Table of Contents |
---|
Konfigurera SSO för Office 365
Guiden beskriver hur man ansluter Office 365 mot sin redan befintlig simpleSAMLphp IdP. Då metatdatat som Skolfederation distribuerar inte innehåller information om Office 365 måste det konfigureras ett ett-till-ett-förhållande mellan simpleSAMLphp och Office 365. För att åstadkomma det matar man manuellt in metadata i respektive konfiguration.
Office 365
För att federerad inloggning ska fungera så krävs det att Azure AD är konfigurerat för Office 365. Logg in i Office 365 och gå till Administrationsmenyn.
Välj sen Azure AD.
UPN-suffix
Om man ska provisionera sina lokala AD användare till Azure AD används Azure Active Directory Connect. Som standard använder Azure Active Directory Connect attributet UserPrincipalName som användarnamn. Användarens UPN-suffix ska vara satt till den SSO domän som är konfigurerad i Azure AD. I det här exemplet använder vi domänen ssdomain.com.
...
- Starta Active Directory domäner och förtroenden
- I konsolträdet, högerklicka på Active Directory domäner och förtroenden klicka sen på Egenskaper
- Välj fliken UPN suffix, skriver ett alternativ UPN -suffix för skogen klicka sen på lägg till
- Upprepa steg 3 för att lägga till ytterligare alternativa UPN –suffix
Installera Azure AD modulen
Konfigurationen kommer att ske med PowerShell. Det behövs installeras två tillägg som hämtas från Microsoft.
...
Azure Active Directory Module for Windows PowerShell (64-bit version)
Skapa SSO domänen i Azure AD
Starta PowerShell och anslut.
...
Code Block | ||
---|---|---|
| ||
Confirm-MsolDomain -DomainName ssodomain.com |
Konfigurera domänen med metadata
SimpleSAMLphp metadata kan hämtas från den lokala SimpleSAMLphp installationen med följande länk. Värden från metadatat kommer att användas för att konfigurera SAML för Azure AD domänen.
...
Code Block | ||
---|---|---|
| ||
Set-MsolDomainAuthentication -DomainName ssodomain.com -Authentication Managed |
Skapa en test användare
Om man inte vill synka sitt lokala AD till Azure AD eller för att bara lägga upp en test användare använder man New-MsolUser. Användaren läggs till i Azure AD och kan logga in i Office 365. Användare har i det här läget ingen licens för att nyttja något av programmen. En administratör kan inne i Office 365 tilldela användaren en Office licens.
Code Block | ||
---|---|---|
| ||
New-MsolUser -UserPrincipalName kalle@ssodomain.com -ImmutableId 123456 -DisplayName "Kalle Andersson" -FirstName Kalle -LastName Andersson -AlternateEmailAddresses "kalle.andersson@ssodomain.com" -UsageLocation "SE" |
Synkronisera användare
Synkroniseringen genomförs med verktyget Azure Active Directory Connect. Servern där Azure Active Directory Connect ska installeras måste vara medlem i den "Active directory forest" som ska synkroniseras. Ladde ner Microsoft Azure Active Directory Connect och genomför en första synkronisering.
...
Code Block |
---|
C:\Program Files\Microsoft Azure AD Sync\Bin\DirectorySyncClientCmd.exe |
Konfigurera SimpleSAMLphp
Konfigurera SimpleSAMLphp med metadata
SimpleSAMLphp måste konfigureras med metadata. Microsoft distribuerar sitt metadata på adressen:
...
Den konverterade texten ska läggas in i filen simplesaml/metadata/saml-sp-remote.php.
EXEMPEL!!!
NamedID
ImmutableID är, vid standardkonfiguration av Azure Active Directory Connect, satt till att skapas av Active Directory attributet ObjectID. Attributet ObjectID base64 kodas och lagras i Azure AD tillsammans med resten av användardatan. ImmutableID är ankaret som används av Azure Active Directory Connect vid synkronisering av användare. När ett autentiseringssvar skickas måste NameID vara satt till ImmutableID.
Använd följande i PowerShell för att exportera användarnas ImmutableID till en kommaseparerad fil c:\temp\ImmutableID.csv.
...
Code Block | ||
---|---|---|
| ||
'simplesaml.nameidattribute' => 'ImmutableID', |
IDPEmail
Attributet IDPEmail är användarens Active Directory UPN och ska skickas med som ett attribut i autentiseringssvaret.
Skapa test användaren i exampleauth
Normalt brukar man populera användardata från en LDAP eller liknande. Här visas hur man kan använda modulen exampleauth:UserPass för att testa att installationen fungerar.
I file simplesaml/metadata/saml20-idp-hosted.php ska auth vara satt till example-userpass
...