為 Outlook Web Access 的 Microsoft Entra SSO 和 MFA 設定 Datawiza Access Proxy

在本教學課程中，了解如何設定 Datawiza Access Proxy (DAP)，為 Outlook Web Access (OWA) 啟用 Microsoft Entra 單一登入 (SSO) 和 Microsoft Entra 多重要素驗證。 協助解決新式識別提供者 (IdP) 與舊版 OWA 整合時出現的問題，後者支援 Kerberos 權杖驗證來識別使用者。

由於沒有新式通訊協定支援，舊版應用程式與新式 SSO 整合通常是一項挑戰。 Datawiza Access Proxy 可移除通訊協定支援差距、減少整合額外負荷，以及改善應用程式安全性。

整合優點：

• 透過 SSO、MFA 和條件式存取改善零信任安全性：
  • 請參閱使用零信任擁抱主動式安全性
  • 請參閱條件式存取是什麼？
• 與 Microsoft Entra ID 和 Web 應用程式的無程式碼整合：
  • OWA
  • Oracle JD Edwards
  • Oracle E-Business Suite
  • Oracle Siebel
  • Oracle PeopleSoft
  • 您的應用程式
  • 請參閱在 Microsoft Entra ID 中使用無程式碼 Datawiza 進行簡單的驗證和授權
• 使用 Datawiza Cloud Management Console (DCMC) 來管理雲端和內部部署應用程式的存取：
  • 移至 login.datawizwa.com 以登入或註冊帳戶

架構

DAP 整合架構包含下列元件：

• Microsoft Entra ID - 身分識別和存取管理服務，能協助使用者登入及存取外部與內部資源
• OWA - 受到 Microsoft Entra ID 保護的舊版 Exchange Server 元件
• 網域控制站 - 在 Windows 型網路中管理使用者驗證和存取網路資源的伺服器
• 金鑰發佈中心 (KDC) - 在 Kerberos 驗證系統中散發及管理祕密金鑰和票證
• DAP - 可對使用者登入實作 OpenID Connect (OIDC)、OAuth 或安全性聲明標記語言 (SAML) 的反向 Proxy。 DAP 使用下列方式與受保護的應用程式整合：
  • HTTP 標頭
  • Kerberos
  • JSON Web 權杖 (JWT)
  • 其他通訊協定
• DCMC - 具有 UI 和 RESTful API 的 DAP 管理主控台，用來管理設定和存取控制原則

下圖說明在客戶網路中使用 DAP 的使用者流程。

下圖說明從使用者瀏覽器到 OWA 的使用者流程。

1. 使用者瀏覽器要求存取受 DAP 保護的 OWA。
2. 使用者瀏覽器導向至 Microsoft Entra ID。
3. Microsoft Entra 登入頁面隨即顯示。
4. 使用者輸入認證。
5. 驗證後，使用者瀏覽器導向至 DAP。
6. DAP 和 Microsoft Entra ID 交換權杖。
7. Microsoft Entra ID 將使用者名稱和相關資訊發出給 DAP。
8. DAP 會使用認證來存取金鑰發佈中心 (KDC)。 DAP 要求 Kerberos 票證。
9. KDC 傳回 Kerberos 票證。
10. DAP 將使用者瀏覽器重新導向至 OWA。
11. 即顯示 OWA 資源。

注意

後續的使用者瀏覽器要求包含 Kerberos 權杖，可透過 DAP 存取 OWA。

必要條件

您需要下列元件。 不需要事先具備 DAP 相關經驗。

• Azure 帳戶
  • 如果沒有訂用帳戶，請取得 Azure 免費帳戶
• 連結至 Azure 帳戶的 Microsoft Entra 租用戶
  • 請參閱快速入門：在 Microsoft Entra ID 中建立新的租用戶
• Docker 與 Docker Compose 是執行 DAP 的必要項目
  • 請參閱取得 Docker
  • 請參閱安裝 Docker Compose 的概觀
• 從內部部署目錄同步至 Microsoft Entra ID 的使用者身分識別，或在 Microsoft Entra ID 中建立並流回內部部署目錄的使用者身分識別
  • 請參閱 Microsoft Entra Connect 同步：瞭解和自訂同步處理
• 具有 Microsoft Entra 應用程式系統管理員權限的帳戶
  • 如需應用程式系統管理員和其他角色的資訊，請參閱 Microsoft Entra 內建角色
• Exchange Server 環境。 支援的版本：
  • Microsoft Internet Information Services (IIS) 整合式 Windows 驗證 (IWA) - IIS 7 或更新版本
  • Microsoft OWA IWA - IIS 7 或更新版本
• 已設定 IIS 和 Microsoft Entra 服務的 Windows Server 執行個體，作為網域控制站 (DC) 執行並實作 Kerberos (IWA) SSO
  • 大型實際執行環境將應用程式伺服器 (IIS) 同時作為 DC 運作並不常見。
• 選擇性：可透過 HTTPS 發佈服務的 SSL Web 憑證，或用於測試的 DAP 自我簽署憑證。

為 OWA 啟用 Kerberos 驗證

1. 登入 Exchange 系統管理中心。

2. 在 Exchange 系統管理中心的左側導覽中，選取 [伺服器]。

3. 選取 [虛擬目錄] 索引標籤。

   

4. 從 [選取伺服器] 下拉式清單中選取伺服器。

5. 按兩下 [owa (預設網站)]。

6. 在 [虛擬目錄] 中，選取 [驗證] 索引標籤。

7. 在 [驗證] 索引標籤上，選取 [使用一或多個標準驗證方法]，然後選取 [整合式 Windows 驗證]。

8. 選取 [儲存]

   

9. 開啟命令提示字元。

10. 執行 iisreset 命令。

    

建立 DAP 服務帳戶

DAP 需要執行個體使用已知的 Windows 認證來設定 Kerberos 服務。 使用者是 DAP 服務帳戶。

1. 登入 Windows Server 執行個體。

2. 選取 [使用者或電腦]。

3. 選取 DAP 執行個體向下箭號。 此範例為 datawizatest.com。

4. 在清單中，以滑鼠右鍵按一下 [使用者]。

5. 從功能表中選取 [新增]，然後選取 [使用者]。

6. 在 [新增物件--使用者] 上，輸入 [名字] 和 [姓氏]。

7. 在 [使用者登入名稱] 中，輸入 dap。

8. 選取 [下一步]。

   

9. 在 [密碼] 中，輸入密碼。

10. 在 [確認] 中再次輸入密碼。

11. 核取 [使用者不能變更密碼] 和 [密碼永久有效] 的方塊。

    

12. 選取 [下一步]。

13. 以滑鼠右鍵按一下新使用者以查看設定的屬性。

建立服務帳戶的服務主體名稱

建立服務主體名稱 (SPN) 之前，您可以列出 SPN 並確認 HTTP SPN 位於其中。

1. 若要列出 SPN，在 Windows 命令列上使用下列語法。

   setspn -Q \*/\<**domain.com**

2. 確認 HTTP SPN 位於其中。

3. 若要為帳戶註冊主機 SPN，在 Windows 命令列上使用下列語法。

   setspn -A host/dap.datawizatest.com dap

注意

host/dap.datawizatest.com 是唯一的 SPN，而 dap 是您建立的服務帳戶。

設定 Windows Server IIS 以進行限制委派

1. 登入網域控制站 (DC)。

2. 選取 [使用者或電腦]。

3. 在您的組織中，找出並選取 [使用者] 物件。

4. 找出您建立的服務帳戶。

5. 以滑鼠右鍵按一下該帳戶。

6. 從清單中選取 [屬性]。

7. 選取 [委派] 索引標籤。

8. 選取 [信任這個使用者，但只委派指定的服務]。

9. 選取 [使用任何驗證通訊協定]。

10. 選取 [新增]。

    

11. 在 [新增服務] 上，選取 [使用者或電腦]。

    

12. 在 [輸入要選取的物件名稱] 中，鍵入機器名稱。

13. 選取確定

    

14. 在 [新增服務] 的 [可用服務] 底下，選取 [http]。

15. 選取確定

    

整合 OWA 與 Microsoft Entra ID

使用下列指示整合 OWA 與 Microsoft Entra ID。

1. 登入 Datawiza Cloud Management Console (DCMC)。

2. [歡迎] 頁面隨即出現。

3. 選取橙色 [開始] 按鈕。

   

部署名稱

1. 在 [部署名稱] 上，鍵入 [名稱] 和 [描述]。

2. 選取 [下一步]。

   

新增應用程式

1. 在 [新增應用程式] 上，為 [平台] 選取 [Web]。

2. 在 [應用程式名稱] 中，輸入應用程式名稱。 建議您使用有意義的命名慣例。

3. 在 [公用網域] 中，輸入應用程式的對外 URL。 例如： https://external.example.com 。 使用 localhost 網域名稱伺服器 (DNS) 進行測試。

4. 在 [接聽連接埠] 中，輸入 DAP 接聽的連接埠。 如果未在負載平衡器後方部署 DAP，您可以使用公用網域中指出的連接埠。

5. 在 [上游伺服器] 中，輸入 OWA 實作的 URL 與連接埠組合。

6. 選取 [下一步]。

   

設定 IdP

DCMC 整合功能可協助完成 Microsoft Entra 設定。 相反地，DCMC 會呼叫 Microsoft Graph API 來執行工作。 此功能可減少時間、工作量和錯誤。

1. 在 [設定 IdP] 上，輸入 [名稱]。

2. 在 [通訊協定] 中，選取 [OIDC]。

3. 在 [識別提供者] 中，選取 [Microsoft Entra ID]。

4. 啟用 [自動產生器]。

5. 在 [支援的帳戶類型] 中，選取 [僅此組織目錄中的帳戶 (單一租用戶)]。

6. 選取 建立。

7. 頁面隨即顯示，其中包含 DAP 和應用程式的部署步驟。

8. 請參閱部署的 Docker Compose 檔案，其中包含 DAP 的映像，以及 PROVISIONING_KEY 和 PROVISIONING_SECRET。DAP 會使用金鑰來提取最新的 DCMC 設定和原則。

設定 Kerberos

1. 在您的應用程式頁面上，選取 [應用程式詳細資料]。

2. 選取 [進階] 索引標籤。

3. 在 [Kerberos] 子索引標籤上，啟用 [Kerberos]。

4. 在 [Kerberos 領域] 中，輸入儲存 Kerberos 資料庫的位置或網域。

5. 在 [SPN] 中，輸入 OWA 應用程式的服務主體名稱。 其與您建立的 SPN 不同。

6. 在 [委派的登入身分識別] 中，輸入應用程式的對外 URL。 使用 localhost DNS 進行測試。

7. 在 [KDC] 中，輸入網域控制站 IP。 如果已設定 DNS，請輸入完整網域名稱 (FQDN)。

8. 在 [服務帳戶] 中，輸入您建立的服務帳戶。

9. 在 [驗證類型] 中，選取 [密碼]。

10. 輸入服務帳戶的 [密碼]。

11. 選取 [儲存]。

    

SSL 組態

1. 在您的應用程式頁面上，選取 [進階] 索引標籤。

2. 選取 [SSL] 子索引標籤。

3. 選取編輯。

   

4. 選取 [啟用 SSL] 選項。

5. 從 [憑證類型] 中，選取憑證類型。 您可以使用提供的自我簽署 localhost 憑證進行測試。

   

6. 選取 [儲存]。

選擇性：啟用 Microsoft Entra 多重要素驗證

若要提供更多登入安全性，您可以強制執行 Microsoft Entra 多重要素驗證。 此程序會在 Microsoft Entra 系統管理中心啟動。

1. 以應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[概觀]>[屬性] 索引標籤。
3. 在 [安全性預設值] 底下，選取 [管理安全性預設值]。
4. 在 [安全性預設值] 窗格中，切換下拉式功能表以選取 [已啟用]。
5. 選取 [儲存]。

下一步

• 透過 Datawiza 使用 Microsoft Entra ID 為 Oracle JD Edwards 啟用 SSO 和 MFA
• 使用 Microsoft Entra ID 和 Datawiza 設定安全的混合式存取
• 移至 docs.datawiza.com 以取得 Datawiza 使用者指南