Предварительные условия.

В данном руководстве подразумевается что у вас уже есть развернутая система Indeed-Id 7.0, настроенный сервер ADFS и установлен MFA адаптер Indeed-Id.

1. Создание доверия проверяющей стороны в AD FS для OWA и ECP: Необходимо выполнить эти действия два раза: один раз для OWA и один раз для ECP.
   • В окне “Диспетчер серверов” выберите “Средства”, а затем выберите “Управление AD FS”.
   • В консоли управления AD FS разверните узел “Отношения доверия” и выберите “Отношения доверия проверяющей стороны”. В области “Действия” выберите “Добавить отношение доверия проверяющей стороны”.
   • В окне “Мастер добавления отношений доверия проверяющей стороны”. На странице “Добро пожаловать” нажмите кнопку “Запустить”.
   • На странице “Выбор источника данных” выберите “Ввод данных о проверяющей стороне вручную” и нажмите кнопку “Далее”.
   • На странице “Указание отображаемого имени” настройте приведенные ниже параметры и нажмите кнопку “Далее”. 

     Для OWA отображаемое имя: Outlook on the web.

     Для ECP отображаемое имя: Exchange Control Panel.

     Введите описание. Например: Это отношение доверия для https://exchange.ind.loc/owa/ или https://exchange.ind.loc/ecp/

     Пример ввода данных для OWA:
     
     Пример ввода данных для ECP:
   • На странице “Выберете профиль” выберите параметр “Профиль AD FS” и нажмите кнопку “Далее”.
   • На странице “Настройка сертификата” нажмите кнопку “Далее” (не указывайте необязательный сертификат для шифрования маркера).
   • На странице “Настройка URL-адреса” выберите ”Включить поддержку пассивного протокола WS-Federation” и в поле “URL-адрес пассивного протокола WS-Federation проверяющей стороны” введите следующие данные и нажмите “Далее”:

     В данном примере будет:

     Owa: https://exchange.ind.loc/owa/.

     ECP: https://exchange.ind.loc/ecp/

     Пример ввода данных для OWA:
     Пример ввода данных для ECP:

   • На странице Настройка идентификатора нажмите кнопку "Далее" (URL-адрес, упомянутый при выполнении предыдущего шага, указан в списке Идентификаторы отношений доверия проверяющей стороны).
     

     Пример отображения данных для OWA:

   • На странице “Настроить многофакторную проверку подлинности?” выберите параметр “Настроить параметры для этого отношения доверия с проверяющей стороной” и нажмите кнопку “Далее”.
   • На странице “Настройка многофакторной проверки подлинности” добавьте, если необходимо, пользователей/группы, для каких устройств требуется MFA и нажмите “Далее”.
   • На странице “Выбор правил авторизации выдачи” выберите параметр “Разрешить доступ к этой проверяющей стороне всем пользователям” и нажмите кнопку “Далее”.
   • На странице “Готовность для добавления отношения доверия” проверьте настройки, а затем нажмите кнопку “Далее”, чтобы сохранить сведения об отношении доверия с проверяющей стороной.
   • На странице “Готово” снимите флажок Открыть диалоговое окно "Изменение правил утверждений" для этого отношения доверия с проверяющей стороной после закрытия мастера и нажмите кнопку “Закрыть”.
2. Создание правила настраиваемых утверждений в AD FS для OWA и Центр администрирования Exchange(ECP).
   • В консоли управления AD FS разверните узел “Отношения доверия” выберите “Отношение доверия с проверяющей стороной” и выберите “Outlook on the web” или “Exchange Control Panel”. В области действий выберите “Изменить правила утверждений...”.
   • В окне “Изменение правил утверждений для outlook” нажмите кнопку “Добавить правило...”.
   • В окне “Мастер добавления правила преобразования утверждения” на странице “Выберите тип правила” нажмите кнопку “Далее”.
   • На странице “Настройте правило утверждения” настройте:
     • Имя правила утверждения - Введите “OWA или ECP”.
     • Хранилище атрибутов -  Выберите “Active Directory”.
     • Сопоставление атрибутов LDAP…. -  "Атрибут LDAP" выберите: User-Principal-Name. "Тип  исходящего утверждения" выберите: UPN.
   • После настройки правила в окне “Изменение правила утверждений ….” нажмите кнопку “Применить” и “Ок”.

3. Настройка Exchange.

   На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.

   Экспорт сертификата подписи маркера с сервера ADFS.

   • На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.
   • Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.
   • В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.
   • В окне “Мастер экспорта сертификатов” нажмите “Далее”.
   • На странице “Формат экспортируемого файла” выберите “Файлы X.509 (.CER) в кодировке DER” и нажмите “Далее”.
   • На странице “Имя экспортируемого файла” укажите путь и имя для сохранения сертификата и нажмите “Далее”.
   • На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.

• Откройте оснастку “Сертификаты” для локального компьютера на сервере с Exchange и разверните узел “Доверенные корневые центры сертификации (Trusted Root Certification Authorities)” и нажмите “Сертификаты (Certificates)”.
• Нажмите правой кнопкой мыши на “Сертификаты” выберите “Все задачи” и “Импорт”.
• В окне “Мастер импорта сертификатов” нажмите “Далее”.
• Выберите сертификат подписи маркера, экспортируемый с машины ADFS и нажмите “Далее”.
• В окне “Хранилище сертификата” нажмите “Далее”.
• Проверьте параметры импорта и нажмите “Готово”.

• На машине с Exchange запустите командную консоль Exchange и выполните следующую команду:

  Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

• Скопируйте отпечаток (Thumbprint) сертификата подписи маркера ADFS.
• Выполните последовательно следующие команды в консоли Exchange используя полученный отпечаток и свои данные.

  $uris=@("https://YourDomainName/owa/","https://YourDomainName/ecp/","https://YourDomainName/owa","https://YourDomainName/ecp")

  Set-OrganizationConfig -AdfsIssuer "https://YourDomainName/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "YourThumbprint"

  Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

  Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

  Пример ввода команд для данной инструкции:

  $uris=@("https://Exchange.ind.loc/owa/","https://Exchange.ind.loc/ecp/","https://Exchange.ind.loc/owa","https://Exchange.ind.loc/ecp")

  Set-OrganizationConfig -AdfsIssuer "https://ADFS.ind.loc/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "30B88D8F7C7AD0A74EE6A2823308DF2EE8313196"

  Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

  Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

  Пример выполнения команд для данной инструкции:

• Перезапустите сервер IIS командной: iisreset /restart.

Проверка входа в owa.

1. Вводим доменный логин и пароль пользователя.
   
2. Указываем данные второго фактора.
   
3. Входим в свой почтовый ящик.