile/SAML2/Redirect/SLO"$cert = Invoke-WebRequest -URI "$hostname/blitz/saml/profile/Metadata/SAML"$cert = $cert -replace "`r"$cert = $cert -replace "`n"$cert = $cert -replace " "$cert = $cert -replace ".*<IDPSSODescriptor" -replace "</IDPSSODescriptor>.*"$cert = $cert -replace ".*<ds:X509Certificate>" -replace "</ds:X509Certificate>.*"Set-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
- подключиться к Microsoft Azure AD:
Вместо скрипта вы можете вручную выполнить последовательность команд в PowerShell
Перед выполнением команд замените hostname на домен, где установлен Blitz Identity Provider, и domainname на домен, который ранее был проверен в Microsoft Azure AD.
# название домена, для которого настраивается SSO$dom = "domainname.ru"# URL обработчика SSO запроса, который идет через POST$url = "https://hostname.ru/blitz/saml/profile/SAML2/POST/SSO"# URL адрес поставщика идентификации$uri = "https://hostname.ru/blitz/saml"# URL обработчик логаута$logouturl = "https://hostname.ru/blitz/saml/profile/SAML2/Redirect/SLO"# сертификат поставщика идентификации из метаданных, необходимо собрать в одну строку$cert = "MIIDEDCCAfigAwIBAgIVAMnIE6hvuBtJR5lSJ8WZOwlgnFjfMA0GCSqGSIb3DQEBBQUAMBQxEjAQBgNVBAMTCTEyNy4wLjAuMTAeFw0xMjExMDYwODA4MjVaFw0zMjExMDYwODA4MjVaMBQxEjAQBgNVBAMTCTEyNy4wLjAuMTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKJRQcxX1m68c2qB+VMRVhqFtOuw3CqATTt2/N5atwQCmbrwpwAbGfXVrqKInP6sJ9pOn8qec2LBI8F6peMndx1bzQ3IbR2wgJA7QEXFgE4oehrJW/5hfCY8JNiTecBhnWYPGN8zaQocEkqWjlzJIL5t+CPHwh70wr8zbSChC0VOJfBHzVvfzvcgKGPWRhkFzFjQwy9/grV0LaMS6RnbG+09YqI0xMi/o1fWHpbAJ/cK0gI9FVvztH83E7mEN1PfZNjMDTnCGzkOg7ml/UbFwBBhUoapKPZk+a6aKEFpf+PLRgMbBfdJDZ5+iVlc71yy/FT7r+O0n0VIz0BQZmb8bIMCAwEAAaNZMFcwNgYDVR0RBC8wLYIJMTI3LjAuMC4xhiBodHRwczovLzEyNy4wLjAuMS9pZHAvc2hpYmJvbGV0aDAdBgNVHQ4EFgQU26nwBGK3G8YZzIcVc3jLKKb1FecwDQYJKoZIhvcNAQEFBQADggEBAFL6oEBKQf8fVo20IYoq8ngCd4LXYqOVTm4+X65FkTMJDYUiu7tt+dj2j10t0g0JNv4M49O15EJU1WavPlw64R66ZajNFNlbGB9fYrcOsXSAKo3CMFlGEqQO39a889HkzyyblLHjWevt7E6GJut26X8IubNF6pCfdSW2t+b1TsFLWnP1bjHIxMeDffj+UTBI5EPXLjIrMBGK18a4pP8LqBByE+RNggo4teEw2trQAFidjlw1rBsZsMu0XQFlgDsWJaCNCdvw7InK9SjWqJbm3st1Vno8EBSjBppoSqQuDxqrWVRMMCNl3dez9yaOkhttBd8CS989MxVjjbfDzZmpeeU="# отправить параметры на серверSet-MsolDomainAuthentication –DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
- Перейти в консоль управления Blitz Identity Provider.
В разделе «SAML» добавить следующие атрибуты и их параметры:SAML-атрибут Источник Тип кодировщика Название Короткое название Формат имени ImmutableID Неизменный уникальный идентификатор SAML2StringNameID ImmutableID — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent UserId Идентификатор пользователя, например, его email SAML2String IDPEmail UserId urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- Перейти в раздел «Приложения», добавить новое приложение, нажав на кнопку Добавить приложение. В появившемся окне ввести следующие данные:
- идентификатор —
urn:federation:MicrosoftOnline - название — название приложения, например
Office 365 - домен Office 365 —
login.microsoftonline.com
- идентификатор —
- Перейти к свойствам добавленного приложения Office 365 и выбрать
SAMLв качестве протокола подключения.
Далее сконфигурировать SAML-подключение.- В поле «Метаданные» скопировать следующие метаданные:
<?xml version="1.0" encoding="utf-8"?><EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="urn:federation:MicrosoftOnline"> <SPSSODescriptor WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://login.microsoftonline.com/login.srf" index="0" isDefault="true"/> <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign" Location="https://login.microsoftonline.com/login.srf" index="1"/> <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:PAOS" Location="https://login.microsoftonline.com/login.srf" index="2" /> <NameIDFormat> urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress </NameIDFormat> <NameIDFormat> urn:mace:shibboleth:1.0:nameIdentifier </NameIDFormat> <NameIDFormat> urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified </NameIDFormat> <NameIDFormat> urn:oasis:names:tc:SAML:2.0:nameid-format:transient </NameIDFormat> <NameIDFormat> urn:oasis:names:tc:SAML:2.0:nameid-format:persistent </NameIDFormat> </SPSSODescriptor></EntityDescriptor>
- «Подписывать утверждения» — установить в режим
conditional. - «Шифровать утверждения» — установить в режим
never. - «Шифровать идентификаторы«— установить в режим
never. - Добавить следующие атрибуты для передачи в качестве SAML-утверждений:
ImmutableID,UserIdиtransientId. По каждому атрибуту должна быть проставлена галочка «Передавать». - Сохранить изменения.
Настройка SAML-подключения для Microsoft Office 365
- В поле «Метаданные» скопировать следующие метаданные:
- Перейти в раздел «Пользователи».
Найти пользователя, данные о котором следует загрузить в Microsoft Azure AD для проверки входа в Microsoft Office 365 через Blitz Identity Provider. Скопировать его уникальный идентификатор.
- Открыть PowerShell, скопировать и выполнить следующую команду, предварительно изменив ее данные, прежде всего — значение
ImmutableID(вы можете отредактировать команду прямо на этой странице):После выполнения команды этот пользователь будет добавлен в Microsoft Azure AD.
Теперь можно входить в Microsoft Office 365 с помощью учетной записи данного пользователя через портал login.microsoftonline.com. В качестве логина следует ввести адрес электронной почты этого пользователя и сразу нажать клавишу Enter (без ввода пароля). В результате портал Microsoft перенаправит пользователя на страницу входа Blitz Identity Provider.
