Como configurar o Office 365 para autenticar no NetIQ NAM

Article
07/05/2017

A partir de 2016, o Office 365 passou a suportar STS (Security Token Service) de terceiros. Para isso, é necessário habilitar ADAL (Active Directory Authetication Library), que no Office 365 se chama Modern Authentication.

A lista de STS suportados para o Office 365 está disponível em: https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-federation-compatibility

No Office 365, a feature de Modern Authentication já vem habilitada, por padrão, para todos os componentes, exceto Exchange Online e Skype for Business Online. Para o correto funcionamento da autenticação com STSs de terceiros será necessário habilitar essa feature para Exchange Online e Skype for Business Online (passos 1 e 2 abaixo).

Habilitar Mothern Authentication significa alterar o modo de autenticação do Outlook e do cliente Skype for Business de Active Mode (usando WS-Trust protocol) para Passive Mode (usando WS-Federation ou SAML 2.0 protocol).

Para configurar os componentes do Office 365 para autenticar no NAM (NetIQ Authetication Manager), ao invés do Microsoft ADFS, siga os passos abaixo:

1) Habilitar Modern Authentication no Exchange Online usando o cmdlet PowerShell:

Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true

2) Habilitar Modern Authentication no Skype for Business Online usando o cmdlet PowerShell:

Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed

3) Configurar o NAM conforme documentação da NetIQ disponível no link: https://www.netiq.com/documentation/access-manager-43/admin/data/b65ogn0.html#b12iqp0m, clique na sessão: Section 5.2.13, Configuring Single Sign-On for Office 365 Services.

OBS.: Escolher a opção "Configuring an Office 365 Domain That Supports Passive Federation by using SAML 2.0"

4) Configurar a federação do domínio no Azure AD usando os seguintes cmdlets PowerShell:

$dom = "hunecke.com.br"
$url = "https://idsqa.hunecke.net/nidp/saml2/sso"
$ecpUrl = "https://idsqa.hunecke.net/nidp/saml2/soap"
$uri = "https://idsqa.hunecke.net/nidp/saml2/metadata"
$logouturl = "https://idsqa.hunecke.net/nidp/jsp/o365Logout.jsp"
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 ("c:\Nam_certificate_with_private_key_2017.pfx", "Password")
$certData = [system.convert]::tobase64string($cert.rawdata)

Set-MsolDomainAuthentication -DomainName Hunecke.com.br -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $certData -IssuerUri $uri -ActiveLogOnUri $ecpUrl -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

Observações:

1) No passo 1, antes de executar o cmdlet PowerShell é necessário conectar no Exchange Online.

2) No passo 2, é necessário conectar no Skype for Business Online.

3) No passo 3, é necessario se conectar a0 Azure AD.

2) No passo 4, o domínio hunecke.com.br é o domínio SMTP público e hunecke.net é o domínio do Active Directory (URLs públicas do NAM).

Print Screen da autenticação do Office 365 via NAM.

Office 365 Portal:

NAM Portal:

Como configurar o Office 365 para autenticar no NetIQ NAM

Additional resources