<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body>
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p>There is also:</p>
<p><br>
</p>
<p><a href="https://wiki.shibboleth.net/confluence/display/IDP30/Office+365" class="OWAAutoLink" id="LPlnk952436" previewremoved="true">https://wiki.shibboleth.net/confluence/display/IDP30/Office+365</a><br>
<br>
</p>
<p>I'd encourage additions of things you'd find useful there if you find the time.</p>
<p><br>
</p>
<p>Our "learning" episodes have all been around the ECP support, which, for instance, issues slightly different authentication requests than the web front end.  It also will not authenticate through NTLM and in our instance specifically required Basic authentication. 
 Autodiscovery for email clients adds its own layer to the adventure.</p>
<p><br>
</p>
<p>I also understand there recently evolved an ECP client for Mac that is issuing authentication requests with a forcing flag; something of a bug in the application that you'll need to handle that I believe will be patched in the application in due time.  I
 can't remember which one it is, but you'll want to honor forced ECP authentication requests in your configuration at least for now and probably for the foreseeable future.</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> users <users-bounces@shibboleth.net> on behalf of PHILIP SCOTT SWANZY <pss127@psu.edu><br>
<b>Sent:</b> Wednesday, October 11, 2017 2:16:52 PM<br>
<b>To:</b> Shib Users<br>
<b>Subject:</b> Re: Office 365 + Shibboleth ?</font>
<div> </div>
</div>
<div>
<div style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000">
<div><style><!--

@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}

p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.msoIns
        {mso-style-type:export-only;
        mso-style-name:"";
        text-decoration:underline;
        color:teal;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}

@list l0
        {mso-list-id:1576161927;
        mso-list-type:hybrid;
        mso-list-template-ids:1954607344 67698705 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-text:"%1\)";
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level2
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style></div>
<div data-marker="__QUOTED_TEXT__">
<div id="zimbraEditorContainer" style="font-family: arial, helvetica, sans-serif; font-size: 12pt; color: #000000" class="5">
<div></div>
<!--StartFragment-->
<div>We had worked through some of the shibboleth integration and are only now expanding our o365 offering. We only use Azure AD basic with an on site Active Directory and Shibboleth implementation. The best documentation i found was
<br>
</div>
<div><br>
</div>
<div>Shibboleth configuration:</div>
<div>https://msdn.microsoft.com/en-us/library/azure/jj205463.aspx</div>
<div><br>
</div>
<div><span style="font-family: arial,helvetica,sans-serif; font-size: 12pt;" data-mce-style="font-family: arial,helvetica,sans-serif; font-size: 12pt;">o365 Configuration:
</span><span style="font-family: arial,helvetica,sans-serif; font-size: 12pt;" data-mce-style="font-family: arial,helvetica,sans-serif; font-size: 12pt;">Set up a trust between Shibboleth and Azure AD</span><span style="font-family: arial,helvetica,sans-serif; font-size: 12pt;" data-mce-style="font-family: arial,helvetica,sans-serif; font-size: 12pt;"></span><span style="font-family: arial,helvetica,sans-serif; font-size: 12pt;" data-mce-style="font-family: arial,helvetica,sans-serif; font-size: 12pt;">
</span></div>
<div><span style="font-family: arial,helvetica,sans-serif; font-size: 12pt;" data-mce-style="font-family: arial,helvetica,sans-serif; font-size: 12pt;">https://msdn.microsoft.com/en-us/library/azure/jj205457.aspx</span></div>
<div><br>
</div>
<div>We have found that on the the trust side in Azure required us to only set each setting 1 at a time as for some reason we cannot get the powershell command to take all of the settings. For some reason it just fails silently but adding one at a time worked.
 Also, if you have a test tenant, the $uri must be unique name, which means you cannot have a test and production tenant that uses your production shib uri name as it will error out on you. One other gotcha we have not verified is, currently when we run these
 commands, it still required us to initially set the adfs context when enabling federation. We had to do that first then switch to shibboleth.</div>
<div><br>
</div>
<div>We are in the middle of testing our ECP configurations with o365 as well as office installations. So far though, authentication to our single sign on has worked cross platform on all current versions of windows and MAC including iOS to leverage the office
 online capabilities. Since we do not use Azure AD premium, we have no idea about the issues with joins or anything associated with credentials held in the Azure AD as all our passwords are on prem.</div>
<div><br>
</div>
<div><br>
</div>
<div data-marker="__SIG_POST__">-- <br>
</div>
<div>Philip Swanzy <br>
Identity and Access Management<br>
The Pennsylvania State University <br>
Technology Support Building<br>
State College PA 16803<br>
pss127@psu.edu <br>
814-867-1533 <br>
<br>
<br>
Calendar Free/busy: https://ucs.psu.edu/home/pss127@psu.edu?fmt=freebusy</div>
<!--EndFragment--><br>
<br>
<hr id="zwchr">
<div><b>From: </b>"Robert Rust" <robert.j.rust@uwrf.edu><br>
<b>To: </b>users@shibboleth.net<br>
<b>Sent: </b>Wednesday, October 11, 2017 4:58:02 PM<br>
<b>Subject: </b>Office 365 + Shibboleth ?<br>
</div>
<br>
<div>
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt">A couple of questions around Office 365 with Shibboleth authentication. I’m looking at options for our setup as we need to implement multi-factor authentication and I at the very least need to replace our
 ADFS 2.0 installation.  I’ve found information on upgrading ADFS, but given we’re focusing on Shib for our other apps, I’d prefer to switch to Shibboleth since setting up the same level of availability with ADFS that we already have for Shib would be more
 of a challenge I think.</span></p>
<ol style="margin-top:0in" start="1" type="1">
<li class="MsoListParagraph" style="margin-left:0in;mso-list:l0 level1 lfo1"><span style="font-size:11.0pt">For those of you using Shib + Office 365, have you found any setups that routinely don’t work or other gotchas?  I saw traffic a while back suggesting
 that activation of desktop installations of Office software on Macs didn’t work. I also recall reading somewhere that the Shib signing certificate would need to be a commercially issued one in order to work with Office 365.</span></li><li class="MsoListParagraph" style="margin-left:0in;mso-list:l0 level1 lfo1"><span style="font-size:11.0pt">Were there any guides that you used to set it up in the first place? The closest I’ve found is a guide for Dynamics 365 (<a href="https://docs.microsoft.com/en-us/dynamics365/customer-engagement/portals/configure-saml2-settings)" target="_blank">https://docs.microsoft.com/en-us/dynamics365/customer-engagement/portals/configure-saml2-settings)</a></span><br>
</li></ol>
<p class="MsoNormal"><span style="font-size:11.0pt"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I do have a test environment I can break things in to try this out, but I’d prefer not to fly blind.</span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"> </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Robert </span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"> </span></p>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">-- </span></p>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">~~~~~~~~~~~~~~~~~~~~~~~~~</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Robert J. Rust</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Systems Administrator</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Division of Technology Services</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">Univ. of Wisc. - River Falls</span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black">~~~~~~~~~~~~~~~~~~~~~~~~~</span></p>
</div>
<p class="MsoNormal"><span style="font-size:10.5pt;color:black"><img id="_x0000_i1025" alt="https://www2.uwrf.edu/static/images/email-wordmark.png" width="282" border="0" height="46" src="https://www2.uwrf.edu/static/images/email-wordmark.png"></span></p>
</div>
<br>
-- <br>
To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net</div>
</div>
<br>
</div>
</div>
</div>
</body>
</html>