Compartir a través de

Descripción de la federación

  • Artículo

Se aplica a: Exchange Server 2010

Última modificación del tema: 2010-01-26

A menudo, los trabajadores de la información necesitan colaborar con destinatarios externos tales como proveedores, asociados y clientes, y comparten la información de disponibilidad, el calendario o los contactos. Microsoft Exchange Server 2010 proporciona un uso compartido sencillo de la información con destinatarios externos. La federación proporciona la infraestructura de confianza subyacente que permite compartir información de manera sencilla y segura entre las organizaciones de Exchange y en las organizaciones en varias ubicaciones.

En Exchange 2010, la federación se usa para el uso compartido federado, que permite compartir de manera sencilla información de disponibilidad, calendario y contactos con destinatarios en organizaciones federadas externas. Para obtener más información acerca del uso compartido federado, consulte Descripción del uso compartido federado.

¿Está buscando tareas de administración relacionadas con la federación? Consulte Administración de federación.

Contenido

Microsoft Federation Gateway

Confianza de federación

Identificador de organización federada

Requisitos de certificados para la federación

Transición a un certificado nuevo

Microsoft Federation Gateway

Exchange 2010 usa Microsoft Federation Gateway, un servicio de identidad que se ejecuta en la nube (a través de Internet y más allá de su dominio de red corporativo) como el agente de confianza. Las organizaciones de Exchange que desean usar la federación establecen una confianza de federación con Microsoft Federation Gateway y, de este modo, le permiten convertirse en un asociado de la federación de la organización de Exchange. La confianza permite que los usuarios autenticados por Active Directory (conocidos como proveedores de identidades) reciban símbolos (tokens) de delegación del lenguaje de marcado de aserción de seguridad (SAML) por parte de Microsoft Federation Gateway. Estos tokens permiten a los usuarios de una organización federada ser de confianza de otra organización federada. Como Microsoft Federation Gateway actúa como el agente de confianza, no es necesario que las organizaciones establezcan varias relaciones de confianza individuales con otras organizaciones. Los usuarios pueden tener acceso a recursos externos mediante un inicio de sesión único (SSO). Para obtener más información, consulte Microsoft Federation Gateway.

Confianza de federación y uso compartido federado

Volver al principio

Confianza de federación

Para usar la federación de Exchange 2010, debe establecer una confianza de federación entre la organización de Exchange 2010 y Microsoft Federation Gateway mediante el intercambio del certificado de su organización con Microsoft Federation Gateway y la recuperación de los metadatos de la federación y el certificado de Microsoft Federation Gateway. Puede establecer una confianza de federación mediante el Asistente para nueva confianza de federación en la Consola de administración de Exchange (EMC) o el cmdlet New-FederationTrust en el Shell de administración de Exchange. El certificado se usa para firmar y cifrar tokens. Para obtener información detallada acerca de los requisitos del certificado, consulte Requisitos de certificados para la federación más adelante en este tema.

Para obtener información detallada acerca de cómo crear una confianza de federación, consulte Crear una confianza de federación.

Al crear una confianza de federación con Microsoft Federation Gateway, se genera un identificador de aplicación (AppID) para la organización de Exchange y se proporciona en la salida del Asistente para nueva confianza de federación o del cmdlet New-FederationTrust. Microsoft Federation Gateway usa el identificador de aplicación para identificar la organización de Exchange. También lo usa la organización de Exchange para ofrecer una prueba de propiedad de los dominios registrados que se federarán. Esto se realiza al crear un registro de recursos TXT en la zona Sistema de nombres de dominio (DNS) de cada dominio federado.

Importante

Para federar un dominio aceptado, debe agregarlo al identificador de organización federada. Antes de agregar un dominio al identificador de organización, debe crear el registro TXT con el AppID creado para la organización al establecer la confianza de federación. Debe realizar este procedimiento para cada dominio aceptado que desee agregar al identificador de organización como un dominio federado.

Para obtener información detallada acerca de cómo crear el registro de recursos DNS, consulte Crear un registro TXT para la federación.

Volver al principio

Identificador de organización federada

El identificador de organización federada define los dominios aceptados autoritativos configurados en la organización de Exchange que están habilitados para la federación. Solo los destinatarios que tienen direcciones de correo electrónico con dominios aceptados configurados en el identificador de organización son reconocidos por Microsoft Federation Gateway y pueden usar características tales como el uso compartido federado. Al configurar el identificador de organización, se crea un espacio de nombres de cuenta con Microsoft Federation Gateway usando el primer dominio aceptado agregado a él. Se recomienda usar el nombre de dominio principal de la organización, que es el nombre de dominio usado para generar direcciones de correo electrónico para la mayoría de los usuarios, como el espacio de nombres de cuenta.

Puede agregar o eliminar dominios aceptados adicionales cuando lo desee, y el dominio usado para el espacio de nombres de cuenta puede modificarse en caso de que sea necesario. Puede deshabilitar o habilitar el identificador de organización para deshabilitar o habilitar todas las características de federación para la organización de Exchange en un solo paso.

Para obtener más información acerca de la configuración del identificador de organización federada, consulte Administrar federación.

Después de crear una confianza de federación con Microsoft Federation Gateway, cree registros TXT para todos los dominios aceptados que desee usar para la federación. A continuación, configure el identificador de organización con los dominios aceptados.

Volver al principio

Requisitos de certificados para la federación

Para establecer una confianza de federación, debe obtener e instalar un certificado X.509 en el servidor de Exchange 2010 usado para crear la confianza. El certificado se usa solo para firmar y cifrar tokens de delegación. El certificado debe cumplir con los siguientes requisitos:

  • Entidad de certificación de confianza   El certificado debe estar firmado por una entidad de certificación (CA) de confianza. Para obtener una lista de CA de confianza, consulte Autoridades de certificación raíz de confianza para confianzas de federación.
  • Identificador de clave de asunto   El certificado debe tener un campo de identificador de clave de asunto. La mayoría de los certificados X.509 que emiten entidades de certificación comerciales cuentan con un identificador de clave de asunto.
  • Proveedor de servicios de cifrado (CSP) de CryptoAPI   El certificado debe usar un CSP de CryptoAPI. No se admiten certificados que usan proveedores de Cryptography Next Generation (CNG) para la federación. Si usa Exchange para crear una solicitud de certificado, se usa un proveedor de CryptoAPI. Para obtener más información, consulte Criptografía.
  • Algoritmo de firma RSA   El certificado debe usar RSA como el algoritmo de firma.
  • Clave privada exportable   La clave privada usada para generar el certificado debe ser exportable. Puede especificar que la clave privada de un certificado sea exportable al crear la solicitud de certificado mediante el Asistente para nuevo certificado en la EMC o el cmdlet New-ExchangeCertificate en el Shell.
  • Certificado actual   El certificado debe ser actual. No puede usar un certificado expirado o revocado para crear una confianza de federación.
  • Uso mejorado de clave   El certificado debe incluir el tipo de uso mejorado de clave (EKU) Autenticación de cliente (1.3.6.1.5.5.7.3.2). Este tipo de uso está destinado a probar su identidad a un equipo remoto. Si usa herramientas de Exchange para generar la solicitud de certificado, este tipo de uso se incluye de forma predeterminada.

Debido a que el certificado no se usa con fines de autenticación, no cuenta con requisitos de nombre de asunto o nombre de asunto alternativo. Puede usar un certificado con un nombre de asunto que sea el mismo nombre que el nombre de host, el nombre de dominio o cualquier otro nombre. Solo se requiere un certificado para la confianza de federación. Exchange distribuye automáticamente el certificado a otros servidores de Exchange 2010 de la organización.

Volver al principio

Transición a un certificado nuevo

El certificado usado para crear la confianza de federación está designado como el certificado actual. Es posible que necesite instalar y usar un certificado nuevo de forma periódica, por ejemplo, cuando el certificado actual expira o cuando necesita cambiar el certificado para cumplir con requisitos de seguridad o de negocios de la organización. Para garantizar un cambio sin problemas a un certificado nuevo, debe instalar el certificado nuevo en el servidor de Exchange 2010 y configurar la confianza de federación para designarlo como el próximo certificado. Exchange 2010 distribuye automáticamente el próximo certificado a otros servidores de Exchange 2010 de la organización. Según la topología de Active Directory, la distribución del certificado puede tardar varios minutos. Puede comprobar el estado del certificado mediante el Asistente para administrar federaciones de la EMC o el cmdlet Test-FederationTrustCertificate en el Shell.

Después de comprobar el estado de distribución del certificado, puede configurar la confianza de manera que cambie al próximo certificado. Cuando esto sucede, el certificado actual se designa como el certificado anterior y el próximo certificado se designa como el certificado actual. El nuevo certificado actual se publica en Microsoft Federation Gateway y, a continuación, los tokens que se intercambian con Microsoft Federation Gateway se cifran con el certificado nuevo. En la figura siguiente se muestra la transición.

Transiciones de certificados
Cambio al certificado siguiente

Para obtener más información acerca de la transición a un certificado nuevo, consulte Administrar federación.

Nota

Solo la federación usa este mecanismo de transición. Si usa el mismo certificado para otras características de Exchange 2010 que usan certificados, debe tener en cuenta los requisitos de las características al planear obtener, instalar o cambiar a un certificado nuevo.

Volver al principio