本文介绍如何在飞连管理后台中使用 SAML 协议为 Outlook 网页版启用单点登录 (SSO)，实现用户通过飞连直接访问 Outlook 网页版，无需输入账号和密码。

已成功实现了使用 AD FS （Active Directory 联合身份验证服务）进行 Outlook 网页版的登录操作，配置详情请参见微软官方文档将基于 AD FS 声明的身份验证与 Outlook 网页版。

访问 https://<ADFS-server>/federationmetadata/2007-06/federationmetadata.xml 获取身份提供商（IdP）元数据文件。

1. 登录飞连管理后台。
2. 在左侧导航栏单击应用接入。
3. 在应用接入页面单击自建应用。
   
4. 在弹窗内单击 SAML。
   
5. 完成以下配置，并单击确定。
   • 基本信息：根据应用实际情况，依次填写应用名称（必填）、应用访问地址、应用描述。
   • 应用功能：配置方式选择文件配置，并单击上传文件，将步骤一：在 AD FS 获取身份提供商元数据获取到的元数据文件上传进来。
     
   • 应用网关（可选）：如需实现远程访问内网应用，可以选择启用并配置应用网关。本文默认不选择，如需配置请参见添加自定义应用。
6. 在应用授权页签，设置应用的使用权限范围。
   
   • 可选择全员启用或者部分启用。若选择部分启用，需要以部门、个人、角色的维度添加权限范围。
   • 在申请访问区域，可以选择开启申请访问应用的开关，使无应用权限的员工可以手动提交应用访问权限的申请。该操作需要同步配置工作流，具体操作请参见应用使用申请。
7. 单击进入单点登录页签，下载飞连 Metadata。

   注意

   请在本地妥善保管 Metadata 文件，后续步骤需要使用该文件。

   
8. 在单点登录页签的映射关系区域，单击编辑。
   
9. 找到邮箱字段，在应用字段下拉列表中，单击添加扩展字段。
   
10. 在添加扩展字段对话框内，完成以下配置，并单击确定。
    

• 字段 Key 填写 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
• 字段名称自定义，例如 upn。
• 字段类型选择字符串。

11. 在邮箱的应用字段内选择扩展字段（如 upn），并单击确定。
    

1. 进入 AD FS 配置页面。
2. 在左侧 AD FS 目录选择声明提供方信任，并在右侧操作区域单击添加声明提供方信任。
3. 在添加声明提供方信任向导弹窗内，单击启动。
   
4. 选择从文件导入有关声明提供方的数据，上传保存在本地的飞连 Metadata 文件，并单击下一步。
   
5. 自定义设置显示名称以及注释，并单击下一步。
   
6. 检查已经配置的声明提供方信任无误后，单击下一步。
   
7. 单击关闭。
   
8. 在右侧正式的 AD FS 区域，单击编辑声明规则，并添加规则。
   
9. 在添加转换声明规则向导的声明规则模板中，选择经历或筛选传入声明，并单击下一步。
   
10. 传入声明类型选择 UPN，并单击完成。
    

1. 进入 AD FS 配置页面。
2. 在左侧 AD FS 目录选择信赖方信任，并在右侧 Outlook 网页版区域单击编辑声明颁发策略。
   实际会看到如下图所示的配置，如果您实际看到的信息与下图不符，则说明您未完成本文开头的准备工作。
   
3. 在颁发转换规则区域，单击添加规则。
4. 声明规则模板选择转换传入声明，并单击下一步。
   
5. 传入声明类型、传出声明类型均选择 UPN，并单击完成。
   

打开 OWA 页面，验证配置结果：
登录方式包含默认的 Active Directory 认证方式，以及已添加的飞连 SSO 认证方式。两种方式均可成功登录到 OWA 表示配置成功。

如何设置信赖方信任的认证偏好？

使用命令Set-AdfsRelyingPartyTrust -TargetName <信赖方信任名称> -ClaimsProviderName <声明提供方信任名称>，设置信赖方信任的认证偏好。设置后对应信任方信任登录时不需要再从所有的声明提供方信任选择，而是直接跳转到偏好的声明提供方信任。比如：

详情请参见微软官方文档 Set-AdfsRelyingPartyTrust。

如何回退 AD FS 配置？

在 AD FS 的声明提供方信任中，删除正式的AD FS（即添加的飞连 SSO）即可回退配置。