Uso dell'autenticazione basata sulle attestazioni AD FS con Outlook sul web

L'installazione e la configurazione di Active Directory Federation Services (AD FS) nelle organizzazioni Exchange Server consente ai client di usare l'autenticazione basata sulle attestazioni di AD FS per connettersi a Outlook sul web (in precedenza noto come Outlook Web App) ed Exchange interfaccia di amministrazione (EAC). L'identità basata sulle attestazioni è un altro approccio all'autenticazione che consente di rimuovere la gestione dell'autenticazione dall'applicazione e agevola la gestione degli account centralizzando l'autenticazione. Quando l'autenticazione basata sulle attestazioni è abilitata, Outlook sul Web ed EAC non sono responsabili dell'autenticazione degli utenti, dell'archiviazione degli account e delle password utente, della ricerca dei dettagli sull'identità dell'utente o dell'integrazione con altri sistemi di identità. La centralizzazione dell'autenticazione semplifica l'aggiornamento dei metodi di autenticazione in futuro.

L'autenticazione basata sulle attestazioni AD FS sostituisce i metodi di autenticazione tradizionali disponibili per Outlook sul Web ed EAC. Ad esempio:

• Autenticazione certificati dei client Active Directory
• Autenticazione di base
• Autenticazione del digest
• Autenticazione basata su form
• Autenticazione di Windows

La configurazione dell'autenticazione basata sulle attestazioni di AD FS per Outlook sul web ed EAC in Exchange Server comporta i server aggiuntivi seguenti:

• Un controller di dominio Windows Server 2012 o versione successiva (ruolo del server Servizi di dominio Active Directory).

• Un server AD FS Windows Server 2012 o versione successiva (ruolo del server Active Directory Federation Services). Windows Server 2012 utilizza AD FS 2.1, mentre Windows Server 2012 R2 utilizza AD FS 3.0. È necessario essere membri del gruppo di sicurezza Administrators locale, Domain Admins o Enterprise Admins per installare AD FS e per creare le regole attestazioni e le attendibilità componente obbligatorie nel server AD FS.

• Facoltativamente, un server proxy di applicazione Web Windows Server 2012 R2 o versione successiva (ruolo del server Accesso remoto, servizio ruolo Proxy dell'applicazione Web).

  • Proxy di applicazione Web è un server proxy inverso per applicazioni Web interne alla rete aziendale. Proxy di applicazione Web consente agli utenti su più dispositivi di accedere alle applicazioni Web pubblicate dall'esterno della rete aziendale. Per ulteriori informazioni, vedere Installazione e configurazione del Proxy applicazione Web per la pubblicazione di applicazioni interne.

  • Sebbene il Proxy applicazione Web in genere sia consigliato quando AD FS è accessibile per i client esterni, l'accesso offline in Outlook sul Web non è supportato quando si utilizza l'autenticazione AD FS mediante il Proxy applicazione Web.

  • L'installazione del Proxy applicazione Web in un server Windows Server 2012 R2 richiede autorizzazioni di amministratore locale.

  • È necessario distribuire e configurare il server AD FS prima di aver configurato il server Proxy applicazione Web e non è possibile installare il Proxy applicazione Web nello stesso server in cui è installato AD FS.

Che cosa è necessario sapere prima di iniziare

• Tempo stimato per il completamento di questa procedura: 45 minuti.

• Le procedure descritte in questo argomento si basano su Windows Server 2012 R2.

• Outlook sul web per dispositivi non supporta l'autenticazione basata sulle attestazioni AD FS.

• Per le procedure nell'organizzazione di Exchange, è necessario disporre delle autorizzazioni Gestione organizzazione.

• Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Passaggio 1: Verificare i requisiti del certificato per AD FS

AD FS richiede due tipi di certificato di base:

• Un certificato SSL (Secure Sockets Layer) per il traffico di servizi Web crittografato tra il server AD FS, i client, i server Exchange e il server Proxy applicazione Web facoltativo. È consigliabile utilizzare un certificato rilasciato da un'autorità di certificazione interna o commerciale poiché tutti i client devono considerare attendibile tale certificato.

• Un certificato per la firma di token per l'autenticazione e la comunicazione crittografata tra il server AD FS, i controller di dominio Active Directory e i server Exchange. È consigliabile usare il certificato per la firma di token AD FS autofirmato predefinito.

Per ulteriori informazioni sulla creazione e importazione dei certificati SSL in Windows, vedere Certificati server.

Di seguito viene fornito un riepilogo dei certificati che saranno usati in questo scenario:

Nome comune (CN) nel certificato (in Soggetto, nel Nome alternativo soggetto o in una corrispondenza con caratteri jolly nel certificato)	Tipo	Obbligatorio nei server	Commenti
adfs.contoso.com	Rilasciato da un'autorità di certificazione	Server AD FS Server Proxy applicazione Web	Si tratta del nome host visibile ai client; pertanto i client devono considerare attendibile l'autorità di certificazione.
ADFS Signing - adfs.contoso.com	Autofirmato	Server AD FS Server Exchange Server Proxy applicazione Web	Il certificato autofirmato predefinito viene copiato automaticamente durante la configurazione del server Proxy applicazione Web facoltativo, ma è necessario importarlo manualmente nell'archivio dei certificati radice trusted in tutti i server Exchange dell'organizzazione. Per impostazione predefinita, i certificati per la firma di token autofirmati sono validi per un anno. Il server AD FS è configurato in modo da rinnovare (sostituire) automaticamente i certificati autofirmati prima che scadano, sebbene sia necessario importare di nuovo il certificato nei server Exchange. È possibile aumentare il periodo di scadenza del certificato predefinito eseguendo questo comando in Windows PowerShell nel server AD FS: Set-AdfsProperties -CertificateDuration <Days> (il valore predefinito è 365). Per ulteriori informazioni, vedere Set-AdfsProperties. Per esportare il certificato dalla console di gestione di AD FS, selezionareCertificati> di servizio> fare clic con il pulsante destro del mouse sul certificato > di firma del token selezionare Visualizza certificato> fare clic sulla scheda >Dettagli fare clic su Copia nel file.
mail.contoso.com	Rilasciato da un'autorità di certificazione	Server Exchange Server Proxy applicazione Web	Questo è il tipico certificato utilizzato per crittografare le connessioni client esterne a Outlook sul Web (e probabilmente altri servizi IIS di Exchange). Per ulteriori informazioni, vedere Requisiti dei certificati per i servizi Exchange.

Per altre informazioni, vedere la sezione "Requisiti del certificato" in Requisiti di AD FS.

Nota

SSL (Secure Sockets Layer) verrà sostituito da TLS (Transport Layer Security) come protocollo utilizzato per crittografare i dati inviati tra sistemi di computer. Sono così simili che spesso i termini "SSL" e "TLS" (senza indicare le versioni) sono usati in modo interscambiabile. Pertanto, i riferimenti a "SSL" negli argomenti relativi a Exchange, Interfaccia di amministrazione di Exchange e Exchange Management Shell sono stati spesso utilizzati sia per il protocollo SSL sia per il protocollo TLS. In genere, con "SSL" si fa riferimento all'effettivo protocollo SSL solo quando viene fornita anche una versione (ad esempio, SSL 3.0). Per scoprire perché è opportuno disabilitare il protocollo SSL e passare a TLS, consultare Protezione dalle vulnerabilità di SSL 3.0.

Passaggio 2: Distribuire un server AD FS

È possibile utilizzare Gestione server o Windows PowerShell per installare il servizio ruolo Active Directory Federation Services nel server di destinazione.

Per installare AD FS tramite Gestione server, procedere come segue:

1. Nel server di destinazione aprire Gestione server, fare clic su Gestisci, quindi selezionare Aggiungi ruoli e funzionalità.

   

2. Si apre l' Aggiunta guidata ruoli e funzionalità. Viene visualizzata la pagina Prima di iniziare, a meno che non sia stata precedentemente selezionata l'opzione Ignora questa pagina per impostazione predefinita. Scegliere Avanti.

   

3. Nella pagina Seleziona tipo di installazione verificare che l'opzione Installazione basata su ruoli o basata su funzionalità sia selezionata, quindi fare clic su Avanti.

   

4. Nella pagina Selezione server di destinazione verificare la selezione del server, quindi fare clic su Avanti.

   

5. Nella pagina Selezione ruoli server selezionare Active Directory Federation Services nell'elenco, quindi fare clic su Avanti.

   

6. Nella pagina Selezione funzionalità fare clic su Avanti (accettare le selezioni delle funzionalità predefinite).

   

7. Nella pagina Active Directory Federation Services AD FS fare clic su Avanti.

   

8. solo Windows Server 2012: Nella pagina Selezione servizi ruolo fare clic su Avanti (accettare le selezioni dei servizi ruolo predefinite).

9. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

   

10. Nella pagina Stato dell'installazione è possibile controllare la barra di avanzamento per verificare che l'installazione sia stata eseguita correttamente. Al termine dell'installazione, lasciare la procedura guidata aperta affinché sia possibile fare clic su Configurare il servizio federativo nel server nel Passaggio 3b: Configurare il server AD FS.

Per installare AD FS tramite Windows PowerShell, eseguire il comando seguente:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Passaggio 3: Configurare e testare il server AD FS

È anche possibile fare riferimento a questo elenco per configurare AD FS: Elenco di controllo: Configurazione di un server federativo.

Passaggio 3a: Creare un gMSA in un controller di dominio

Prima di configurare il server AD FS, è necessario creare un gMSA (Managed Service Account, account del servizio gestito di gruppo ) in controller di dominio Windows Server 2012 o versione successiva. Tale operazione può essere eseguita in una finestra di Windows PowerShell con privilegi elevati nel controller di dominio (una finestra Windows PowerShell che si apre selezionando Esegui come amministratore).

1. Eseguire il comando riportato di seguito:

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   

   Se il comando ha esito positivo, verrà restituito un valore GUID. Ad esempio:

   Guid
   ----
   2570034b-ab50-461d-eb80-04e73ecf142b

2. Per creare un nuovo account gMSA per il server AD FS, utilizzare la sintassi seguente:

   New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
   

   In questo esempio viene creato un nuovo account gMSA denominato FSgMSA per il Servizio federativo denominato adfs.contoso.com. Il nome del Servizio federativo è il valore visibile ai client.

   New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
   

Passaggio 3b: Configurare il server AD FS

Per configurare il server AD FS, è possibile utilizzare Gestione server o Windows PowerShell.

Per utilizzare Gestione server, procedere come segue:

1. Se l' Aggiunta guidata ruoli e funzionalità è stata lasciata aperta nel server AD FS dal Passaggio 2: Distribuire un server AD FS, è possibile fare clic sul collegamento Configurare il servizio federativo nel server nella pagina Stato dell'installazione.

   

   Se l' Aggiunta guidata ruoli e funzionalità è stata chiusa oppure è stato utilizzato Windows PowerShell per installare AD FS, è possibile arrivare nella stessa pagina in Gestione server facendo clic su Notifiche, quindi su Configurare il servizio federativo nel server nell'avviso Configurazione post-distribuzione.

   

2. Si apre la Procedura guidata Active Directory Federation Services. Nella pagina iniziale verificare che l'opzione Crea il primo server di federazione di una server farm di federazione sia selezionata, quindi fare clic su Avanti.

   

3. Nella pagina Connetti a Active Directory Federation Services selezionare un account amministratore di dominio nel dominio in cui si trova il server AD FS (le credenziali attuali sono selezionate per impostazione predefinita). Se è necessario selezionare un utente diverso, fare clic su Cambia. Al termine dell'operazione, fare clic su Avanti.

   

4. Nella pagina Impostazione proprietà del servizio configurare le impostazioni seguenti:

   • Certificato SSL: importare o selezionare il certificato SSL che contiene il nome del servizio federativo configurato nel passaggio 3a: Creare un account del servizio gestito di gruppo in un controller di dominio , ad esempio adfs.contoso.com. Quando si importa un certificato che non è già installato nel server, è necessario importare un file .pfx (probabilmente, un file protetto da password contenente la chiave privata del certificato). È qui che viene visualizzato il valore del nome comune (CN) nel campo Soggetto del certificato.

   • Nome servizio federativo: questo campo viene popolato automaticamente in base al tipo di certificato SSL selezionato o importato:

     • Certificato soggetto singolo: viene visualizzato il valore CN del campo Oggetto del certificato e non è possibile modificarlo, adfs.contoso.comad esempio .

     • Certificato SAN: se il certificato contiene il nome del servizio federativo richiesto, viene visualizzato tale valore (ad esempio, adfs.contoso.com). È possibile utilizzare l'elenco a discesa per visualizzare altri valori CN nel certificato.

     • Certificato con caratteri jolly: viene visualizzato il valore CN del campo Oggetto del certificato ( ad esempio , *.contoso.com), ma è necessario modificarlo con il nome del servizio federativo necessario (ad esempio, adfs.contoso.com).

     Nota: se il certificato selezionato non contiene il nome del servizio federativo obbligatorio (il campo Nome servizio federativo non contiene il valore obbligatorio), si riceverà il seguente errore:

     The federation service name does not match any of the subject names found in the certificate.

   • Nome visualizzato servizio federativo: immettere il nome dell'organizzazione. Ad esempio, Contoso, Ltd..

   Al termine dell'operazione, fare clic su Avanti.

   

5. Nella pagina Specificare l'account del servizio configurare le impostazioni seguenti:

   • Selezionare Usa un account del servizio gestito di account utente o gruppo di dominio esistente.

   • Nome account: fare clic su Seleziona e immettere l'account gMSA creato nel passaggio 3a: Creare un account del servizio gestito di gruppo in un controller di dominio , FSgMSAad esempio . Si noti che dopo la selezione, il valore visualizzato è <Domain>\<gMSAAccountName>$ , ad esempio CONTOSO\FSgMSA$.

   Al termine dell'operazione, fare clic su Avanti.

   

6. Nella pagina Impostazione database di configurazione verificare che l'opzione Creare un database nel server mediante il database interno di Windows sia selezionata, quindi fare clic su Avanti.

   

7. Nella pagina Verifica opzioni verificare le selezioni. È possibile fare clic sul pulsante Visualizza script per copiare l'equivalente di Windows PowerShell delle selezioni effettuate per uso futuro. Al termine dell'operazione, fare clic su Avanti.

   

8. Nella pagina Controlli dei prerequisiti verificare che tutti i prerequisiti siano stati completati correttamente, quindi fare clic su Configura.

   

9. Nella pagina Risultati controllare i risultati e verificare che la configurazione sia stata completata correttamente. È possibile fare clic su Passaggi successivi necessari per completare la distribuzione del servizio di federazione se si desiderano informazioni sui passaggi successivi (ad esempio, la configurazione DNS). Al termine, fare clic su Chiudi.

   

Per configurare AD FS tramite Windows PowerShell, procedere come segue:

1. Eseguire il comando seguente nel server AD FS per trovare il valore di identificazione personale del certificato installato che contiene adfs.contoso.com:

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Eseguire il comando riportato di seguito:

   Import-Module ADFS
   

3. Utilizzare la sintassi seguente:

   Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
   

In questo esempio viene configurato AD FS con le seguenti impostazioni:

• adfs.contoso.com identificazione personale del certificato: il *.contoso.com certificato con il valore 5AE82C737900B29C2BAC3AB6D8C44D249EE05609di identificazione personale .

• Nome servizio federativo: adfs.contoso.com

• Nome visualizzato del servizio federativo: Contoso, Ltd.

• Nome e dominio dell'account SAM gMSA federativo: ad esempio, per l'account gMSA denominato FSgMSA nel contoso.com dominio, il valore richiesto è contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Note:

• Quando si crea l'account del servizio gestito di gruppo, viene $ aggiunto automaticamente al valore Name per creare il valore SamAccountName , necessario qui.

• Il carattere di escape (''') è necessario per in $SamAccountName.

Per informazioni dettagliate e la sintassi, vedere Install-AdfsFarm.

Passaggio 3c: Testare il server AD FS

Dopo aver configurato AD FS, è possibile verificare l'installazione nel server AD FS aprendo l'URL dei metadati della federazione in un Web browser. L'URL usa la sintassi https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Ad esempio, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Passaggio 4: Creare regole di attestazione personalizzata e attendibilità del componente in AD FS per Outlook sul Web ed EAC

• Nel server Exchange Outlook sul web usa la directory virtuale denominata owa e l'interfaccia di amministrazione di Exchange usa la directory virtuale denominata ecp.

• La barra finale (/) usata nei valori Outlook sul web e URL EAC è intenzionale. È importante che le relazioni di attendibilità del componente in AD FS e l'URI del destinatario Exchange siano identici. Entrambi devono disporre o devono essere privi di barre finali negli URL. Gli esempi in questa sezione contengono le barre finali dopo gli URL owa ed ecp (owa/ e ecp/).

• Nelle organizzazioni con più siti di Active Directory che usano spazi dei nomi separati , ad esempio e na.contoso.com, eu.contoso.com è necessario configurare i trust della relying party per ogni spazio dei nomi sia per Outlook sul web che per EAC.

Passaggio 4a: Creare relazioni di attendibilità del componente in AD FS per Outlook sul Web e per EAC

Per creare le relazioni di attendibilità del componente nel server AD FS, è possibile utilizzare la console di gestione di AD FS o Windows PowerShell.

Per creare le relazioni di attendibilità del componente tramite la console di gestione di AD FS, procedere come segue:

Nota: è necessario ripetere questa procedura due volte: una per Outlook sul Web e una per EAC. L'unica differenza consiste nei valori immessi nei passaggi 5 e 8 (le pagine Specifica nome visualizzato e Configura URL nella procedura guidata).

1. In Server Manager, fare clic su Strumenti, quindi selezionare Gestione di Active Directory FS.

   

2. Nella console di gestione di AD FS espandere Relazioni di attendibilità, quindi selezionare Attendibilità componente. Nel riquadro Azioni, selezionare Aggiungi attendibilità componente.

   

3. Si apre l' Aggiunta guidata attendibilità componente. Nella pagina iniziale fare clic su Start.

   

4. Nella pagina Seleziona origine dati selezionare Immetti dati sul componente manualmente, quindi fare clic su Avanti.

   

5. Nella pagina Specifica nome visualizzato configurare le impostazioni seguenti:

   • Per Outlook sul Web:

   • Nome visualizzato: digitare Outlook sul web.

   • Note: immettere una descrizione. Ad esempio, Questo è un trust per https://mail.contoso.com/owa/.

     

   • Per EAC:

   • Nome visualizzato: digitare EAC.

   • Note: immettere una descrizione. Ad esempio, Questo è un trust per https://mail.contoso.com/ecp/.

   

   Al termine dell'operazione, fare clic su Avanti.

6. Nella pagina Scegli profilo verificare che l'opzione Profilo ADFS sia selezionata, quindi fare clic su Avanti.

   

7. Nella pagina Configura certificato fare clic su Avanti (non specificare un certificato per la crittografia di token facoltativo).

   

8. Nella pagina Configura URL selezionare Abilita supporto del protocollo passivo WS-Federation e in URL del protocollo passivo WS-Federation del componente immettere le informazioni seguenti:

   • Outlook sul web: digitare l'URL Outlook sul web esterno, https://mail.contoso.com/owa/ad esempio .

     

   • EAC: digitare l'URL esterno di EAC , https://mail.contoso.com/ecp/ad esempio .

   Al termine dell'operazione, fare clic su Avanti.

   

9. Nella pagina Configura identificatori fare clic su Avanti (l'URL del passaggio precedente è elencato in Identificatori dell'attendibilità componente).

   

10. Nella pagina Configurare l'autenticazione a più fattori? verificare che sia selezionata l'opzione Non desidero configurare le impostazioni di autenticazione a più fattori per l'attendibilità componente al momento e selezionare Avanti.

    

11. Nella pagina Scegli regole di autorizzazione rilascio verificare che l'opzione Consenti a tutti gli utenti l'accesso a questo componente sia selezionata, quindi selezionare Avanti.

    

12. Nella pagina Pronto per aggiungere Trust, rivedere le impostazioni, quindi scegliere Avanti per salvare le informazioni trust relying party.

    

13. Nella pagina Fine deselezionare Apri la finestra di dialogo Modifica regole attestazioni per il componente al termine della procedura guidata, quindi fare clic su Chiudi.

    

Per creare le relazioni di attendibilità del componente tramite il prompt di Windows PowerShell, procedere come segue:

1. In una finestra di Windows PowerShell con privilegi elevati eseguire il comando seguente:

   Import-Module ADFS
   

2. Utilizzare la sintassi seguente:

   Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
   

In questo esempio viene creato un componente per Outlook sul Web utilizzando i valori seguenti:

• Nome: Outlook sul web
• Note: si tratta di un trust per https://mail.contoso.com/owa/
• Identificatore: https://mail.contoso.com/owa/
• WSFedEndpoint: https://mail.contoso.com/owa/

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

In questo esempio viene creato un componente per EAC utilizzando i valori seguenti:

• Nome: EAC
• Note: si tratta di un trust per https://mail.contoso.com/ecp/
• Identificatore: https://mail.contoso.com/ecp/
• WSFedEndpoint: https://mail.contoso.com/ecp/

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Passaggio 4b: Creare regole attestazione personalizzata in AD FS per Outlook sul Web ed EAC

Per Outlook sul Web ed EAC, è necessario creare due regole attestazione:

• Active Directory SID utente

• Active Directory UPN

Per creare le regole attestazione nel server AD FS, è possibile utilizzare la console di gestione di AD FS o Windows PowerShell.

Per creare le regole attestazione tramite la console di gestione di AD FS, procedere come segue:

Nota: è necessario ripetere questa procedura due volte: una per Outlook sul Web e una per EAC. L'unica differenza consiste nell'attendibilità del componente selezionato nel primo passaggio. Tutti gli altri valori della procedura sono uguali.

Per aggiungere le regole attestazione necessarie:

1. Nella console di gestione di AD FS espandere Relazioni di attendibilità, selezionare Attendibilità componente, quindi scegliere l'attendibilità del componente di Outlook sul Web o EAC. Nel riquadro Azioni fare clic su Modifica regole attestazione.

   

2. Nella finestra Modifica regole attestazione per <NomeRegola> visualizzata verificare che la scheda Regole di trasformazione rilascio sia selezionata, quindi fare clic su Aggiungi regola.

   

3. Si apre l' Aggiunta guidata regole attestazione di trasformazione. Nella pagina Seleziona modello di regola fare clic sull'elenco a discesa Modello di regola attestazioni e quindi selezionare Invia attestazioni usando una regola personalizzata. Al termine dell'operazione, fare clic su Avanti.

   

4. Nella pagina Configura regola immettere le informazioni seguenti:

   • Nome regola attestazione: immettere un nome descrittivo per la regola attestazione. Ad esempio, ActiveDirectoryUserSID.

   • Regola personalizzata: copiare e incollare il testo seguente:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
     

   

   Al termine dell'operazione, scegliere Fine.

5. Tornare alla finestra Modifica regole attestazione per <NomeRegola> e verificare che la scheda Regole di trasformazione rilascio sia selezionata, quindi fare clic su Aggiungi regola.

   

6. Si apre l' Aggiunta guidata regole attestazione di trasformazione. Nella pagina Seleziona modello di regola fare clic sull'elenco a discesa Modello di regola attestazioni e quindi selezionare Invia attestazioni usando una regola personalizzata. Al termine dell'operazione, fare clic su Avanti.

   

7. Nella pagina Configura regola immettere le informazioni seguenti:

   • Nome regola attestazione: immettere un nome descrittivo per la regola attestazione. Ad esempio, ActiveDirectoryUPN.

   • Regola personalizzata: copiare e incollare il testo seguente:

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
     

   

   Al termine dell'operazione, scegliere Fine.

8. Tornare alla finestra Modifica regole attestazione per <NomeRegola> e fare clic su OK.

   

Per creare le regole attestazione personalizzata tramite Windows PowerShell, seguire questa procedura:

1. Aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire il comando seguente:

   Import-Module ADFS
   

2. Utilizzare la sintassi seguente:

   Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
   

Per creare le regole attestazione personalizzata nell'attendibilità del componente esistente denominata Outlook sul Web, eseguire il seguente comando:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Per creare le regole attestazione personalizzata nell'attendibilità del componente esistente denominata EAC, eseguire il seguente comando:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Passaggio 5: (Facoltativo) Distribuire e configurare un server Proxy applicazione Web Windows Server 2012 R2

I passaggi descritti in questa sezione sono necessari solo se si desidera pubblicare Outlook sul Web ed EAC utilizzando il Proxy applicazione Web e si desidera che Proxy applicazione Web esegua l'autenticazione AD FS. Attenzione:

• Non è possibile utilizzare l'accesso offline in Outlook sul Web se si utilizza l'autenticazione AD FS tramite Proxy applicazione Web.

• Non è possibile installare Proxy applicazione Web nello stesso server in cui è installato AD FS.

Se non si intende usare web Application Proxy, passare al passaggio 6.

Passaggio 5a: Installare Proxy applicazione Web

Per installare Proxy applicazione Web tramite Gestione server, procedere come segue:

1. Nel server di destinazione aprire Gestione server, fare clic su Gestisci, quindi selezionare Aggiungi ruoli e funzionalità.

   

2. Si apre l' Aggiunta guidata ruoli e funzionalità. Viene visualizzata la pagina Prima di iniziare, a meno che non sia stata precedentemente selezionata l'opzione Ignora questa pagina per impostazione predefinita. Scegliere Avanti.

   

3. Nella pagina Seleziona tipo di installazione verificare che l'opzione Installazione basata su ruoli o basata su funzionalità sia selezionata, quindi fare clic su Avanti.

   

4. Nella pagina Selezione server di destinazione verificare la selezione del server, quindi fare clic su Avanti.

   

5. Nella pagina Selezione ruoli server selezionare Accesso remoto nell'elenco di ruoli, quindi fare clic su Avanti.

   

6. Nella pagina Funzionalità, fare clic su Avanti (accettare le selezioni delle funzionalità predefinite).

   

7. Nella pagina Accesso remoto, leggere le informazioni e fare clic su Avanti.

   

8. Nella pagina Selezione servizi ruolo selezionare Proxy applicazione Web. Nella finestra di dialogo di aggiunta delle funzionalità che viene visualizzata, fare clic su Aggiungi funzionalità per accettare i valori predefiniti e chiudere la finestra di dialogo. Tornare alla pagina Selezione servizi ruolo e fare clic su Avanti.

   

   

9. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

   

10. Nella pagina Stato dell'installazione controllare la barra di avanzamento per verificare che l'installazione sia stata eseguita correttamente. Al termine dell'installazione, lasciare la procedura guidata aperta in modo che sia possibile fare clic su Apre la procedura guidata per il proxy dell'applicazione Web nel passaggio successivo (5b).

    

Per installare Proxy applicazione Web tramite Windows PowerShell, eseguire il seguente comando:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Passaggio 5b: Configurare il server proxy applicazione Web

Dopo aver distribuito il server Proxy applicazione Web, è necessario configurare le relative impostazioni seguenti:

• Nome servizio federativo: ad esempio. adfs.contoso.com

• Credenziali di attendibilità del servizio federativo: nome utente e password di un account amministratore locale nel server AD FS.

• Certificato proxy AD FS: certificato installato nel server Application Proxy Web che identifica il server ai client come proxy per il servizio federativo e quindi contiene il nome del servizio federativo , adfs.contoso.comad esempio . Inoltre, il nome del servizio federativo deve essere accessibile per il server Proxy applicazione Web (risolvibile in DNS).

Per configurare il server Proxy applicazione Web è possibile utilizzare Gestione server o Windows PowerShell.

Per configurare Proxy applicazione Web tramite Gestione server, procedere come segue:

1. Se l' Aggiunta guidata ruoli e funzionalità è stata lasciata aperta nel server Proxy applicazione Web dal passaggio precedente, è possibile fare clic sul collegamento Apre la procedura guidata per il proxy dell'applicazione Web nella pagina Stato dell'installazione.

   

   Se l' Aggiunta guidata ruoli e funzionalità è stata chiusa oppure è stato utilizzato Windows PowerShell per installare Proxy applicazione Web, è possibile arrivare nella stessa pagina facendo clic su Notifiche, quindi su Apre la procedura guidata per il proxy dell'applicazione Web nell'avviso Configurazione post-distribuzione.

   

2. Viene visualizzata la Configurazione guidata proxy applicazione Web. Nella schermata Benvenuti, fare clic su Avanti.

   

3. Nella pagina Servizio federativo immettere le informazioni seguenti:

   • Nome servizio federativo: ad esempio. adfs.contoso.com

   • Nome utente e password: digitare le credenziali di un account amministratore locale nel server AD FS.

   Al termine dell'operazione, fare clic su Avanti.

   

4. Nella pagina Certificato proxy AD FS selezionare un certificato installato che contiene il nome del servizio federativo, ad esempio adfs.contoso.com. È possibile selezionare un certificato nell'elenco a discesa e quindi fare clic su Visualizza>dettagli per visualizzare altre informazioni sul certificato. Al termine dell'operazione, fare clic su Avanti.

   

5. Nella pagina Conferma verificare le impostazioni. È possibile copiare il comando Windows PowerShell per automatizzare le installazioni aggiuntive (in particolare, il valore di identificazione personale del certificato). Al termine, fare clic su Configura.

   

6. Nella pagina Risultati verificare che la configurazione sia stata eseguita correttamente, quindi fare clic su Chiudi.

   

Per configurare Proxy applicazione Web tramite Windows PowerShell, procedere come segue:

1. Eseguire il comando seguente nel server Application Proxy Web per trovare il valore di identificazione personale del certificato installato che contiene adfs.contoso.com:

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Eseguire il comando seguente e immettere nome utente e password di un account amministratore locale nel server AD FS.

   $ADFSServerCred = Get-Credential
   

3. Utilizzare la sintassi seguente:

   Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
   

   In questo esempio viene configurato il server proxy applicazione Web con le impostazioni seguenti:

   • Nome servizio federativo: adfs.contoso.com

   • Identificazione personale del certificato SSL di AD FS: il *.contoso.com certificato con il valore 5AE82C737900B29C2BAC3AB6D8C44D249EE05609di identificazione personale .

   Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
   

Passaggio 5c: Pubblicare le attendibilità del componente delle attestazioni per Outlook sul Web ed EAC in Proxy applicazione Web

Per pubblicare le attendibilità del componente in Proxy applicazione Web, è possibile utilizzare la Console di gestione Accesso remoto o Windows PowerShell.

Per utilizzare la Console di gestione Accesso remoto, procedere come segue:

Nota: è necessario ripetere questa procedura due volte: una per Outlook sul Web e una per EAC. Le impostazioni necessarie sono descritte nella procedura.

1. Aprire la console gestione accesso remoto nel server Application Proxy Web: in Server Manager fare clic su Strumenti>gestione accesso remoto.

2. Nella console Gestione accesso remoto fare clic su Proxy applicazione Web nel riquadro Configurazione, quindi fare clic su Pubblica nel riquadro Attività.

   

3. Viene visualizzata la Pubblicazione guidata nuova applicazione. Nella schermata Benvenuti, fare clic su Avanti.

   

4. Nella pagina Preautenticazione verificare che Active Directory Federation Services (AD FS) sia selezionata, quindi fare clic su Avanti.

   

5. Nella pagina Componente selezionare il componente creato nel server AD FS nel Passaggio 4: Creare regole di attestazione personalizzata e attendibilità del componente in AD FS per Outlook sul Web ed EAC:

   

   • Per Outlook sul web: selezionare Outlook sul web.

   • Per EAC: selezionare EAC.

   Al termine dell'operazione, fare clic su Avanti.

6. Nella pagina Impostazioni di pubblicazione immettere le informazioni seguenti:

   • Per Outlook sul Web

     • Nome: ad esempio, Outlook on the web. Questo nome è visibile solo nella console Gestione accesso remoto.

     • URL esterno: ad esempio, https://mail.contoso.com/owa/.

     • Certificato esterno: selezionare un certificato installato che contiene il nome host dell'URL esterno per Outlook sul web ,mail.contoso.comad esempio . È possibile selezionare un certificato nell'elenco a discesa e quindi fare clic su Visualizza>dettagli per visualizzare altre informazioni sul certificato.

     • URL server back-end: questo valore viene popolato automaticamente dall'URL esterno. È sufficiente modificarlo se l'URL del server back-end è diverso dall'URL esterno. Ad esempio, https://server01.contoso.com/owa/. Si noti che i percorsi nell'URL esterno e nell'URL del server back-end devono corrispondere a (/owa/), ma i valori del nome host possono essere diversi, mail.contoso.com ad esempio e server01.contoso.com.

     

   • Per EAC

     • Nome: ad esempio, EAC. Questo nome è visibile solo nella console Gestione accesso remoto.

     • URL esterno: URL esterno dell'interfaccia di amministrazione di Exchange. Ad esempio, https://mail.contoso.com/ecp/.

     • Certificato esterno: selezionare un certificato installato che contiene il nome host dell'URL esterno per l'interfaccia di amministrazione di Exchange ,ad esempio . mail.contoso.com Probabilmente si tratta di un certificato con caratteri jolly o SAN. È possibile selezionare un certificato nell'elenco a discesa e quindi fare clic su Visualizza>dettagli per visualizzare altre informazioni sul certificato.

     • URL server back-end: questo valore viene popolato automaticamente dall'URL esterno. È sufficiente modificarlo se l'URL del server back-end è diverso dall'URL esterno. Ad esempio, https://server01.contoso.com/ecp/. Si noti che i percorsi nell'URL esterno e nell'URL del server back-end devono corrispondere a (/ecp/), ma i valori del nome host possono essere diversi, mail.contoso.com ad esempio e server01.contoso.com.

   Al termine dell'operazione, fare clic su Avanti.

   

7. Nella pagina Conferma verificare le impostazioni. È possibile copiare il comando Windows PowerShell per automatizzare le installazioni aggiuntive (in particolare, il valore di identificazione personale del certificato). Al termine, fare clic su Pubblica.

   

8. Nella pagina Risultati verificare che l'applicazione sia stata pubblicata correttamente, quindi fare clic su Chiudi.

   

Per pubblicare le relazioni di attendibilità del componente tramite Windows PowerShell, procedere come segue:

1. Eseguire il comando seguente nel server Application Proxy Web per trovare l'identificazione personale del certificato installato che contiene il nome host degli URL Outlook sul web ed EAC (ad esempio: mail.contoso.com):

   Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
   

2. Usare la sintassi seguente:

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
   

   In questo esempio viene pubblicato Outlook sul Web in Proxy applicazione Web con le impostazioni seguenti:

   • Relying party di AD FS: Outlook sul web
   • Nome: Outlook sul web
   • URL esterno: https://mail.contoso.com/owa/
   • Identificazione personale del certificato esterno: certificato *.contoso.com con il valore 5AE82C737900B29C2BAC3AB6D8C44D249EE05609di identificazione personale .
   • URL server back-end: https://mail.contoso.com/owa/

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
   

   In questo esempio viene pubblicato EAC in Proxy applicazione Web con le impostazioni seguenti:

   • Nome: EAC
   • URL esterno: https://external.contoso.com/ecp/
   • Identificazione personale del certificato esterno: certificato *.contoso.com con il valore 5AE82C737900B29C2BAC3AB6D8C44D249EE05609di identificazione personale .
   • URL server back-end: https://mail.contoso.com/ecp/

   Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
   

Nota: Tutti gli endpoint di AD FS che si desidera pubblicare tramite Proxy applicazione Web devono essere abilitati al proxy. Questa operazione viene eseguita nella console di gestione di AD FS inEndpointdi servizio> (verificare che proxy abilitato sia Sì per l'endpoint specificato).

Passaggio 6: Configurare l'organizzazione Exchange per utilizzare l'autenticazione AD FS

Per configurare l'organizzazione Exchange per utilizzare l'autenticazione AD FS, è necessario usare Exchange Management Shell. Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

1. Eseguire il comando seguente per individuare il valore di identificazione personale del certificato per la firma di token AD FS importato:

   Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
   

   Cercare il valore CN=ADFS Signing - <FederationServiceName> Subject (ad esempio, CN=ADFS Signing - adfs.contoso.com).

   È possibile confermare questo valore di identificazione personale nel server AD FS in una finestra di Windows PowerShell con privilegi elevati eseguendo il comando Import-Module ADFSe quindi eseguendo il comando Get-AdfsCertificate -CertificateType Token-Signing.

2. Usare la sintassi seguente:

   Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
   

   In questo esempio vengono utilizzati i seguenti valori:

   • URL DI AD FS: https://adfs.contoso.com/adfs/ls/

   • OUTLOOK SUL WEB URL:https://mail.contoso.com/owa/

   • URL EAC: https://mail.contoso.com/ecp/

   • Identificazione personale del certificato per la firma del token AD FS: il ADFS Signing - adfs.contoso.com certificato con il valore 88970C64278A15D642934DC2961D9CCA5E28DA6Bdi identificazione personale .

   Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
   

   Nota: il parametro AdfsEncryptCertificateThumbprint non è supportato in questi scenari.

Passaggio 7: Configurare l'autenticazione AD FS sulle directory virtuali di Outlook sul Web ed EAC

Per le directory virtuali di Outlook sul Web ed EAC, è necessario configurare l'autenticazione AD FS come unico metodo di autenticazione disponibile disabilitando tutti gli altri metodi di autenticazione.

• Prima di configurare la directory virtuale di Outlook sul Web, è necessario configurare la directory virtuale di EAC.

• Probabilmente sarà necessario configurare l'autenticazione AD FS solo nei server Exchange con connessione a Internet utilizzati dai client per connettersi a Outlook sul Web ed EAC.

• Per impostazione predefinita, solo l'autenticazione basata su form e l'autenticazione di base sono abilitate per le directory virtuali di Outlook sul Web ed EAC.

Per configurare una directory virtuale di EAC o Outlook sul Web tramite Exchange Management Shell in modo che venga accettata solo l'autenticazione AD FS, utilizzare la sintassi seguente:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In questo esempio viene configurata la directory virtuale di EAC nel sito Web predefinito sul server denominato Mailbox01:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In questo esempio viene configurata la directory virtuale di Outlook sul Web nel sito Web predefinito sul server denominato Mailbox01:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Nota: Per configurare tutte le directory virtuali di EAC e Outlook sul Web in tutti i server Exchange dell'organizzazione, eseguire i comandi seguenti:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Passaggio 8: Riavviare IIS sul server Exchange

1. Aprire Gestione IIS sul server Exchange. Un metodo semplice per eseguire questa operazione in Windows Server 2012 o versioni successive consiste nel premere il tasto Windows + Q, digitare inetmgr e selezionare Gestione Internet Information Services (IIS) nei risultati.

2. In Gestione IIS, selezionare il server.

3. Nel riquadro Azioni, fare clic su Riavvia.

   

Nota: per eseguire questa procedura nella riga di comando, aprire un prompt dei comandi con privilegi elevati nel server Exchange (finestra del prompt dei comandi aperta selezionando Esegui come amministratore) ed eseguire i comandi seguenti:

net stop w3svc /y

net start w3svc

Come verificare se l'operazione ha avuto esito positivo

Per eseguire il test delle attestazioni per Outlook sul Web:

1. In un Web browser aprire Outlook sul web , https://mail.contoso.com/owaad esempio .

2. Se viene visualizzato un errore di certificato nel Web browser, passare al sito Outlook sul web. Si viene reindirizzati alla pagina di accesso di AD FS o al prompt di AD FS per le credenziali.

3. Digitare il nome utente (dominio\utente) e la password e quindi fare clic su Accedi.

4. Outlook sul Web viene caricato nella finestra.

Per eseguire il test delle attestazioni per EAC:

1. In un Web browser aprire EAC , ad esempio https://mail.contoso.com/ecp.

2. Se viene visualizzato un errore relativo ai certificati nel Web browser, continuare semplicemente nel sito Web EAC. Si viene reindirizzati alla pagina di accesso di AD FS o al prompt di AD FS per le credenziali.

3. Digitare il nome utente (dominio\utente) e la password e quindi fare clic su Accedi.

4. EAC viene caricato nella finestra.

Considerazioni aggiuntive

Autenticazione a più fattori

La distribuzione e la configurazione di AD FS per l'autenticazione basata sulle attestazioni consente a Outlook sul Web ed EAC di supportare l'autenticazione a più fattori, come l'autenticazione basata su certificati, i token di autenticazione o di sicurezza e l'autenticazione tramite impronta digitale. L'autenticazione a più fattori richiede due dei tre fattori di autenticazione seguenti:

• Un elemento che solo l'utente conosce (ad esempio, password, PIN o modello).

• Un elemento disponibile solo per l'utente (ad esempio, scheda ATM, token di sicurezza, smart card o telefono cellulare).

• Un elemento personale dell'utente (ad esempio, una caratteristica biometrica come un'impronta digitale).

Ad esempio, una password e un codice di sicurezza inviato a un telefono cellulare o un PIN e un'impronta digitale.

Per dettagli sull'autenticazione a più fattori in Windows Server 2012 R2, vedere Panoramica: Riduzione dei rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni riservate e Guida dettagliata: Riduzione dei rischi con l'autenticazione a più fattori aggiuntiva per le applicazioni riservate.

Nel server AD FS, il servizio federativo funziona come un servizio token di sicurezza e fornisce token di sicurezza utilizzati con le attestazioni. Il servizio federativo che genera token in base alle credenziali presenti. Quando l'archivio account ha verificato le credenziali dell'utente, le attestazioni per l'utente vengono generate in base alle regole del criterio di attendibilità e poi aggiunte a un token di sicurezza emesso dal client. Per informazioni sulle attestazioni, vedere Informazioni sulle attestazioni.

Coesistenza con altre versioni di Exchange

È possibile utilizzare l'autenticazione AD FS per Outlook sul Web ed EAC quando si dispone di più versioni di Exchange nell'organizzazione. Questo scenario è supportato solo se tutti i client si connettono tramite server Exchange e tutti questi server sono stati configurati per l'autenticazione di AD FS.

Nelle organizzazioni di Exchange 2016, gli utenti con cassette postali nei server Exchange 2010 possono accedere alle cassette postali tramite un server Exchange 2016 configurato per l'autenticazione ad ADFS. La connessione client iniziale al server Exchange 2016 usa l'autenticazione AD FS. Tuttavia, la connessione tramite proxy a Exchange 2010 usa Kerberos. La configurazione di Exchange 2010 per l'autenticazione AD FS diretta non è supportata.