Integration von Office 365 mit OAM- und ID-Voraussetzungen

Dieser Artikel zeigt, wie OAM (11.1.2.2.0 oder höher) als IdP mit Office 365 für Federation SSO mit dem SAML 2.0-Protokoll integriert wird.

Die Integration umfasst:

• SSO-Integration für Browserföderation: Dieser Ablauf führt der Benutzer aus, wenn er über einen Browser auf die www.office365.com-Ressourcen zugreift:

• www.office365.com fordert den Benutzer auf, seine E-Mail-Adresse einzugeben.

• Der Server erkennt, dass Federation-SSO für diese Domain verwendet werden soll, und startet einen Federation-SSO-Ablauf in IdP

• IdP fordert den Benutzer heraus, erstellt eine SAML-Assertion und leitet den Benutzer zu www.office365.com um

• www.office365.com erteilt dem Benutzer Zugriff

• ActiveSync-E-Mail-Integration: In diesem Ablauf verwendet der Benutzer eine für Office 365 konfigurierte E-Mail-Anwendung

• Wenn die E-Mail-Anwendung gestartet wird, werden die Zugangsdaten des Benutzers (E-Mail-Adresse und IdP-Kennwort) an Office 365 gesendet.

• www.office365.com stellt eine direkte Verbindung über SSL zu IdP her und verwendet das SAML 2.0-ECP-Protokoll, um eine SAML AuthnRequest und die Zugangsdaten des Benutzers über die HTTP-Basisauthentifizierung zu sendenwww.office365.com

• Die IdP validiert diese Zugangsdaten und gibt eine SAML-Assertion über das ECP-Protokoll zurück

• Office 365 gewährt Zugriff auf die E-Mail-Anwendung

Beachten Sie, dass die Integration mit Office 365 für Nicht-SAML 2.0-Komponenten nicht funktioniert. Beispiel:

• Lync-Clients

• OWA-Apps

Dieser Artikel basiert auf

• Die durchgeführten Tests

• Der Microsoft-Artikel zur SAML 2.0-Unterstützung für Office 365 und insbesondere die technischen Dokumentlistenschritte, die zur Konfiguration von Office 365 (Benutzerverwaltung und Federation-Vertrauenseinrichtung) erforderlich sind:

• Microsoft-Blog

• Technisches Dokument mit einer Beschreibung der Konfiguration von Office 365

Überblick

Um mit dem SAML 2.0-Protokoll in Office 365 integriert zu werden, muss OAM so konfiguriert sein, dass HTTPS/SSL als Endpunkte mit SSL-Zertifikaten verwendet wird, die von bekannten CAs ausgestellt wurden (wenn eine ActiveSync-Mailintegration erforderlich ist). Andernfalls kann Office 365 beim Aufbau von Federation Trust die OAM SAML 2.0-Metadaten nicht akzeptieren.

Office 365 erwartet, dass alle SAML-Nachrichten mit dem Digest-Algorithmus SHA-1 signiert werden. Daher muss IdP für die Verwendung von SHA-1 konfiguriert sein. Andernfalls gibt Office 365 SP einen Fehler zurück, wenn SHA-256 verwendet wird. Außerdem muss das Signaturzertifikat des IdP in Office 365 in der signierten SAML-Assertion enthalten sein. Daher muss OAM so konfiguriert sein, dass es in allen ausgehenden signierten Nachrichten für Office 365 enthalten ist.

Wenn die HTTP-Basisauthentifizierung in IdP verwendet wird (wie für die ActiveSync-E-Mail-Integration erforderlich), muss die WebLogic-Domain, in der OAM ausgeführt wird, so konfiguriert werden, dass die HTTP-Basisauthentifizierung nicht für ungesicherte Ressourcen validiert wird.

Um eine Vertrauensstellung zwischen den beiden Federation-Servern herzustellen, müssen die folgenden Daten abgerufen werden:

• Die Office 365 SP SAML 2.0-Metadaten.

• Da Office 365 die Verwendung von SAML 2.0-Metadaten noch nicht unterstützt, müssen die folgenden Informationen erfasst werden:

• Das OAM-IdP-Signaturzertifikat im Base64-codierten Format

• Der Wert des OAM-Ausstellers IdP

• Die SSO- und Abmelde-URLs von OAM IdP

Um schließlich das Vertrauen der Föderation aufbauen zu können, muss Folgendes geschehen:

• Für einen bestimmten Benutzer sowohl Office 365 als auch das von

• OAM muss einen Account für diesen Benutzer haben

• Die globale eindeutige ID des Benutzers (oder ImmutableId) und die E-Mail-Adresse (oder UserPrincipalName), die im Office 365-Account verwendet wird, müssen im Benutzeraccount bei OAM festgelegt werden

• Für die E-Mail-Integration ActiveSync muss die ID in der E-Mail-Adresse (oder UserPrincipalName), die von Office 365 verwendet wird, der Benutzername sein, der für die HTTP-Basisauthentifizierung bei OAM verwendet wird

SSL aktivieren

Wichtiger Hinweis: Das SSL-Zertifikat, mit dem SSL für OAM aktiviert wird, muss von bekannten CAs ausgestellt worden sein, da der Office 365-Server versucht, eine direkte Verbindung zum OAM-Server für den Anwendungsfall ActiveSync herzustellen.

Es gibt verschiedene Möglichkeiten, SSL auf den öffentlichen Endpunkten für OAM zu aktivieren:

• Wenn ein Load Balancer OAM als Frontend verwendet, kann SSL/HTTPS im Load Balancer aktiviert/konfiguriert werden

• Wenn OHS OAM vorgibt, ist OHS für SSL konfiguriert

• Wenn keine Komponente OAM voranstellt, kann der WLS-Server, auf dem OAM ausgeführt wird, für SSL/HTTPS konfiguriert werden

Nachdem die Komponente (Load Balancer, OHS oder WLS) für SSL konfiguriert wurde, muss die OAM-Konfiguration aktualisiert werden, damit der neue Endpunkt als öffentliche URL referenziert wird:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin- host:OAM-admin-port/oamconsole

2. Navigieren Sie zu Konfiguration, Access Manager-Einstellungen.

3. OAM-Serverhost auf den Hostnamen des öffentlichen Endpunkts setzen

4. OAM-Serverpost auf den SSL-Port des öffentlichen Endpunkts setzen

5. OAM-Serverprotokoll auf "https" setzen

6. Klicken Sie auf Apply.

Beschreibung der Abbildung Access_Manager_Settings.jpg

Hinweis: Nachdem Sie diese Änderungen vorgenommen haben, enthält das Abrufen der OAM SAML 2.0-Metadaten die neuen HTTPS-URLs.

HTTP-Basisauthentifizierung

Wenn ein Browser Zugangsdaten für die HTTP-Basisauthentifizierung an OAM sendet, versucht der WLS-Server standardmäßig, diese zu validieren, bevor die Anforderung von OAM verarbeitet werden kann: Dies kann zu Authentifizierungsfehlern führen, insbesondere wenn die WLS-Domain nicht mit WLS-LDAP-Authentikatoren für jeden in OAM erstellten Identitätsspeicher konfiguriert wurde.

Hinweis: Selbst wenn die WLS-Domain korrekt mit einem WLS-LDAP-Authentikator für jeden in OAM erstellten Identitätsspeicher konfiguriert wurde, führt dies zu zwei Authentifizierungsvorgängen, einem nach WLS, und dem anderen, der von OAM zum Erstellen einer OAM-Session erforderlich ist.

Die automatische Validierung von Zugangsdaten für die HTTP-Basisauthentifizierung, die an nicht gesicherte Anwendungen in der WLS-Domain gesendet werden, in der OAM ausgeführt wird, kann deaktiviert werden. Weitere Informationen finden Sie im Abschnitt "Understanding BASIC Authentication with Unsecured Resources" des Handbuchs "Oracle Fusion Middleware Programming Security for Oracle WebLogic Server".

Um die automatische Validierung von Zugangsdaten für die HTTP-Basisauthentifizierung zu deaktivieren, die an nicht gesicherte Anwendungen in der WLS-Domain gesendet werden, führen Sie die folgenden Schritte aus:

1. Geben Sie die WLST-Umgebung ein, indem Sie Folgendes ausführen: $IAM_ORACLE_HOME/common/bin/WLST.sh

2. Stellen Sie eine Verbindung zum WLS-Admin-Server her: connect()

3. Starten Sie eine Bearbeitungssession:

   edit()

   startEdit()

4. Navigieren Sie zum Knoten SecurityConfiguration: cd('SecurityConfiguration')

5. Navigieren Sie zur Domain (ersetzen Sie DOMAIN_NAME durch den Namen der WLS-Domain, in der OAM installiert ist): cd('DOMAIN_NAME')

6. Setzen Sie die Einstellung EnforceValidBasicAuthCredentials auf "false", um die automatic-Validierung von HTTP-Basisauthentifizierungszugangsdaten zu deaktivieren, die an nicht gesicherte Anwendungen gesendet werden: set('EnforceValidBasicAuthCredentials','false')

7. Speichern und aktivieren Sie die Änderungen:

   save()

   activate()

8. Starten Sie die Server in der WLS-Domain neu, damit die Änderungen wirksam werden

SAML 2.0-Metadaten, -Zertifikat und -Aussteller

So laden Sie die SAML 2.0-Metadaten vom Office 365 SP-Server herunter:

1. Öffnen Sie einen Browser

2. Gehen Sie zum Azure / Office 365 Metadata Publishing Service: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml

3. Speichern Sie die Metadaten lokal mit der Schaltfläche "Speichern unter" im Browser

Das OAM-Signaturzertifikat IdP muss als Base64-codierte Zeichenfolge für die Windows-Powershell-Befehle als einzelne Zeichenfolge ohne Leerzeichen/Zeilenumbrüche angegeben werden. Um das OAM-Signaturzertifikat IdP abzurufen, führen Sie die folgenden Vorgänge aus, um zu bestimmen, mit welchem keyID-Eintrag ausgehende SAML-Nachrichten signiert werden:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-adminhost:OAM-admin-port/oamconsole

2. Navigieren Sie zu Konfiguration, Föderationseinstellungen.

3. Beachten Sie die keyID des Signaturschlüssels für SAML-Signaturvorgänge im Feld "Signaturschlüssel".

Beschreibung der Abbildung Federation_Settings.jpg

Führen Sie die folgenden Schritte aus, um das Zertifikat für diesen keyID-Eintrag abzurufen:

1. Öffnen Sie einen Browser

2. Gehen Sie zur folgenden URL (ersetzen Sie KEYENTRY_ID durch den im vorherigen Schritt abgerufenen keyID-Namen):

http://oam-runtime-host:oam-runtime-port/oamfed/idp/cert?id=<KEYENTRY_ID>

3. Speichern Sie das Zertifikat in einer Textdatei.

4. Öffnen Sie die Datei mit Ihrem bevorzugten Texteditor.

5. Der Inhalt der Datei lautet:

   -----BEGIN CERTIFICATE-----
   	MIIB+DCCAWGgAwIBAgIBCjANBgkqhkiG9w0BAQQFADAhMR8wHQYDVQQDExZhZGMMHBjYy51cy5vcmFjbGUuY29tMB4XDTE0MDMwNDE5MjAzMloXDTI0MDMwMTE5MjAzMlowITEfMB0GA1UEAxMWYWRjMDBwY2MudXMub3JhY2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAkQOdZCmoOQRuxSvI/74bjnUPq7u7qiGbmaN1D5TB JaM+j5XRixEUI3pidaxlbykaraqVBMJpXJ6ua0QWectv6SdzuqcvH8C5el06NxTs fB6pcvxHGXVAbAvtGr2tOPSL+5HaFQoATpiY3HugTnJfjmHRfOqIo8nUMek6zCtv rKUCAwEAAaNAMD4wDAYDVR0TAQH/BAIwADAPBgNVHQ8BAf8EBQMDB9gAMB0GA DgQWBBQ/7yJbGCbbAnaLEi4ReLwLlvSxJTANBgkqhkiG9w0BAQQFAAOBgQBrMb2i6zcChhVM7a9VVgBr8xljBsPxVWCAYNUYaoyUj9VkD4CpFF9hVX0CpceoSBTiyMQp 3sg0FAYz1PGfjrq7uFEq9iTCwa5J/7k/VSOLKd3IDqzz7w0ZERksgp3OOqOct/wB/wQplaoMZLcRoInVUbGTBDMfqmW5iZ/wjpzItg==
   —–END CERTIFICATE—–
   

6. Entfernen Sie die erste Zeile (-----BEGIN CERTIFICATE-----), entfernen Sie die letzte Zeile (-----END CERTIFICATE-----), und ändern Sie den Rest der Datei, um die Zeilenumbrüche zu entfernen. Das Ergebnis sollte eine einzeilige Datei sein (der Inhalt wurde gekürzt):

MIIB+DCCAWGgAwIBAgIBCjANBg....InVUbGTBDMfqmW5iZ/wjpzItg==

7. Speichern Sie die Datei. Diese Zeile wird als Eingabe für den Windows-Powershell-Befehl bereitgestellt.

Führen Sie die folgenden Schritte aus, um die Aussteller-/Provider-ID des IdP abzurufen:

1. Gehen Sie zur OAM-Administrationskonsole: http(s)://OAM-admin-host:OAM-admin-port/oamconsole

2. Navigieren Sie zu Konfiguration, Föderationseinstellungen.

3. Beachten Sie den Wert der OAM-Aussteller-/Anbieter-ID im Feld "Provider-ID".

Beschreibung der Abbildung Retrieve_IDP.jpg

Die SSO- und Abmelde-URLs von OAM IdP sind (Hinweis: Stellen Sie sicher, dass die öffentlichen Endpunkte vorhanden sind, die vom Endbenutzer verwendet werden):

• Browser-SSO-URL: http(s)://oam-public-host:oam-publicport/oamfed/idp/samlv20

• ECP SSO-URL: http(s)://oam-public-host:oam-publicport/oamfed/idp/soap

• Abmelde-URL: http(s)://oam-public-host:oam-publicport/oamfed/idp/samlv20

Wenn Sie Zweifel haben, können Sie diese URLs aus den IdP-Metadaten abrufen:

1. Öffnen Sie einen Browser

2. Gehen Sie zu http(s)://oam-public-host:oam-public-port/oamfed/idp/metadata

3. Die Browser-SSO-URL ist das Standortattribut der XML

   
   	 Element EntityDescriptor , IDPSSODescriptor , SingleSignOnService for which the Binding attribute is set to urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect:
              <md:EntityDescriptor ...>
   				...
   				<md:IDPSSODescriptor ...>
   					...
   					<md:SingleSignOnService>
   						Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTPRedirect" Location="https://acme.com/oamfed/idp/samlv20"/>
   					...
   				</md:IDPSSODescriptor>
   				...
   			</md:EntityDescriptor>
   	

• Die ECP-SSO-URL ist das Location-Attribut der XML

  
  	Element EntityDescriptor , IDPSSODescriptor , SingleSignOnService for which the Binding attribute is set to urn:oasis:names:tc:SAML:2.0:bindings:SOAP:
  			<md:EntityDescriptor ...>
  				...
  					<md:IDPSSODescriptor ...>
  						...
  							<md:SingleSignOnService>
  								Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP"Location="https://acme.com/oamfed/idp/soap"/>
  						...
  					</md:IDPSSODescriptor>
  				...
  			</md:EntityDescriptor>
    

• Die Abmelde-URL ist das Standortattribut der XML

  
    Element EntityDescriptor , IDPSSODescriptor , SingleLogoutService for which the Binding attribute is set to urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect:
  		<md:EntityDescriptor ...>
  			...
  				<md:IDPSSODescriptor ...>
  					...
  						<md:SingleLogoutServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTPRedirect" Location="https://acme.com/oamfed/idp/samlv20"ResponseLocation="https://acme.com/oamfed/idp/samlv20"/>
  					...
  				</md:IDPSSODescriptor>
  			...
  		</md:EntityDescriptor>
    

SHA-256 und SHA-1

Nachdem Sie die Föderation zwischen OAM und Office 365 eingerichtet haben, müssen Sie OAM so konfigurieren, dass SHA-1 für Signaturen für den Office 365 SP-Partner verwendet wird.

Signaturzertifikat von OAM in Signe-Nachrichten

Nachdem Sie Federation zwischen OAM und Office 365 eingerichtet haben, müssen Sie OAM so konfigurieren, dass der Federation-Server sein X.509-Signaturzertifikat in allen ausgehenden signierten SAML-Nachrichten für den Office 365 SP-Partner enthält.

Benutzeraccount

Die Benutzeraccounts in Office 365 und im OAM-Verzeichnis müssen synchronisiert werden, um die verschiedenen Federation-Abläufe zu unterstützen (Browser-SSO und ActiveSync):

• Für einen bestimmten Benutzer müssen sowohl Office 365 als auch das von OAM verwendete Verzeichnis einen Account für diesen Benutzer haben

• Die globale eindeutige ID des Benutzers (oder ImmutableId) und die E-Mail-Adresse (oder UserPrincipalName), die im Office 365-Account verwendet wird, müssen im Benutzeraccount bei OAM festgelegt werden

• Für die E-Mail-Integration ActiveSync muss userID (oder ImmutableId), die von Office 365 verwendet wird, der Benutzername sein, der für die HTTP-Basisauthentifizierung bei OAM verwendet wird:

• Die ID in der E-Mail-Adresse (oder UserPrincipalName) ist der Teil der E-Mail-Adresse vor dem Zeichen @. Beispiel: Wenn UserPrincipalName alice.appleton@acme.com ist, lautet die ID alice.appleton.

• Dieser Bezeichner ist der Benutzername für die HTTP-Basisauthentifizierung. Beispiel: alice.appleton

• Das in der OAM-Identitätsspeicherkonfiguration für das OAM HTTP-Basisauthentifizierungsschema verwendete Benutzer-ID-Attribut muss mit dem eingehenden HTTP-Basisauthentifizierungsbenutzernamen übereinstimmen. Beispiel: Das Benutzer-ID-Attribut, das im OAM-Identitätsspeicher für den Benutzeralice verwendet wird, muss alice.appleton lauten.

ImmutableId

ImmutableId ist ein Attribut, das von Office 365 verwendet wird, um einen Benutzer eindeutig zu referenzieren. Selbst wenn der Benutzerdatensatz später gelöscht werden soll, darf kein anderer Benutzer, der später erstellt wird, denselben ImmutableId-Wert haben.

Eine ImmutableId ist in der Regel

• Eine zufällige eindeutige ID (wie 2848cfc7f6914af2a550c024bcbf0c6e)

• Oder ein Benutzername, der als eindeutig gilt: Kein anderer Benutzer hat denselben Benutzernamen, selbst wenn der ursprüngliche Benutzer aus dem System gelöscht wurde.

UserPrincipalName

Die UserPrincipalName (oder UPN) ist eine ID, die das Format einer E-Mail-Adresse hat. Der Domainname der E-Mail-Adresse muss dem in der Office 365-Domain verwendeten Namen zugeordnet sein.

Beispiel: Wenn Office 365 für die Domain acme.com für Federation-SSO konfiguriert wurde, können alle Benutzer mit einer E-Mail-Adresse ähnlich identiSer@acme.com Federation-SSO mit der für diese Office 365-Domain konfigurierten IdP-Instanz ausführen.

ActiveSync Anforderungen

In einem ActiveSync-Mailflow:

• Der Office 365 Mail-Server stellt eine direkte Verbindung über SSL zu IdP her und verwendet das SAML 2.0 ECP-Protokoll, um eine SAML AuthnRequest und die Zugangsdaten des Benutzers über die HTTP-Basisauthentifizierung zu senden

• Die IdP validiert diese Zugangsdaten und gibt eine SAML-Assertion über das ECP-Protokoll zurück

• Office 365 gewährt Zugriff auf die E-Mail-Anwendung

In einem solchen Fluss wird der Benutzer:

• Geben Sie die E-Mail-Adresse an Office 365 an (Beispiel: alice.appleton@acme.com)

• Office 365 verwendet die ID vor dem Zeichen "@" als Benutzernamen für die HTTP-Basisauthentifizierung (z.B. alice.appleton)

• IdP muss die Zugangsdaten validieren können, wobei der Benutzername die ID in der E-Mail-Adresse ist (z.B. alice.appleton).

Anforderungen an Benutzernamen

Je nach oben sind für die Benutzerauthentifizierung bei IdP die folgenden Anforderungen erforderlich:

Browser	Benutzername für Authentifizierung	Benutzername für HTTP-Basisauthentifizierung unter IdP
Browserbasiertes Federation-SSO	Beliebig	NICHT ZUTREFFEND
Browserbasiertes Federation-SSO + ActiveSync ECP	Beliebig	Bezeichner in der E-Mail-Adresse

Weitere Lernressourcen

Sehen Sie sich weitere Übungen unter docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning-Kanal YouTube zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Integrating Office 365 with OAM and Id Pre-Requisites

F60937-01

September 2022

Copyright © 2022, Oracle and/or its affiliates.