Использование проверки подлинности на основе утверждений AD FS с Outlook Web App и Центром администрирования Exchange

  • Статья

Область применения: Exchange Server 2013 с пакетом обновления 1 (SP1)

Сводка.

Для локальных развертываний Exchange 2013 с пакетом обновления 1 (SP1) установка и настройка служб федерации Active Directory (AD FS) означает, что теперь для подключения к Outlook Web App и EAC вы можете использовать проверку подлинности, основанную на утверждениях AD FS. Проверку подлинности на основе утверждений AD FS можно интегрировать с Exchange 2013 с пакетом обновления 1 (SP1). Использование проверки подлинности на основе утверждений заменяет следующие традиционные способы проверки подлинности:

  • проверка подлинности Windows;
  • проверка подлинности с помощью форм;
  • дайджест-проверка подлинности;
  • обычная проверка подлинности;
  • проверка подлинности на основе клиентского сертификата Active Directory;

Проверка подлинности — это процесс подтверждения удостоверения пользователя. В процессе проверки подлинности выполняется проверка того, является ли пользователь тем, за кого он(а) себя выдает. Еще один подход к проверке подлинности — удостоверение, основанное на утверждениях. Проверка подлинности на основе утверждений удаляет управление проверкой подлинности из приложения (в данном случае Outlook Web App и EA), чтобы упростить управление учетными записями за счет централизованной проверки подлинности. Приложения Outlook Web App и EAC не отвечают за проверку подлинности пользователей, хранение учетных записей и паролей пользователей, поиск сведений об удостоверениях пользователей и интеграцию с другими системами удостоверения. Централизация проверки подлинности упрощает процесс перехода к способам проверки подлинности в будущем.

Примечание.

Outlook Web App для устройств не поддерживает проверку подлинности, основанную на утверждениях AD FS.

Можно использовать несколько версий AD FS, обобщенные сведения о которых представлены в таблице ниже.

Версия Windows Server Установка Версия AD FS
Windows Server 2008 R2 Загрузка и установка служб федерации Active Directory 2.0, которые являются компонентом Windows. AD FS 2.0
Windows Server 2012 Установка встроенной роли сервера AD FS. AD FS 2.1
Windows Server 2012 R2 Установка встроенной роли сервера AD FS. AD FS 3.0

Описанные в этой статье действия относятся к ОС Windows Server 2012 R2, которая включает службу ролей AD FS.

Общие сведения о необходимых шагах:

Действие 1. Просмотр требований к сертификатам для AD FS

Действие 2. Установка и настройка служб федерации Active Directory (AD FS)

Действие 3. Создание отношения доверия с проверяющей стороной и настраиваемых правил утверждений для Outlook Web App и EAC

Действие 4. Установка службы роли "Прокси-служба веб-приложения" (необязательно)

Действие 5. Настройка службы роли "Прокси-служба веб-приложения" (необязательно)

Действие 6. Публикация Outlook Web App и EAC с помощью прокси-службы веб-приложения (необязательно)

Действие 7. Настройка Exchange 2013 для проверки подлинности AD FS

Действие 8. Включение проверки подлинности AD FS на виртуальных каталогах OWA и ECP

Действие 9. Перезапуск или повторный запуск служб IIS

Действие 10. Тестирование утверждений AD FS для Outlook Web App и EAC

Дополнительные сведения

Что нужно знать для начала?

  • Минимальным требованием является установка отдельных серверов Windows Server 2012 R2: одного в качестве контроллера домена, использующего доменные службы Active Directory, сервера Exchange 2013, сервера прокси-службы веб-приложения и сервера служб федерации Active Directory. Убедитесь, что установлены все обновления.

  • Установите AD DS на соответствующее количество серверов Windows Server 2012 R2 в вашей организации. Вы также можете использовать уведомления в диспетчер сервера>Dashboard для повышения уровня этого сервера до контроллера домена.

  • Установите для вашей организации соответствующее количество серверов клиентского доступа и серверов почтовых ящиков. Убедитесь, что на всех серверах Exchange 2013 в организации установлены все обновления, в том числе с пакетом обновления 1 (SP1). Чтобы скачать пакет обновления 1 (SP1), см. раздел Updates for Exchange 2013.

  • Развертывание сервера прокси-службы веб-приложения на сервере требует разрешения локального администратора. Прежде чем развернуть сервер прокси-службы веб-приложения в вашей организации, необходимо развернуть службу AD FS на сервере под управлением Windows Server 2012 R2.

  • Установите и настройте роль службы AD FS, создайте на сервере Windows Server 2012 R2 отношения доверия проверяющей стороны и правила утверждения. Для этого необходимо войти на сервер с помощью учетной записи пользователя, которая является членом группы администраторов домена, администраторов предприятия или локальной группы администраторов.

  • Определите необходимые разрешения для Exchange 2013, ознакомившись с разделом Разрешения на функции.

  • Вам должны быть назначены разрешения для управления Outlook Web App. Необходимые разрешения указаны в разделе "Разрешения Outlook Web App" статьи Разрешения клиентов и мобильных устройств.

  • Вам должны быть назначены разрешения для управления EAC. Сведения о необходимых разрешениях см. в записи "Подключение к Центру администрирования Exchange" в разделе Разрешения инфраструктуры Exchange и оболочки .

  • Для выполнения некоторых процедур достаточно командной консоли. Сведения о том, как открыть командную консоль в локальной организации Exchange, см. в разделе Open the Shell.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Действие 1. Просмотр требований к сертификатам для AD FS

Сертификаты играют важную роль для безопасности взаимодействия между серверами Exchange 2013 с пакетом обновления 1 (SP1), веб-клиентов, например Outlook Web App и EAC, серверов Windows Server 2012 R2, включая серверы служб федерации Active Directory (AD FS) и серверы прокси-службы веб-приложения. Требования к сертификатам зависят от того, какой сервер вы настраиваете: сервер AD FS, прокси-сервер AD FS или сервер прокси-службы веб-приложения. Сертификаты, используемые для служб AD FS, включая SSL и сертификаты для подписи маркеров, должны импортироваться в хранилище доверенного корневого центра сертификации на всех серверах Exchange, AD FS и серверах прокси-службы веб-приложения. При использовании командлета Set-OrganizationConfig на сервере Exchange 2013 с пакетом обновления 1 (SP1) также используется отпечаток для импортируемого сертификата.

В любой конфигурации с AD FS должны использоваться различные сертификаты, чтобы защитить обмен данными между пользователями в Интернете и серверами AD FS. Каждый сервер федерации должен иметь сертификат связи службы или SSL-сертификат и сертификат подписи маркеров, прежде чем серверы AD FS, контроллеры домена Active Directory и серверы Exchange 2013 смогут взаимодействовать и проходить проверку подлинности. Учитывая требования к безопасности и бюджету, необходимо тщательно проанализировать, какие из ваших сертификатов будут получены с помощью общедоступного центра сертификации или центра сертификации предприятия. Если вы хотите установить и настроить корпоративный корневой или подчиненный ЦС, можно использовать службы сертификатов Active Directory (AD CS). Дополнительные сведения о AD CS см. в статье Обзор служб сертификатов Active Directory.

Хотя службы федерации Active Directory не требуют сертификата, выданного центром сертификации, сертификат SSL (по умолчанию сертификат SSL также используется в качестве сертификата службы взаимодействия) должен быть доверенным для клиентов AD FS. Мы не рекомендуем использовать самозаверяющие сертификаты. Серверы федерации используют сертификат SSL для обеспечении безопасности трафика веб-служб для SSL-подключения к веб-клиентам и прокси-серверами федерации. Поскольку сертификат SSL должен быть доверенным для клиентских компьютеров, мы рекомендуем использовать сертификат, подписанный надежным центром сертификации. Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. После получения сертификата из центра сертификации (корпоративного или общедоступного) убедитесь, что все сертификаты на всех серверах импортированы в хранилище доверенного корневого центра сертификации. Вы можете выполнить импорт сертификатов в хранилище с помощью команды оснастки MMC Сертификаты или распространить их с помощью служб сертификации Active Directory. Важно помнить, что в случае истечения срока действия импортированного сертификата необходимо вручную импортировать новый действительный сертификат.

Важно!

Если вы используете самозаверяющий сертификат для подписи маркеров AD FS, на всех серверах Exchange 2013 необходимо выполнить импорт этого сертификата в хранилище доверенного корневого центра сертификации. Если при развернутой прокси-службе веб-приложения самозаверяющий сертификат для подписи маркеров не используется, в конфигурации прокси-службы веб-приложения и всех отношениях доверия проверяющий стороны AD FS необходимо обновить открытый ключ.

Настраивая Exchange 2013 с пакетом обновления 1 (SP1), AD FS и прокси-службы веб-приложения, следуйте приведенным ниже рекомендациям по сертификатам.

  • Серверы почтовых ящиков. Сертификаты, используемые на серверах почтовых ящиков, являются самозаверяющими сертификатами, которые создаются при установке Exchange 2013. Поскольку все клиенты подключаются к серверу почтовых ящиков Exchange 2013 через сервер клиентского доступа Exchange 2013, единственными сертификатами, требующими управления, являются те, которые размещены на серверах клиентского доступа.

  • Серверы клиентского доступа. Требуется SSL-сертификат, используемый для обмена данными между службами. Если существующий сертификат SSL уже включает полное доменное имя (FQDN), используемое для настройки конечной точки отношения доверия с проверяющей стороной, дополнительные сертификаты не требуются.

  • AD FS: для AD FS требуются два типа сертификатов:

    • Сертификат SSL, используемый для взаимодействия служб

      • Имя субъекта: adfs.contoso.com (имя развертывания AD FS)
      • Альтернативное имя субъекта (SAN): нет

    • Сертификат для подписи маркера

      • Имя субъекта: tokensigning.contoso.com
      • Альтернативное имя субъекта (SAN): нет

    Примечание.

    При замене сертификата для подписи маркера на AD FS, чтобы использовать новый сертификат для подписи маркера, необходимо обновить любые существующие доверия проверяющей стороны.

  • Прокси-служба веб-приложения

    • Сертификат SSL, используемый для взаимодействия служб

      • Имя субъекта: owa.contoso.com
      • Альтернативное имя субъекта (SAN): нет

      Примечание.

      Если внешний URL-адрес прокси-службы веб-приложения совпадает с внутренним URL-адресом, то вы можете повторно использовать сертификат SSL Exchange.

      • Сертификат SSL прокси-службы AD FS

        • Имя субъекта: adfs.contoso.com (имя развертывания AD FS)
        • Альтернативное имя субъекта (SAN): нет

      • Сертификат для подписи маркера — он будет скопирован автоматически из AD FS как часть указанных действий, указанных ниже. Если используется этот сертификат, он должен быть доверенным для серверов Exchange 2013 вашей организации.

Дополнительные сведения о сертификатах см. в разделе "Требования к сертификатам" статьи Требования AD FS .

Примечание.

Даже если вы используете сертификат SSL для AD FS, для работы Outlook Web App все еще требуется сертификат шифрования SSL. Сертификат SSL используется в виртуальных каталогах OWA и ECP.

Действие 2. Установка и настройка служб федерации Active Directory (AD FS)

AD FS в Windows Server 2012 R2 обеспечивают упрощенную, защищенную федерацию удостоверений и возможности единого входа на веб-узлы (SSO). В состав AD FS входит служба федерации, позволяющая выполнять единый вход на веб-узлы с помощью браузера, использовать многофакторную проверку подлинности, а также проверку подлинности на основе утверждений. AD FS упрощает доступ к системам и приложениям за счет проверки подлинности на основе утверждений и механизма авторизации доступа для поддержания безопасности приложений.

Чтобы установить AD FS на Windows Server 2012 R2, сделайте следующее.

  1. Откройте Диспетчер серверов на начальном экране или Диспетчер серверов на панели задач рабочего стола. В меню Управление выберите пункт Добавить роли и компоненты.

  2. На странице Прежде чем приступить к работе нажмите кнопку Далее.

  3. На странице Выберите тип установки выберите пункт Установка ролей или компонентов, а затем нажмите кнопку Далее.

  4. На странице Выбор целевого сервера щелкните Выберите сервер из пула серверов, убедитесь, что выбран локальный компьютер, затем нажмите кнопку Далее.

  5. На странице Выбор ролей сервера щелкните элемент Службы федерации Active Directory, а затем нажмите кнопку Далее.

  6. На странице Выбор компонентов нажмите кнопку Далее. Необходимые параметры и компоненты уже выбраны. Не требуется выбирать другие компоненты.

  7. На странице Службы федерации Active Directory (AD FS) нажмите кнопку Далее.

  8. На странице Подтверждение выбранных элементов для установки установите флажок для элемента Автоматический перезапуск конечного сервера, если требуется, а затем нажмите кнопку Установить.

    Примечание.

    Не закрывайте мастер во время установки.

После установки необходимых серверов AD FS и создания необходимых сертификатов необходимо настроить AD FS, а затем проверить работоспособность AD FS. При настройке AD FS можно использовать статью Контрольный список: настройка сервера федерации.

Чтобы настроить службы федерации Active Directory, сделайте следующее.

  1. на странице Ход выполнения установки в окне под элементом Службы федерации Active Directory выберите элемент Настроить службу федерации на этом сервере. Откроется мастер настройки службы федерации Active Directory.

  2. На странице Добро пожаловать выберите Создать первый сервер федерации в новой ферме, а затем нажмите кнопку Далее.

  3. На странице Подключение к AD DS укажите учетную запись с правами администратора домена для правильного домена Active Directory, к которому присоединен этот компьютер, затем нажмите кнопку Далее. Если необходимо выбрать другого пользователя, нажмите кнопку Изменить.

  4. На странице Настройка свойств службы выполните следующие действия, а затем нажмите кнопку Далее.

    • Импортируйте сертификат SSL, который вы получили ранее от службы сертификации Active Directory или общедоступного центра сертификации. Этот сертификат — обязательный сертификат аутентификации службы. Перейдите к папке с сертификатом SSL. Дополнительные сведения о создании и импорте SSL-сертификатов см. в разделе Серверные сертификаты.

    • Введите имя службы федерации (например, введите adfs.contoso.com).

    • Чтобы указать отображаемое имя для службы федерации, введите название организации (например, Contoso, Ltd.).

  5. На странице Выбор учетной записи службы выберите Использовать существующую учетную запись пользователя домена или групповую учетную запись управляемой службы, а затем укажите учетную запись GMSA (FsGmsa), которую вы создали при создании контроллера домена. Включите пароль учетной записи, а затем нажмите кнопку Далее.

    Примечание.

    Глобальная учетная запись управляемой службы (GMSA) — это учетная запись, которую необходимо создать при настройке контроллера домена. Учетная запись GMSA требуется для установки и настройки AD FS. Если учетная запись еще не создана, выполните в Windows PowerShell следующую команду. Будет создана учетная запись для домена contoso.com и сервера AD FS:

  6. Выполните следующую команду.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

  7. В этом примере создается учетная запись GMSA с именем FsGmsa для службы федерации с именем adfs.contoso.com. Имя службы федерации — это значение, видимое для клиентов.

    New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com

  8. На странице Выбор базы данных конфигурации выберите Создать на этом сервере базу данных на основе внутренней базы данных Windows, а затем нажмите кнопку Далее.

  9. На странице Просмотр параметров проверьте выбранные настройки конфигурации. Дополнительно можно использовать кнопку Просмотреть сценарий, чтобы автоматизировать дополнительные установки AD FS. Нажмите кнопку Далее.

  10. На странице Проверки готовности убедитесь, что все проверки готовности успешно выполнены, а затем нажмите кнопку Настроить.

  11. На странице Ход выполнения установки убедитесь, что все установлено правильно, а затем нажмите кнопку Закрыть.

  12. На странице Результаты просмотрите результаты, проверьте успешность завершения настройки, а затем нажмите элемент Для развертывания службы федерации нужно выполнить следующие действия.

Следующие команды Windows PowerShell выполняют то же самое, что и предыдущие шаги.

Import-Module ADFS

Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"

Дополнительные сведения и синтаксис см. в статье Install-AdfsFarm.

Чтобы проверить установку: на сервере AD FS откройте веб-браузер и перейдите по URL-адресу метаданных федерации (например, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml).

Действие 3. Создание отношения доверия с проверяющей стороной и настраиваемых правил утверждений для Outlook Web App и EAC

Для всех приложений и служб, которые требуется публиковать через прокси-службу веб-приложения, необходимо настроить отношение доверия с проверяющей стороной на сервере AD FS. Для развертываний с несколькими сайтами Active Directory, которые используют отдельные пространства имен, для каждого пространства имен необходимо добавить отношение доверия с проверяющей стороной для Outlook Web App и EAC.

EAC использует виртуальный каталог ECP. Вы можете просмотреть и настроить параметры для EAC с помощью командлетов Get-EcpVirtualDirectory и Set-EcpVirtualDirectory. Для доступа к EAC необходимо перейти в веб-браузере по адресу http://server1.contoso.com/ecp.

Примечание.

Косая черта / в конце URL-адресов в приведенных ниже примерах включена преднамеренно. Важно убедиться, что отношения доверия с проверяющей стороной AD FS и универсальный код ресурса (URI) аудитории Exchange идентичны. Это означает, что отношения доверия с проверяющей стороной AD FS и универсальный код ресурса (URI) аудитории Exchange должны одновременно иметь или одновременно не иметь косую черту в конце URL-адресов. Примеры в этом разделе содержат косую черту / в конце каждого URL-адреса, заканчивающегося на "owa" (/owa/) или "ecp" (/ecp/).

Чтобы создать в Outlook Web App отношения доверия с проверяющей стороной с помощью оснастки управления AD FS в Windows Server 2012 R2, сделайте следующее.

  1. В окне Диспетчер серверов выберите Средства, а затем выберите Управление AD FS.

  2. В окне Оснастка AD FS в области AD FS\Отношения доверия щелкните правой кнопкой мыши Отношения доверия с проверяющей стороной, а затем нажмите кнопку Добавить отношение доверия с проверяющей стороной, чтобы открыть мастер добавления отношения доверия с проверяющей стороной.

  3. На странице Добро пожаловать нажмите кнопку Пуск.

  4. На странице Выбор источника данных щелкните Вручную ввести данные о проверяющей стороне, а затем нажмите кнопку Далее.

  5. На странице Указание отображаемого имени в поле Отображаемое имя введите Outlook Web App, а затем в разделе Заметки введите описание отношения доверия с проверяющей стороной (например, это доверие для https://mail.contoso.com/owa/) и нажмите кнопку Далее.

  6. На странице Выбор профиля выберите Профиль AD FS, а затем нажмите кнопку Далее.

  7. На странице Настройка сертификата нажмите кнопку Далее.

  8. На странице Настройка URL-адреса выберите Включить поддержку пассивного протокола WS-Federation, а затем в области URL-адрес пассивного протокола WS-Federation проверяющей стороны введите type https://mail.contoso.com/owa/, а затем нажмите кнопку Далее.

  9. На странице Настройка идентификаторов укажите один или несколько идентификаторов для этой проверяющей стороны, нажмите кнопку Добавить, чтобы добавить их в список, а затем нажмите кнопку Далее.

  10. На странице Настроить многофакторную проверку подлинности сейчас? выберите Настроить параметры многофакторной проверки подлинности для этого отношения доверия с проверяющей стороной.

  11. На странице Настройка многофакторной проверки подлинности убедитесь, что выбран элемент Я не хочу настраивать параметры многофакторной проверки подлинности для этого отношения доверия с проверяющей стороной сейчас, а затем нажмите кнопку Далее.

  12. На странице Выбор правил выдачи авторизации выберите Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

  13. На странице Готово для добавления доверия проверьте настройки, а затем нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.

  14. На странице Готово убедитесь, что не выбран элемент После закрытия мастера открыть диалоговое окно редактирования правил утверждения для этого отношения доверия с проверяющей стороной, а затем нажмите кнопку Закрыть.

Чтобы создать отношение доверия с проверяющей стороной для EAC, необходимо выполнить эти действия еще раз и создать второе отношение доверия с проверяющей стороной, но вместо отображаемого имени Outlook Web App ввести EAC. В качестве описания введите Значение доверия для Центра администрирования Exchange, а для проверяющей стороны WS-Federation URL-адрес пассивного протоколаhttps://mail.contoso.com/ecp.

В модели удостоверений, основанных на утверждениях, функцией служб федерации Active Directory (AD FS) является выдача маркера, содержащего набор утверждений. Правила утверждений регулируют решения в отношении выдаваемых службами AD FS утверждений. Правила утверждений и все данные конфигурации сервера хранятся в базе данных конфигураций AD FS.

Требуется создать два правила утверждений:

  • ИД безопасности пользователя Active Directory
  • UPN Active Directory

Чтобы добавить необходимые правила утверждений:

  1. В окне Диспетчер серверов выберите Средства, а затем — Управление AD FS.

  2. В дереве консоли под элементом AD FS\Отношения доверия выберите Доверия поставщика утверждений или Отношения доверия с проверяющей стороной, а затем выберите отношения доверия с проверяющей стороной для Outlook Web App.

  3. В окне Отношения доверия с проверяющей стороной щелкните правой кнопкой мыши отношение доверия Outlook Web App, а затем нажмите кнопку Редактировать правила утверждений.

  4. В окне Редактировать правила утверждений на вкладке Выдача правил преобразования нажмите кнопку Добавить правило, чтобы запустить мастер добавления правил преобразования утверждений.

  5. На странице Выбор шаблона правила в разделе Шаблон правила утверждения из списка выберите Отправлять утверждения с помощью настраиваемого правила и нажмите кнопку Далее.

  6. На странице Настройка правила на этапе Выбор типа правила в поле Имя правила утверждения введите имя для правила утверждения. Используйте описательное имя для правила утверждения (например, ActiveDirectoryUserSID). В разделе Настраиваемое правило введите правило утверждения, используя следующий синтаксис:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

  7. На странице Настройка правила нажмите кнопку Готово.

  8. В окне Редактировать правила утверждений на вкладке Выдача правил преобразования нажмите кнопку Добавить правило, чтобы запустить мастер добавления правил преобразования утверждений.

  9. На странице Выбор шаблона правила в разделе Шаблон правила утверждения из списка выберите Отправлять утверждения с помощью настраиваемого правила и нажмите кнопку Далее.

  10. На странице Настройка правила на этапе Выбор типа правила в поле Имя правила утверждения введите имя для правила утверждения. Используйте описательное имя для правила утверждения (например, ActiveDirectoryUPN). В разделе Настраиваемое правило введите правило утверждения, используя следующий синтаксис:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

  11. Нажмите кнопку Готово.

  12. В окне Редактирование правил утверждений выберите Применить, а затем нажмите кнопку ОК.

  13. Повторите шаги 3-12 для отношения доверия с проверяющей стороной для EAC.

Кроме того, вы можете создавать отношения доверия с проверяющей стороной и правила утверждений с помощью Windows PowerShell:

  1. Создайте два TXT-файла: IssuanceAuthorizationRules.txt и IssuanceTransformRules.txt.

  2. Импортируйте их содержимое в две переменные.

  3. Выполните следующие два командлета, чтобы создать отношения доверия с проверяющей стороной. В этом примере также выполняется настройка правил утверждения.

Файл IssuanceAuthorizationRules.txt содержит:

@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Файл IssuanceTransformRules.txt содержит:

@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

Выполните следующие команды:

[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt

[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt

Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Действие 4. Установка службы роли "Прокси-служба веб-приложения" (необязательно)

Примечание.

Действия 4, 5 и 6 предназначены для пользователей, которым нужно опубликовать Exchange OWA и ECP с помощью прокси-службы веб-приложения и которые хотят, чтобы эта прокси-служба выполняла проверку подлинности AD FS. Однако публикация Exchange с помощью прокси-службы веб-приложения не обязательна, поэтому вы можете сразу перейти к действию 7, если не используете эту прокси-службу и хотите, чтобы проверку подлинности AD FS выполнял сервер Exchange.

Веб-Application Proxy — это новая служба роли удаленного доступа в Windows Server 2012 R2. Она обеспечивает функциональность обратного прокси-сервера для веб-приложений в корпоративной сети, что позволяет пользователям получать к ним доступ со многих устройств вне корпоративной сети. Веб-Application Proxy предварительно выполняет проверку подлинности доступа к веб-приложениям с помощью службы федерации Active Directory (AD FS) (AD FS), а также выполняет функции прокси-сервера AD FS. Хотя веб-Application Proxy не требуется, рекомендуется, если служба AD FS доступна для внешних клиентов. Однако автономный доступ в Outlook Web App не поддерживается при использовании проверки подлинности AD FS через веб-Application Proxy. Дополнительные сведения об интеграции с веб-Application Proxy см. в статье Установка и настройка веб-Application Proxy для публикации внутренних приложений.

Предупреждение

Службу "Прокси веб-приложений" нельзя установить на сервер, на котором установлена служба AD FS.

Чтобы развернуть службу "Прокси веб-приложения", необходимо установить роль сервера удаленного доступа вместе со службой роли "Прокси веб-приложения" на сервер, который будет использоваться в качестве сервера прокси-службы веб-приложения. Чтобы установить службу роли "Прокси веб-приложения", сделайте следующее.

  1. На сервере прокси-службы веб-приложения, на странице Диспетчер серверов выберите Управление, а затем нажмите Добавить роли и компоненты.

  2. В мастере добавления ролей и компонентов три раза нажмите кнопку Далее, чтобы перейти к странице Роли сервера.

  3. На странице Роли сервера выберите в списке Удаленный доступ, а затем нажмите кнопку Далее.

  4. На странице Компоненты нажмите кнопку Далее.

  5. На странице Удаленный доступ прочтите сведения, а затем нажмите кнопку Далее.

  6. На странице Службы ролей выберите Прокси веб-приложения. Затем в окне Мастер добавления ролей и компонентов щелкните элемент Добавить компоненты, а затем нажмите кнопку Далее.

  7. В окне Подтверждение нажмите кнопку Установить. Вы также можете установить флажок Автоматический перезапуск конечного сервера, если требуется.

  8. В диалоговом окне Ход выполнения установки убедитесь, что установка прошла успешно, а затем нажмите кнопку Закрыть.

Указанный ниже командлет Windows PowerShell выполняет те же действия, что описаны выше.

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Действие 5. Настройка службы роли "Прокси-служба веб-приложения" (необязательно)

Чтобы подключиться к серверу AD FS, необходимо настроить прокси-службу веб-приложения. Повторите эту процедуру для всех серверов, на которых требуется развернуть серверы прокси-службы веб-приложения.

Чтобы установить службу роли "Прокси веб-приложения", сделайте следующее.

  1. На сервере прокси-службы веб-приложения на странице Диспетчер серверов выберите Средства, а затем нажмите Управление удаленным доступом.

  2. На панели Настройка нажмите Прокси-служба веб-приложения.

  3. В консоли Управление удаленным доступом на средней панели щелкните Запустить мастер настройки прокси-службы веб-приложения.

  4. В мастере настройки прокси-службы веб-приложения в диалоговом окне Добро пожаловать нажмите кнопку Далее.

  5. На странице Сервер федерации выполните следующие действия, а затем нажмите кнопку Далее.

    • В поле Имя службы федерации введите полное доменное имя (FQDN) сервера AD FS (например, adfs.contoso.com).

    • В полях Имя пользователя и Пароль введите учетные данные локальной учетной записи администратора на серверах AD FS.

  6. В диалоговом окне Сертификат прокси-сервера AD FS в списке сертификатов, установленных на сервере прокси-службы веб-приложения, выберите сертификат, который будет обеспечивать возможности прокси-службы AD FS, а затем нажмите кнопку Далее. Выбранный здесь сертификат должен быть сертификатом, субъектом которого является имя службы федерации (например, adfs.contoso.com).

  7. Проверьте настройки в диалоговом окне Подтверждение. При необходимости можно скопировать командлет Windows PowerShell, чтобы автоматизировать дополнительные установки. Выберите пункт Настройка.

  8. В диалоговом окне Результаты убедитесь, что настройка прошла успешно, а затем нажмите кнопку Закрыть.

Указанный ниже командлет Windows PowerShell выполняет те же действия, что описаны выше.

Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com

Действие 6. Публикация Outlook Web App и EAC с помощью прокси-службы веб-приложения (необязательно)

В действии 3 вы создали утверждения для Outlook Web App и EAC, а теперь необходимо опубликовать оба эти приложения. Однако перед этим убедитесь, что для них создано отношение доверия с проверяющей стороной и что на сервере прокси-службы веб-приложения есть сертификат, который подходит для Outlook Web App и EAC. Для всех конечных точек AD FS, которые должны быть опубликованы прокси-службой веб-приложения, необходимо в консоли управления AD FS задать для конечной точки значение Прокси включен.

Чтобы опубликовать Outlook Web App с помощью прокси-службы веб-приложения, выполните указанные действия. Для EAC необходимо повторить эти действия. При публикации EAC необходимо изменить имя, внешний URL-адрес, внешний сертификат и URL-адрес серверной части.

Чтобы опубликовать Outlook Web App и EAC с помощью прокси-службы веб-приложения, сделайте следующее.

  1. На сервере прокси-службы веб-приложения в консоли Управление удаленным доступом на панели Навигация выберите Прокси-служба веб-приложения, а затем на панели Задачи нажмите Опубликовать.

  2. В мастере публикации нового приложения на странице Добро пожаловать нажмите кнопку Далее.

  3. На странице Предварительная проверка подлинности щелкните элемент Службы федерации Active Directory (AD FS), а затем нажмите кнопку Далее.

  4. В списке проверяющих сторон на странице Проверяющая сторона выберите проверяющую сторону для приложения, которое требуется опубликовать, а затем нажмите кнопку Далее.

  5. На странице Параметры публикации выполните следующие шаги, а затем нажмите кнопку Далее.

    1. В поле Имя введите для приложения понятное имя. Это имя используется только в списке опубликованных приложений Консоли удаленного доступа. Для имен можно использовать OWA и EAC.

    2. В поле Внешний URL-адрес введите внешний URL-адрес этого приложения (например, https://external.contoso.com/owa/ для Outlook Web App и https://external.contoso.com/ecp/ EAC).

    3. Из списка Внешний сертификат выберите сертификат, имя субъекта которого соответствует имени узла внешнего URL-адреса.

    4. В поле URL-адрес внутреннего сервера введите URL-адрес внутреннего сервера. Обратите внимание, что это значение автоматически вводится при вводе внешнего URL-адреса и его следует изменять только в том случае, если URL-адрес внутреннего сервера отличается (например, https://mail.contoso.com/owa/ для Outlook Web App и https://mail.contoso.com/ecp/ для EAC).

    Примечание.

    Web Application Proxy can translate host names in URLs but cannot translate paths. Therefore, you can enter different host names, but you must enter the same path. Например, можно ввести внешний URL-адрес https://external.contoso.com/app1/ и URL-адрес https://mail.contoso.com/app1/внутреннего сервера . Однако нельзя ввести внешний URL-адрес https://external.contoso.com/app1/ и URL-адрес https://mail.contoso.com/internal-app1/внутреннего сервера .

  6. На странице Подтверждение проверьте параметры и нажмите кнопку Опубликовать. Вы можете скопировать команду Windows PowerShell, чтобы настроить дополнительно публикуемые приложения.

  7. На странице Результаты убедитесь, что приложение опубликовано успешно, а затем нажмите кнопку Закрыть.

Следующий командлет Windows PowerShell выполняет те же задачи, что и предыдущая процедура для Outlook Web App.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'

Следующий командлет Windows PowerShell выполняет те же задачи, что и предыдущая процедура для EAC.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'

После выполнения этих действий прокси-служба веб-приложения проверит подлинность AD FS для клиентов Outlook Web App и EAC и будет поддерживать подключения к Exchange вместо них. Вам не нужно настраивать сам сервер Exchange для проверки подлинности AD FS, поэтому перейдите к шагу 10, чтобы проверить конфигурацию.

Действие 7. Настройка Exchange 2013 для проверки подлинности AD FS

При настройке AD FS для проверки подлинности на основе утверждений с Outlook Web App и EAC в Exchange 2013 необходимо включить AD FS для организации Exchange. Чтобы настроить параметры AD FS для вашей организации, используйте командлет Set-OrganizationConfig.

  • Задайте для издателя AD FS значение https://adfs.contoso.com/adfs/ls/.

  • Установите для универсальных кодов ресурса AD FS значения https://mail.contoso.com/owa/ и https://mail.contoso.com/ecp/.

  • Найдите отпечаток сертификата подписи маркера AD FS с помощью Windows PowerShell на сервере AD FS и введите Get-ADFSCertificate -CertificateType "Token-signing". Затем назначьте найденный отпечаток сертификата для подписи маркеров. Если срок действия сертификата для подписи маркеров AD FS истек, отпечаток из нового сертификата для подписи маркеров AD FS необходимо обновить с помощью командлета Set-OrganizationConfig.

Выполните следующие команды в командной консоли Exchange.

$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

Примечание.

Параметр -AdfsEncryptCertificateThumbprint не поддерживается для этих сценариев.

Дополнительные сведения и синтаксис см. в статьях Set-OrganizationConfig и Get-ADFSCertificate.

Действие 8. Включение проверки подлинности AD FS на виртуальных каталогах OWA и ECP

Для виртуальных каталогов OWA и ECP включите проверку подлинности AD FS в качестве единственного способа проверки подлинности и отключите все остальные ее формы.

Предупреждение

Прежде чем приступить к настройке виртуального каталога OWA, необходимо настроить виртуальный каталог ECP.

Настройте виртуальный каталог ECP с помощью консоли управления Exchange. В окне оболочки выполните следующую команду.

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Настройте виртуальный каталог OWA с помощью консоли управления Exchange. В окне оболочки выполните следующую команду.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

Примечание.

Предыдущие команды в консоли управления Exchange выполняют настройку виртуальных каталогов OWA и ECP на каждом сервере клиентского доступа в организации. Если вы не хотите применять эти параметры ко всем серверам клиентского доступа, используйте параметр -Identity и укажите сервер клиентского доступа. Скорее всего, применение этих настроек потребуется только в отношении тех серверов клиентского доступа, которые имеют выход в Интернет.

Дополнительные сведения и синтаксис см. в разделах Get-OwaVirtualDirectory и Set-OwaVirtualDirectory или Get-EcpVirtualDirectory и Set-EcpVirtualDirectory.

Действие 9. Перезапуск или повторный запуск служб IIS

После завершения всех необходимых действий, включая внесение изменений в виртуальные каталоги Exchange, необходимо перезапустить службы IIS. Воспользуйтесь для этого одним из описанных ниже способов.

  • Использование Windows PowerShell.

    Restart-Service W3SVC,WAS -force

  • С помощью командной строки: нажмите кнопку Пуск, нажмите кнопку Выполнить, введите IISReset /noforceи нажмите кнопку ОК.

  • Использование диспетчера серверов IIS. В диспетчер сервера>IIS щелкните Сервис, а затем — Диспетчер служб IIS. В окне Диспетчер серверов IIS в области действий в разделе Управление сервером нажмите кнопку Перезапустить.

Действие 10. Тестирование утверждений AD FS для Outlook Web App и EAC

Чтобы протестировать утверждения AD FS для Outlook Web App и EAC:

  • В веб-браузере войдите в Outlook Web App (например, https://mail.contoso.com/owa).

  • Если в браузере отобразится ошибка сертификата, просто перейдите на веб-сайт Outlook Web App. Вы будете перенаправлены на страницу входа в AD FS или увидите запрос учетных данных AD FS.

  • Введите имя пользователя (домен\пользователя) и пароль, а затем нажмите кнопку Войти.

Outlook Web App загрузится в окне.

Чтобы проверить утверждения AD FS для EAC, сделайте следующее.

  1. В окне веб-браузера перейдите на страницу https://mail.contoso.com/ecp.

  2. Если в браузере отобразится ошибка сертификата, просто перейдите на веб-сайт ECP. Вы будете перенаправлены на страницу входа в AD FS или увидите запрос учетных данных AD FS.

  3. Введите имя пользователя (домен\пользователя) и пароль, а затем нажмите кнопку Войти.

  4. В окне должен загрузиться Центр администрирования Exchange.

Дополнительные полезные сведения

Многофакторная проверка подлинности

Для локальных развертываний Exchange 2013 с пакетом обновления 1 (SP1) развертывание и настройка служб федерации Active Directory (AD FS) 2.0 с помощью утверждений означает, что Outlook Web App и EAC в Exchange 2013 с пакетом обновления 1 (SP1) поддерживают способы многофакторной проверки подлинности, например проверку подлинности на основе сертификатов, проверку подлинности маркеров безопасности и проверку подлинности на основе отпечатков. Двухфакторную проверку подлинности часто путают с другими формами проверки подлинности. Выполнение многофакторной проверки подлинности требует использования двух или трех факторов проверки подлинности. Этими факторами являются:

  • сведения, известные только пользователю (например, пароль, ПИН-код или шаблон);

  • объект, которым владеет только пользователь (например, банкоматная карточка, маркер безопасности, смарт-карта или мобильный телефон);

  • данные, которые может предоставить только пользователь (например, биометрическая характеристика, такая как отпечаток пальца).

Дополнительные сведения о многофакторной проверке подлинности в Windows Server 2012 R2 см. в статьях Обзор: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности и Пошаговое руководство: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности.

В службе роли Windows Server 2012 R2 AD FS служба федерации функционирует как служба маркеров безопасности, предоставляет маркеры безопасности, используемые с утверждениями, и предоставляет возможность поддержки многофакторной проверки подлинности. Служба федерации издает маркеры на основе предоставленных учетных данных. После того как хранилище учетных записей проверит учетные данные пользователя, в соответствии с правилами политики доверия для этого пользователя создаются утверждения, которые затем добавляются к маркеру безопасности, выданному клиенту. Дополнительные сведения о утверждениях см. в разделе Основные сведения о утверждениях.

Работа параллельно с другими версиями Exchange

Существует возможность использовать проверку подлинности AD FS для Outlook Web App и EAC, когда в организации развернуты разные версии Exchange. Этот сценарий поддерживается только для развертываний Exchange 2010 и Exchange 2013 и только в том случае, если все клиенты подключаются через серверы Exchange 2013 и эти серверы настроены для проверки подлинности AD FS.

Пользователи с почтовым ящиком на сервере Exchange Server 2010 могут получать доступ к своей почте через сервер Exchange 2013, настроенный для проверки подлинности AD FS. Первоначальное подключение клиента к серверу Exchange 2013 будет использовать проверку подлинности AD FS. Тем не менее, выполненное через прокси-сервер подключение к серверу Exchange 2010 будет использовать Kerberos. Настройка сервера Exchange Server 2010 для прямой проверки подлинности AD FS не поддерживается.