WS-Federation інтеграції

Інтеграція IPI Server з Exchange Outlook Web Application і Exchange Admin Center через WS-Federation

Ця інтеграція забезпечує автентифікацію для Exchange Outlook Web Application (OWA) та Exchange Admin Center (EAC), які виступають як провайдери послуг (SP), через сервер IPI як постачальник ідентифікації (IdP).

Крок 1: Налаштування інтеграції для Exchange OWA у IPI Server

Увійдіть до IPI Server як адміністратор.
Перейдіть до налаштувань WS Federation:
- Зайдіть у Налаштування → Параметри WS Federation section.
Додайте Exchange OWA як провайдера послуг:
- Натисніть Додати постачальника послуг.
- Заповніть наступні дані:
  - Ім'я: OWA
  - WT-Realm: https://{owa-url} (наприклад, https://mail.example.com/owa/)
  - Reply URL: https://{owa-url} (наприклад, https://mail.example.com/owa/)
  - У нашому випадку:https://exch.lab.ipi.com/owa/
- Натисніть Додати.
Отримайте деталі IdP:
- Натисніть Деталі для нового провайдера послуг.
- Завантажте сертифікат підпису IdP.
- Скопіюйте URL WS Federation IdP.

Залиште вкладку WS Federation відкритою з отриманими значеннями (URL IdP WS Federation та сертифікат).

Крок 2: Налаштування інтеграції для Exchange Admin Center (EAC) у IPI Server

Додайте Exchange Admin Center (EAC) як провайдера послуг:
- Натисніть Додати постачальника послуг.
- Заповніть наступні дані:
  - Ім'я: ECP
  - WT-Realm: https://{ecp-url} (наприклад, https://mail.example.com/ecp/)
  - Reply URL: https://{ecp-url} (наприклад, ⁣ https://mail.example.com/ecp/)
- У нашому випадку: https://exch.lab.ipi.com/ecp/
- Натисніть Add.
Отримайте деталі IdP:
- Натисніть Details для нового провайдера послуг.
- Завантажте сертифікат підпису IdP.
- Скопіюйте URL WS Federation IdP.

Залиште вкладку WS Federation відкритою з отриманими значеннями (URL IdP WS Federation та сертифікат).

Крок 3: Налаштування автентифікації для Exchange OWA через IPI Server

1. Встановіть сертифікат на сервері Exchange для OWA:

Відкрийте консоль MMC на сервері Exchange:
- Натисніть Win + R, введіть mmc і натисніть Enter.
У консолі MMC перейдіть до File → Add/Remove Snap-in.
Виберіть Certificates зі списку, натисніть Add.
Виберіть Computer account → Local Computer → Finish → OK.

Перейдіть до:
- Certificates (Local Computer) → Trusted Root Certification Authorities → Certificates.
Клацніть правою кнопкою миші на Certificates → All Tasks → Import.
Виконайте імпорт сертифіката:
- Виберіть завантажений сертифікат ws-fed-signing-owa.cer і помістіть його до сховища Trusted Root Certification Authorities
Натисніть Next → Finish.

2. Виконайте команди в Exchange Management Shell для OWA:

Set-OrganizationConfig -AdfsIssuer "{IPI WS Fed URL}" -AdfsAudienceUris "{OWA Base URL}" -AdfsSignCertificateThumbprint {IPI Cert Thumbprint}

{OWA Base URL}: URL OWA, наприклад, https://mail.example.com/owa/.
{IPI WS Fed URL}: URL IdP WS Federation.
{IPI Cert Thumbprint}: Thumbprint сертифіката IdP.

Приклад:

Set-OrganizationConfig -AdfsIssuer "https://dev.ipi.com/wsfed" -AdfsAudienceUris "https://exch.lab.ipi.com/owa/" -AdfsSignCertificateThumbprint d80e7aa3d27ac800fb2d5fa7c08748a73d924cd2

Крок 4: Налаштування автентифікації для EAC через IPI Server

1. Встановіть сертифікат на сервері Exchange для EAC:

Відкрийте консоль MMC на сервері Exchange:
- Натисніть Win + R, введіть mmc і натисніть Enter.
У консолі MMC перейдіть до File → Add/Remove Snap-in.
Виберіть Certificates зі списку, натисніть Add.
Виберіть Computer account → Local Computer → Finish → OK.

Перейдіть до:
- Certificates (Local Computer) → Trusted Root Certification Authorities → Certificates.
Клацніть правою кнопкою миші на Certificates → All Tasks → Import.
Виконайте імпорт сертифікату:
- Виберіть завантажений сертифікат ws-fed-signing-ecp.cer і помістіть його до сховища Trusted Root Certification Authorities
Натисніть Next → Finish.

2. Виконайте команди в Exchange Management Shell для EAC

Відкрийте Exchange Management Shell на сервері Exchange і Виконайте команду для налаштування автентифікації EAC:

Set-OrganizationConfig -AdfsIssuer "{IPI WS Fed URL}" -AdfsAudienceUris "{ECP Base URL}" -AdfsSignCertificateThumbprint {IPI Cert Thumbprint}

{ECP Base URL}: базовий URL для EAC (наприклад, https://mail.example.com/ecp/).
{IPI WS Fed URL}: URL WS Federation IdP (наприклад, https://dev.ipi.com/wsfed).
{IPI Cert Thumbprint}: Thumbprint сертифіката IdP, завантаженого раніше.

Приклад команди:

Set-OrganizationConfig -AdfsIssuer "https://dev.ipi.com/wsfed" -AdfsAudienceUris "https://exch.lab.ipi.com/ecp/" -AdfsSignCertificateThumbprint 3e04c68e71a591de637d0d21dcfd8e6f4b843684

Якщо вам необхідно одночасно налаштувати Outlook Web Application (OWA) і Exchange Admin Center (EAC), ви можете скористатися наступною командою:

Set-OrganizationConfig -AdfsIssuer "{IPI WS Fed URL}" -AdfsAudienceUris "{OWA Base URL}","{ECP Base URL}" -AdfsSignCertificateThumbprint {IPI Cert Thumbprint}

Пояснення параметрів команди:

{IPI WS Fed URL}: URL точки доступу IPI WS Federation, яка виконує роль постачальника ідентифікації (IdP) для автентифікації.
{OWA Base URL}: Базовий URL для сервісу Outlook Web Application (OWA) як постачальника послуг (SP), наприклад: https://mail.example.com/owa/.
{ECP Base URL}: Базовий URL для сервісу Exchange Admin Center (EAC) як постачальника послуг (SP), наприклад: https://mail.example.com/ecp/.
{IPI Cert Thumbprint}: Відбиток сертифіката підпису IPI, встановленого на сервері Exchange, який використовується для встановлення довірчих відносин.

Приклад:

Set-OrganizationConfig -AdfsIssuer "https://dev.ipi.com/wsfed" -AdfsAudienceUris "https://exch.lab.ipi.com/owa/","https://exch.lab.ipi.com/ecp/" -AdfsSignCertificateThumbprint d80e7aa3d27ac800fb2d5fa7c08748a73d924cd2

Крок 5: Налаштування віртуальних директорій

Виконайте команду для OWA:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Виконайте команду для EAC:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Крок 6: Перезапуск Internet Information Services (IIS)

net stop was /y
net start w3svc

PreviousIPI Server як зовнішній метод аутентифікації для Microsoft Entra ID через OIDC NextПрограма IPI Client на робочих станціях Windows

Last updated 1 month ago

hashtagКрок 1: Налаштування інтеграції для Exchange OWA у IPI Server

hashtagКрок 2: Налаштування інтеграції для Exchange Admin Center (EAC) у IPI Server

hashtagКрок 3: Налаштування автентифікації для Exchange OWA через IPI Server

hashtag1. Встановіть сертифікат на сервері Exchange для OWA:

hashtag2. Виконайте команди в Exchange Management Shell для OWA:

hashtagКрок 4: Налаштування автентифікації для EAC через IPI Server

hashtag1. Встановіть сертифікат на сервері Exchange для EAC:

hashtag2. Виконайте команди в Exchange Management Shell для EAC

hashtagКрок 5: Налаштування віртуальних директорій

hashtagКрок 6: Перезапуск Internet Information Services (IIS)