Общие сведения о федерации
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2010-01-26
Сотрудникам, работающим с данными, часто необходимо взаимодействовать с внешними получателями, такими как поставщики, партнеры и клиенты, и обмениваться информацией о доступности (занятости), календарями и контактами. В системе Microsoft Exchange Server 2010 имеется возможность удобного обмена информацией с внешними получателями. Федерация обеспечивает базовую инфраструктуру доверия, которая позволяет выполнять удобный и безопасный обмен информацией среди организаций Exchange и организаций с несколькими филиалами.
В системе Exchange 2010 федерация используется для федеративного общего доступа, который обеспечивает удобный обмен сведениями о доступности, календарями и контактными сведениями с получателями во внешних федеративных организациях. Дополнительные сведения о федеративном общем доступе см. в разделе Общие сведения о федеративном общем доступе.
Необходимы сведения о задачах управления, связанных с федерацией? См. раздел Управление федерацией.
Содержание
Шлюз Microsoft Federation Gateway
Доверие федерации
Идентификатор федеративной организации
Требования к сертификатам для федерации
Переход на новый сертификат
Шлюз Microsoft Federation Gateway
В системе Exchange 2010 используется шлюз Microsoft Federation Gateway — служба идентификации, которая запускается в облаке (через Интернет и за пределами домена корпоративной сети) в качестве брокера доверия. В организациях Exchange, в которых необходимо использовать федерацию, устанавливается доверие федерации со шлюзом Microsoft Federation Gateway, что позволяет ему стать партнером по федерации для организации Exchange. Доверие позволяет пользователям, прошедшим проверку подлинности в службе каталогов Active Directory (поставщики удостоверений), получать маркеры делегирования SAML (Security Assertion Markup Language) с помощью шлюза Microsoft Federation Gateway. Эти маркеры дают пользователям из одной федеративной организации возможность получать доверие от другой такой организации. Когда шлюз Microsoft Federation Gateway выступает в качестве брокера доверия, для организаций нет необходимости устанавливать несколько отдельных доверительных отношений с другими организациями. Пользователи могут получать доступ к внешним ресурсам с помощью функции единого входа (SSO). Дополнительные сведения см. в разделе Microsoft Federation Gateway.
.gif "Доверие федерации и федеративный доступ")
В начало
Доверие федерации
Чтобы использовать федерацию Exchange 2010, необходимо установить доверие федерации между организацией Exchange 2010 и шлюзом Microsoft Federation Gateway путем обмена сертификатом организации со шлюзом Microsoft Federation Gateway и получения сертификата Microsoft Federation Gateway и метаданных федерации. Доверие федерации можно установить с помощью мастера создания доверия федерации в консоли управления Exchange (EMC) или командлете New-FederationTrust в командной консоли Exchange. Сертификат используется для подписания и шифрования маркеров. Дополнительные сведения о требованиях к сертификатам см. в подразделе Требования к сертификатам для федерации далее в этом разделе.
Сведения о создании доверия федерации см. в разделе Создание доверия федерации.
При создании доверия федерации с шлюзом Microsoft Federation Gateway создается идентификатор приложения (AppID) для организации Exchange, который приводится в выходных данных мастера создания доверия федерации или командлета New-FederationTrust. Идентификатор AppID используется шлюзом Microsoft Federation Gateway для идентификации организации Exchange. Он также используется организацией Exchange для подтверждения прав владельца зарегистрированных доменов, включаемых в федерацию. Это достигается путем создания записи ресурса TXT в зоне системы доменных имен DNS (Domain Name System) каждого федеративного домена.
Важно!
Чтобы включить в федерацию обслуживаемый домен, необходимо добавить домен к идентификатору федеративной организации. Прежде чем добавить домен к идентификатору организации, необходимо создать запись TXT с идентификатором AppID, созданным для организации при установлении доверия федерации. Это необходимо сделать для каждого обслуживаемого домена, который необходимо добавить к идентификатору организации в качестве федеративного домена.
Дополнительные сведения о создании записи ресурса DNS см. в разделе Создание TXT-записи для федерации.
В начало
Идентификатор федеративной организации
Идентификатор федеративной организации определяет, какой из уполномоченных обслуживаемых доменов, настроенных в организации Exchange, включен для федерации. Шлюзом Microsoft Federation Gateway распознаются только те получатели, которые имеют адреса электронной почты с обслуживаемыми доменами, настроенными в идентификаторе организации, и они могут использовать такие функции, как федеративный общий доступ. Когда настраивается идентификатор организации, создается пространство имен учетных записей с помощью шлюза Microsoft Federation Gateway, при этом используется первый обслуживаемый домен, добавленный к нему. В качестве пространства имен учетных записей рекомендуется использовать основное доменное имя организации, которое применяется для создания адресов для большинства пользователей.
Дополнительные обслуживаемые домены можно добавлять или удалять в любое время, а домен, используемый для пространства имен учетных записей, при необходимости можно изменять. Идентификатор организации можно отключать либо включать одним действием для отключения или включения всех функций федерации для организации Exchange.
Дополнительные сведения о настройке идентификатора федеративной организации см. в разделе Управление федерацией.
После создания доверия федерации с помощью шлюза Microsoft Federation Gateway создайте записи TXT для всех обслуживаемых доменов, которые необходимо использовать для федерации. Затем настройте идентификатор организации с помощью обслуживаемых доменов.
В начало
Требования к сертификатам для федерации
Чтобы установить доверие федерации, необходимо получить и установить сертификат X.509 на сервере Exchange 2010, использованном для создания доверия. Сертификат используется только для подписания и шифрования маркеров делегирования. Сертификат должен удовлетворять следующим требованиям:
- Доверенный центр сертификации Сертификат должен быть подписан доверенным центром сертификации (CA). Список доверенных центров сертификации см. в разделе Доверенные корневые центры сертификации для доверия федерации.
- Идентификатор ключа субъекта В сертификате должно быть поле идентификатора ключа субъекта. Большинство сертификатов X.509, выпускаемых коммерческими центрами сертификации, имеют идентификатор ключа субъекта.
- Поставщик служб шифрования CryptoAPI В сертификате должен использоваться поставщик CryptoAPI. Сертификаты, в которых используются поставщики криптографии следующего поколения CNG (Cryptography Next Generation), не поддерживаются для применения федерации. Если для создания запроса на сертификат применяется сервер Exchange, то используется поставщик CryptoAPI. Дополнительные сведения см. в разделе Криптография.
- Алгоритм подписи RSA В качестве алгоритма подписи в сертификате должен использоваться алгоритм RSA.
- Экспортируемый закрытый ключ Закрытый ключ, используемый для создания сертификата, должен быть экспортируемым. При создании запроса на сертификат с помощью мастера создания сертификатов в консоли управления Exchange или командлета New-ExchangeCertificate в командной консоли можно указать, что закрытый ключ сертификата должен быть экспортируемым.
- Текущий сертификат Сертификат должен быть действителен. Невозможно использовать истекший или аннулированный сертификат для создания доверия федерации.
- Расширенное использование ключа В сертификат должен быть включен тип расширенного использования ключа (EKU) Проверка подлинности клиента (1.3.6.1.5.5.7.3.2). Этот тип использования предназначен для подтверждения идентификатора на удаленном компьютере. Если для создания запроса на сертификат используются инструменты Exchange, то этот тип использования включается по умолчанию.
Так как данный сертификат не используется для проверки подлинности, то для него отсутствуют требования к имени субъекта или альтернативному имени субъекта. Можно использовать сертификат с именем субъекта, которое совпадает с именем узла, доменным или любым другим именем. Для доверия федерации необходим только один сертификат. В системе Exchange сертификат автоматически распространяется на другие серверы Exchange 2010 в организации.
В начало
Переход на новый сертификат
Сертификат, используемый для создания доверия федерации, обозначается в качестве текущего. Периодически может требоваться установка и использование нового сертификата, например когда истекает текущий сертификат или требуется изменить сертификат для выполнения требований организации к ведению бизнеса или обеспечения безопасности. Чтобы обеспечить плавное переключение на новый сертификат, необходимо установить его на сервер Exchange 2010 и настроить доверие федерации для обозначения этого сертификата в качестве следующего. Система Exchange 2010 автоматически распространяет следующий сертификат на другие серверы Exchange 2010 в организации. В зависимости от топологии Active Directory, распространение сертификата может занять некоторое время. Можно проверить состояние сертификата с помощью мастера управления федерацией в консоли управления Exchange или командлета Test-FederationTrustCertificate в командной консоли.
После проверки состояния распространения сертификата можно настроить доверие для переключения на следующий сертификат. Когда это произойдет, текущий сертификат будет обозначен как предыдущий, а следующий — как текущий. Новый текущий сертификат публикуется на шлюзе Microsoft Federation Gateway, а затем маркеры, которыми выполнен обмен со шлюзом Microsoft Federation Gateway, шифруются с помощью нового сертификата. Этот переход показан на следующем рисунке.
Переходы на сертификаты
.gif "Переключение на следующий сертификат")
Дополнительные сведения о переходе на новый сертификат см. в разделе Управление федерацией.
.gif "Dd335047.note(ru-ru,EXCHG.140).gif") Примечание. |
|---|
| Этот механизм перехода используется только в федерации. Если этот же сертификат используется в других компонентах Exchange 2010, применяющих сертификаты, необходимо учитывать требования этих компонентов при планировании получения и установки нового сертификата, а также перехода на новый сертификат. |
В начало