将基于 AD FS 声明的身份验证与 Outlook 网页版
在 Exchange Server 组织中安装和配置Active Directory 联合身份验证服务 (AD FS) 允许客户端使用基于 AD FS 声明的身份验证连接到以前称为 Outlook Web App) 的Outlook 网页版 (, (EAC) 的 Exchange 管理中心。 基于声明的标识是另一种身份验证方法,该方法从应用程序中删除身份验证管理,通过集中身份验证可以更轻松地管理帐户。 启用基于声明的身份验证后,Outlook 网页版和 EAC 不负责对用户进行身份验证、存储用户帐户和密码、查找用户标识详细信息或与其他标识系统集成。 集中身份验证有助于更轻松地在将来升级身份验证方法。
基于 AD FS 声明的身份验证取代了可用于 Outlook 网页版 和 EAC 的传统身份验证方法。 例如:
- Active Directory 客户端证书身份验证
- 基本身份验证
- 摘要式身份验证
- 窗体身份验证
- Windows 身份验证
为 Exchange Server 中的 Outlook 网页版 和 EAC 设置基于 AD FS 声明的身份验证涉及以下附加服务器:
Windows Server 2012 或更高版本的域控制器 (Active Directory 域服务 服务器角色) 。
Windows Server 2012 或更高版本的 AD FS 服务器 (Active Directory 联合身份验证服务 服务器角色) 。 Windows Server 2012 使用 AD FS 2.1,Windows Server 2012 R2 使用 AD FS 3.0。 你需要是域管理员、企业管理员或本地管理员安全组的成员才能安装 AD FS,并在 AD FS 服务器上创建所需的信赖方信任和声明规则。
(可选)Windows Server 2012 R2 或更高版本的 Web 应用程序代理 服务器 (远程访问服务器角色、Web 应用程序代理 角色服务) 。
Web 应用程序代理是适用于企业网络内的 Web 应用程序的反向代理服务器。 Web 应用程序代理允许许多设备上的用户从企业网络外部访问已发布的 Web 应用程序。 有关详细信息,请参阅安装和配置用于发布内部应用程序的 Web 应用程序代理。
尽管当外部客户端可以访问 AD FS 时,通常建议使用 Web 应用程序代理,但在通过 Web 应用程序代理 使用 AD FS 身份验证时,不支持Outlook 网页版中的脱机访问。
在 Windows Server 2012 R2 服务器上安装 Web 应用程序代理需要本地管理员权限。
在配置 Web 应用程序代理 服务器之前,需要部署和配置 AD FS 服务器,并且无法在安装了 AD FS 的同一台服务器上安装 Web 应用程序代理。
开始前,有必要了解什么?
估计完成此过程的时间:45 分钟。
本主题中的过程基于 Windows Server 2012 R2。
适用于设备的 Outlook 网页版 不支持 AD FS 基于声明的身份验证。
对于 Exchange 组织中的过程,需要具有组织管理权限。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server、Exchange Online 或 Exchange Online Protection。
步骤 1:查看 AD FS 的证书要求
AD FS 需要两种基本类型的证书:
服务通信安全套接字层 (SSL) 证书,用于 AD FS 服务器、客户端、Exchange 服务器和可选的 Web 应用程序代理 服务器之间的加密 Web 服务流量。 建议使用内部或商业证书颁发机构颁发的证书 (CA) ,因为所有客户端都需要信任此证书。
用于 AD FS 服务器、Active Directory 域控制器和 Exchange 服务器之间的加密通信和身份验证的令牌签名证书。 建议使用默认的自签名 AD FS 令牌签名证书。
有关在 Windows 中创建和导入 SSL 证书的详细信息,请参阅 服务器证书。
下面是我们将在此方案中使用的证书的摘要:
| 证书 (使用者、使用者可选名称或通配符证书匹配) 中的公用名 (CN) | 类型 | 在服务器上是必需的 | Comments |
|---|---|---|---|
adfs.contoso.com |
由 CA 颁发 | AD FS 服务器 Web 应用程序代理 服务器 |
这是客户端可见的主机名,因此客户端需要信任此证书的颁发者。 |
ADFS Signing - adfs.contoso.com |
自签名 | AD FS 服务器 Exchange 服务器 Web 应用程序代理 服务器 |
在配置可选 Web 应用程序代理 服务器期间,会自动复制默认自签名证书,但你需要将其手动导入组织中所有 Exchange 服务器上的受信任的根证书存储中。 默认情况下,自签名令牌签名证书的有效期为一年。 AD FS 服务器配置为在自签名证书过期之前自动续订 (替换) 证书,但你需要在 Exchange 服务器上重新导入证书。 可以通过在 AD FS 服务器上的 Windows PowerShell 中运行以下命令来增加默认证书过期期: 若要从 AD FS 管理控制台导出证书,请选择“ 服务>证书> ”,右键单击令牌签名证书 > ,选择“ 查看证书> ”,单击“ 详细信息 ”选项卡 > ,单击“ 复制到文件”。 |
mail.contoso.com |
由 CA 颁发 | Exchange 服务器 Web 应用程序代理 服务器 |
这是用于加密外部客户端连接的典型证书,Outlook 网页版 (可能) 其他 Exchange IIS 服务。 有关详细信息,请参阅 Exchange 服务的证书要求。 |
有关详细信息,请参阅 AD FS 要求中的“证书要求”部分。
注意
安全套接字层 (SSL) 将由传输层安全性 (TLS) 替代作为用于加密计算机系统之间发送的数据的协议。 它们是如此密切相关,以至于术语"SSL"和"TLS"(不带版本)经常互换使用。 由于此相似性,Exchange 主题、Exchange 管理中心 和 Exchange 命令行管理程序 中对"SSL"的引用通常用来同时涵盖 SSL 和 TLS 协议。 通常,"SSL"仅在提供版本的情况下指的是实际的 SSL 协议(例如,SSL 3.0)。 若要找出您应禁用 SSL 协议并切换到 TLS 的原因,请查看防御 SSL 3.0 漏洞。
步骤 2:部署 AD FS 服务器
可以使用 服务器管理器 或 Windows PowerShell 在目标服务器上安装 Active Directory 联合身份验证服务 角色服务。
若要使用 服务器管理器 安装 AD FS,请执行以下步骤:
在目标服务器上,打开服务器管理器,单击“管理”,然后选择“添加角色和功能”。
此时会打开 “添加角色和功能”向导 。 你将从 “开始前” 页开始,除非之前默认选择了“ 跳过此页面”。 单击下一个。
在 “选择安装类型” 页上,验证是否选择了 “基于角色或基于功能的安装 ”,然后单击“ 下一步”。
在 “选择目标服务器” 页上,验证服务器选择,然后单击“ 下一步”。
在“选择服务器角色”页上,从列表中选择“Active Directory 联合身份验证服务”,然后单击“下一步”。
在 “选择功能” 页上,单击“ 下一步 ” (接受默认功能选择) 。
在“Active Directory 联合身份验证服务 (AD FS) ”页上,单击“下一步”。
仅限 Windows Server 2012:在 “选择角色服务 ”页上,单击“ 下一步 ” (接受默认的角色服务选择) 。
在 “确认安装选择 ”页上,单击“ 安装”。
在“安装进度”页上,可以watch进度栏来验证安装是否成功。 安装完成后,使向导保持打开状态,以便在步骤 3b: 配置 AD FS 服务器中单击“配置此服务器上的联合身份验证服务”。
若要使用 Windows PowerShell 安装 AD FS,请运行以下命令:
Install-WindowsFeature ADFS-Federation -IncludeManagementTools
步骤 3:配置并测试 AD FS 服务器
还可以参考此清单来帮助配置 AD FS: 清单:设置联合服务器。
步骤 3a:在域控制器上创建 gMSA
在配置 AD FS 服务器之前,需要在 Windows Server 2012 或更高版本域控制器上创建一个组托管服务帐户 (gMSA) 。 在域控制器上提升的Windows PowerShell窗口中执行此操作, (打开Windows PowerShell窗口,方法是选择“以管理员身份运行”) 。
运行以下命令:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)如果命令成功,则返回 GUID 值。 例如:
Guid
----
2570034b-ab50-461d-eb80-04e73ecf142b若要为 AD FS 服务器创建新的 gMSA 帐户,请使用以下语法:
New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>此示例为名为 adfs.contoso.com 的联合身份验证服务创建名为 FSgMSA 的新 gMSA 帐户。 联合身份验证服务名称是客户端可见的值。
New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
步骤 3b:配置 AD FS 服务器
若要配置 AD FS 服务器,可以使用 服务器管理器 或 Windows PowerShell。
若要使用服务器管理器,请执行以下步骤:
如果在“步骤 2:部署 AD FS 服务器”中将“添加角色和功能向导”保持打开状态,则可以单击“安装进度”页上的“在此服务器上配置联合身份验证服务”链接。
如果关闭了“添加角色和功能向导”,或者使用了Windows PowerShell来安装 AD FS,则可以通过单击“通知”,然后在“部署后配置”警告中单击“在此服务器上配置联合身份验证服务”,转到服务器管理器中的同一位置。
此时会打开“Active Directory 联合身份验证服务向导”。 在 “欢迎 ”页上,验证已选中“ 在联合服务器场中创建第一个联合服务器 ”,然后单击“ 下一步”。
在“连接到Active Directory 联合身份验证服务”页上,选择 AD FS 服务器所在的域中的域管理员帐户, (默认选择当前凭据) 。 If you need to select a different user, click Change. 完成后,单击“下一步”。
在 “指定服务属性” 页上,配置以下设置:
SSL 证书:导入或选择包含你在 步骤 3a:在域控制器上创建 gMSA (例如
adfs.contoso.com) 中配置的联合身份验证服务名称的 SSL 证书。 导入服务器上尚未安装的证书时,需要导入一个 .pfx 文件, (一个受密码保护的文件,其中包含证书的私钥) 。 此处显示了证书的“使用者”字段中 (CN) 值的公用名。联合身份验证服务名称:根据选择或导入的 SSL 证书类型自动填充此字段:
单使用者证书:将显示证书的“使用者”字段的 CN 值,无法 (
adfs.contoso.com) 。SAN 证书:如果证书包含所需的联合身份验证服务名称,则会 (显示该值,
adfs.contoso.com例如,) 。 可以使用下拉列表查看证书中的其他 CN 值。通配符证书:证书的“使用者”字段的 CN 值 (显示,
*.contoso.com例如,) ,但需要将其更改为所需的联合身份验证服务名称 (例如adfs.contoso.com,) 。
注意:如果选择的证书不包含所需的联合身份验证服务名称 (“ 联合身份验证服务名称” 字段不包含) 所需的值,则会收到以下错误:
The federation service name does not match any of the subject names found in the certificate.联合身份验证服务显示名称:输入组织的名称。 例如,Contoso, Ltd.。
完成后,单击“下一步”。
在 “指定服务帐户” 页上,配置以下设置:
选择“ 使用现有域用户帐户或组托管服务帐户”。
帐户名称:单击“ 选择 ”并输入在 步骤 3a:在域控制器上创建 gMSA (
FSgMSA) 中创建的 gMSA 帐户。 请注意,选择它后,将显示的值 (<Domain>\<gMSAAccountName>$例如CONTOSO\FSgMSA$,) 。
完成后,单击“下一步”。
在 “指定配置数据库 ”页上,验证是否选择了 “使用 Windows 内部数据库在此服务器上创建数据库 ”,然后单击“ 下一步”。
在 “查看选项” 页上,验证你的选择。 可以单击“查看脚本”按钮,复制Windows PowerShell等效于你所做的选择供将来使用。 完成后,单击“下一步”。
在“ 先决条件检查 ”页上,验证所有先决条件检查是否已成功完成,然后单击“ 配置”。
在“ 结果 ”页上,查看结果,验证配置是否已成功完成。 若要了解后续步骤 (例如配置 DNS) ,可以单击 完成联合身份验证服务部署所需的 后续步骤。 完成后,单击“关闭”。
若要使用Windows PowerShell配置 AD FS,请执行以下步骤:
在 AD FS 服务器上运行以下命令,查找包含
adfs.contoso.com的已安装证书的指纹值:Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint运行以下命令:
Import-Module ADFS使用以下语法:
Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>
此示例使用以下设置配置 AD FS:
adfs.contoso.com 证书指纹:
*.contoso.com具有指纹值的5AE82C737900B29C2BAC3AB6D8C44D249EE05609证书。联合身份验证服务名称:
adfs.contoso.com联合身份验证服务显示名称:
Contoso, Ltd.联合 gMSA SAM 帐户名称和域:例如,对于域中名为
FSgMSA的contoso.comgMSA 帐户,所需的值为contoso\FSgMSA$。
Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"
注意:
创建 gMSA 时,
$会自动将 追加到 Name 值,以创建 SamAccountName 值,这在此处是必需的。SamAccountName 中的 需要转义字符 (“”)
$。
有关详细信息和语法,请参阅 Install-AdfsFarm。
步骤 3c:测试 AD FS 服务器
配置 AD FS 后,可以通过在 Web 浏览器中成功打开联合元数据的 URL 来验证 AD FS 服务器上的安装。 URL 使用语法 https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml。 例如,https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml。
步骤 4:在 AD FS 中为Outlook 网页版和 EAC 创建信赖方信任和自定义声明规则
在 Exchange 服务器上,Outlook 网页版使用名为
owa的虚拟目录,EAC 使用名为 的ecp虚拟目录。在Outlook 网页版
/和 EAC URL 值中使用的尾随斜杠 () 是有意的。 AD FS 信赖方信任和 Exchange 受众 URI 必须相同,这一点很重要。 它们 必须具有 或 两者都必须省略 其 URL 中的尾随斜杠。 本节中的示例包含 owa 和 ecp URL 后 (和ecp/)owa/的尾部斜杠。例如,在具有多个使用单独命名空间 (的 Active Directory 站点的
na.contoso.com组织中,eu.contoso.com) ,需要为每个命名空间配置Outlook 网页版和 EAC 的信赖方信任。
步骤 4a:在 AD FS 中为Outlook 网页版和 EAC 创建信赖方信任
若要在 AD FS 服务器上创建信赖方信任,可以使用 AD FS 管理控制台或Windows PowerShell。
若要使用 AD FS 管理控制台创建信赖方信任,请执行以下步骤:
注意:需要执行这些步骤两次:一次用于Outlook 网页版,一次用于 EAC。 唯一的区别是在向导) (“指定显示名称 ”和 “配置 URL ”页的步骤 5 和 8 中输入的值。
In Server Manager, click Tools, and then select AD FS Management.
在 AD FS 管理控制台中,展开 “信任关系 ”,然后选择“ 信赖方信任”。 在 “操作 ”窗格中,选择“ 添加信赖方信任”。
此时会打开 “添加信赖方信任向导 ”。 On the Welcome page, click Start.
在 “选择数据源” 页上,选择“ 手动输入有关信赖方的数据”,然后单击“ 下一步”。
在 “指定显示名称” 页上,配置以下设置:
对于Outlook 网页版:
显示名称:键入Outlook 网页版。
备注:输入说明。 例如,这是 的 https://mail.contoso.com/owa/一个信任。
对于 EAC:
显示名称:键入 EAC。
备注:输入说明。 例如,这是 的 https://mail.contoso.com/ecp/一个信任。
完成后,单击“下一步”。
在 “选择配置文件” 页上,验证是否已选择 “AD FS 配置文件 ”,然后单击“ 下一步”。
在 “配置证书 ”页上,单击“ 下一步 ” (不指定可选的令牌加密证书) 。
在 “配置 URL ”页上,选择“ 启用对 WS-Federation 被动协议的支持”,并在 “信赖方 WS-Federation 被动协议 URL”中输入以下信息:
Outlook 网页版:键入外部Outlook 网页版 URL (例如 https://mail.contoso.com/owa/ ,) 。
EAC:键入外部 EAC URL (例如 https://mail.contoso.com/ecp/ ,) 。
完成后,单击“下一步”。
在 “配置标识符 ”页上,单击“ 下一步 ” (信赖 方信任标识符) 中列出的 URL。
在 “立即配置多重身份验证?” 页上,验证 我不想在此时为此信赖方信任配置多重身份验证设置 ,然后单击“ 下一步”。
在 “选择颁发授权规则 ”页上,验证“ 允许所有用户访问此信赖方 ”处于选中状态,然后单击“ 下一步”。
On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.
在 “完成 ”页上,在向导关闭时,取消选中“ 打开此信赖方信任的编辑声明规则”对话框,然后单击“ 关闭”。
若要使用Windows PowerShell提示创建信赖方信任,请执行以下步骤:
在提升的Windows PowerShell窗口中,运行以下命令:
Import-Module ADFS使用以下语法:
Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL | EACURL> -WSFedEndpoint <OotwURL | EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
此示例使用以下值为Outlook 网页版创建信赖方信任:
- 名称:Outlook 网页版
- 注意:这是一个信任 https://mail.contoso.com/owa/
- 标识符: https://mail.contoso.com/owa/
- WSFedEndpoint: https://mail.contoso.com/owa/
Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
此示例使用以下值为 EAC 创建信赖方信任:
- 名称:EAC
- 注意:这是一个信任 https://mail.contoso.com/ecp/
- 标识符: https://mail.contoso.com/ecp/
- WSFedEndpoint: https://mail.contoso.com/ecp/
Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice
步骤 4b:在 AD FS 中为Outlook 网页版和 EAC 创建自定义声明规则
对于Outlook 网页版和 EAC,需要创建两个声明规则:
Active Directory 用户 SID
Active Directory UPN
若要在 AD FS 服务器上创建声明规则,可以使用 AD FS 管理控制台或Windows PowerShell。
若要使用 AD FS 管理控制台创建声明规则,请执行以下步骤:
注意:需要执行这些步骤两次:一次用于Outlook 网页版,一次用于 EAC。 唯一的区别是在第一步中选择的信赖方信任。 过程中的所有其他值都是相同的。
若要添加所需的声明规则,请执行以下操作:
在 AD FS 管理控制台中,展开“信任关系”,选择“信赖方信任”,然后选择Outlook 网页版或 EAC 信赖方信任。 在“ 操作 ”窗格中,选择“ 编辑声明规则”。
在打开的<“编辑 RuleName> 的声明规则”窗口中,验证是否已选中“颁发转换规则”选项卡,然后单击“添加规则”。
此时会打开 “添加转换声明规则向导 ”。 在 “选择规则模板” 页上,单击“ 声明规则模板 ”下拉列表,然后选择“ 使用自定义规则发送声明”。 完成后,单击“下一步”。
在 “配置规则 ”页上,输入以下信息:
声明规则名称:输入声明规则的描述性名称。 例如 ActiveDirectoryUserSID。
自定义规则:复制并粘贴以下文本:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
完成后,单击“ 完成”。
返回“编辑 RuleName> 的<声明规则”窗口,验证是否已选中“颁发转换规则”选项卡,然后单击“添加规则”。
此时会打开 “添加转换声明规则向导 ”。 在 “选择规则模板” 页上,单击“ 声明规则模板 ”下拉列表,然后选择“ 使用自定义规则发送声明”。 完成后,单击“下一步”。
在 “配置规则 ”页上,输入以下信息:
声明规则名称:输入声明规则的描述性名称。 例如 ActiveDirectoryUPN。
自定义规则:复制并粘贴以下文本:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
完成后,单击“ 完成”。
返回“编辑 RuleName> 的<声明规则”窗口,单击“确定”。
若要使用Windows PowerShell创建自定义声明规则,请执行以下步骤:
打开提升的Windows PowerShell窗口,并运行以下命令:
Import-Module ADFS使用以下语法:
Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
若要在名为 Outlook 网页版 的现有信赖方信任中创建自定义声明规则,请运行以下命令:
Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
若要在名为 EAC 的现有信赖方信任中创建自定义声明规则,请运行以下命令:
Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
步骤 5: (部署和配置 Windows Server 2012 R2 Web 应用程序代理服务器的可选)
仅当希望使用 Web 应用程序代理发布Outlook 网页版和 EAC 并且希望 Web 应用程序代理执行 AD FS 身份验证时,才需要执行本部分中的步骤。 请注意:
如果通过 Web 应用程序代理使用 AD FS 身份验证,则无法在 Outlook 网页版 中使用脱机访问。
无法在安装 AD FS 的同一服务器上安装 Web 应用程序代理。
如果不要使用 Web 应用程序代理,请跳到步骤 6。
步骤 5a:安装 Web 应用程序代理
若要使用 服务器管理器 安装 Web 应用程序代理,请执行以下步骤:
在目标服务器上,打开服务器管理器,单击“管理”,然后选择“添加角色和功能”。
此时会打开 “添加角色和功能”向导 。 你将从 “开始前” 页开始,除非之前默认选择了“ 跳过此页面”。 单击下一个。
在 “选择安装类型” 页上,验证是否选择了 “基于角色或基于功能的安装 ”,然后单击“ 下一步”。
在 “选择目标服务器” 页上,验证服务器选择,然后单击“ 下一步”。
在 “选择服务器角色” 页上,在角色列表中选择 “远程访问 ”,然后单击“ 下一步”。
在“ 功能 ”页上,单击“ 下一步 ” (接受默认功能选择) 。
On the Remote Access page, read the information, and then click Next.
在“选择角色服务”页上,选择“Web 应用程序代理”。 在打开的“添加功能”对话框中,单击“ 添加功能 ”以接受默认值并关闭对话框。 返回“ 选择角色服务” 页,单击“ 下一步”。
在 “确认安装选择 ”页上,单击“ 安装”。
在“安装进度”页上,watch进度栏,以验证安装是否成功。 安装完成后,使向导保持打开状态,以便在下一步 (5b) 中单击“打开 Web 应用程序代理向导”。
若要使用 Windows PowerShell 安装 Web 应用程序代理,请运行以下命令:
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
步骤 5b:配置 Web 应用程序代理 服务器
部署 Web 应用程序代理 服务器后,需要配置以下 Web 应用程序代理设置:
联合身份验证服务名称:例如
adfs.contoso.com。联合身份验证服务信任凭据:AD FS 服务器上的本地管理员帐户的用户名和密码。
AD FS 代理证书:安装在 Web 应用程序代理 服务器上的证书,该证书将服务器标识到客户端作为联合身份验证服务的代理,因此包含联合身份验证服务名称 (例如
adfs.contoso.com,) 。 此外,联合身份验证服务名称必须可供 Web 应用程序代理 服务器访问, (可在 DNS) 中解析。
可以使用服务器管理器或Windows PowerShell来配置 Web 应用程序代理 服务器。
若要使用服务器管理器配置 Web 应用程序代理,请执行以下步骤:
如果从上一步起,在 Web 应用程序代理 服务器上保持打开“添加角色和功能向导”,则可以单击“安装进度”页上的“打开 Web 应用程序代理向导”链接。
如果关闭了“添加角色和功能向导”或使用了Windows PowerShell来安装 Web 应用程序代理,则可以通过单击“通知”,然后单击“部署后配置”警告中的“打开 Web 应用程序代理向导”来访问同一位置。
此时会打开“Web 应用程序代理配置向导”。 在欢迎页面上,单击下一个。
在 “联合服务器 ”页上,输入以下信息:
联合身份验证服务名称:例如
adfs.contoso.com。用户名和密码:在 AD FS 服务器上键入本地管理员帐户的凭据。
完成后,单击“下一步”。
在 “AD FS 代理证书 ”页上,选择包含联合身份验证服务名称的已安装证书 (例如
adfs.contoso.com) 。 可以在下拉列表中选择一个证书,然后单击“ 查看>详细信息 ”以查看有关该证书的详细信息。 完成后,单击“下一步”。
在 “确认 ”页上,查看设置。 可以复制 Windows PowerShell 命令以自动执行其他安装 (特别是证书指纹值) 。 完成后,单击“ 配置”。
在“ 结果 ”页上,验证配置是否成功,然后单击“ 关闭”。
若要使用 Windows PowerShell 配置 Web 应用程序代理,请执行以下步骤:
在 Web 应用程序代理 服务器上运行以下命令,查找包含
adfs.contoso.com的已安装证书的指纹值:Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint运行以下命令,并在 AD FS 服务器上输入本地管理员帐户的用户名和密码。
$ADFSServerCred = Get-Credential使用以下语法:
Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>此示例使用以下设置配置 Web 应用程序代理 服务器:
联合身份验证服务名称:
adfs.contoso.comAD FS SSL 证书指纹:
*.contoso.com具有指纹值的5AE82C737900B29C2BAC3AB6D8C44D249EE05609证书。
Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
步骤 5c:在 Web 应用程序代理中发布Outlook 网页版和 EAC 的声明信赖方信任
若要在 Web 应用程序代理中发布信赖方信任,可以使用远程访问管理控制台或Windows PowerShell。
若要使用远程访问管理控制台,请执行以下步骤:
注意:需要执行这些步骤两次:一次用于Outlook 网页版,一次用于 EAC。 过程中介绍了所需的设置。
在 Web 应用程序代理 服务器上打开远程访问管理控制台:在服务器管理器中,单击“工具>远程访问管理”。
在远程访问管理控制台的“配置”下,单击“Web 应用程序代理”,然后在“任务”窗格中,单击“发布”。
此时会打开 “发布新应用程序向导 ”。 在欢迎页面上,单击下一个。
在“预身份验证”页上,验证是否选择了ACTIVE DIRECTORY 联合身份验证服务 (AD FS) ,然后单击“下一步”。
在“信赖方”页上,选择在“步骤 4:在 AD FS 中创建信赖方信任和自定义声明规则,以便Outlook 网页版和 EAC”在 AD FS 服务器上创建的信赖方:
对于Outlook 网页版:选择“Outlook 网页版”。
对于 EAC:选择“EAC”。
完成后,单击“下一步”。
在 “发布设置” 页上,输入以下信息:
对于Outlook 网页版
名称:例如
Outlook on the web。 此名称仅在远程访问管理控制台中可见。外部 URL:例如
https://mail.contoso.com/owa/。外部证书:选择一个已安装的证书,其中包含Outlook 网页版 (外部 URL 的主机名,
mail.contoso.com例如,) 。 可以在下拉列表中选择一个证书,然后单击“ 查看>详细信息 ”以查看有关该证书的详细信息。后端服务器 URL:此值由 外部 URL 自动填充。 仅当后端服务器 URL 与外部 URL 不同时,才需要更改它。 例如,
https://server01.contoso.com/owa/。 请注意,外部 URL 和后端服务器 URL 中的路径必须与 (/owa/) 匹配,但主机名值可以 (不同,例如,mail.contoso.com)server01.contoso.com。
对于 EAC
名称:例如
EAC。 此名称仅在远程访问管理控制台中可见。外部 URL:EAC 的外部 URL。 例如,https://mail.contoso.com/ecp/。
外部证书:选择一个已安装的证书,其中包含 EAC (的外部 URL 的主机名,
mail.contoso.com例如,) 。 证书可能是通配符证书或 SAN 证书。 可以在下拉列表中选择一个证书,然后单击“ 查看>详细信息 ”以查看有关该证书的详细信息。后端服务器 URL:此值由 外部 URL 自动填充。 仅当后端服务器 URL 与外部 URL 不同时,才需要更改它。 例如,
https://server01.contoso.com/ecp/。 请注意,外部 URL 和后端服务器 URL 中的路径必须与 (/ecp/) 匹配,但主机名值可以 (不同,例如,mail.contoso.com)server01.contoso.com。
完成后,单击“下一步”。
在 “确认 ”页上,查看设置。 可以复制 Windows PowerShell 命令以自动执行其他安装 (特别是证书指纹值) 。 完成后,单击“ 发布”。
在“ 结果 ”页上,验证应用程序是否成功发布,然后单击“ 关闭”。
若要使用Windows PowerShell发布信赖方信任,请执行以下步骤:
在 Web 应用程序代理 服务器上运行以下命令,查找已安装证书的指纹,该指纹包含Outlook 网页版的主机名和 EAC URL (例如
mail.contoso.com,) :Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint使用以下语法:
Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>此示例使用以下设置在 Web 应用程序代理 中发布Outlook 网页版:
- AD FS 信赖方:Outlook 网页版
- 名称:Outlook 网页版
- 外部 URL: https://mail.contoso.com/owa/
- 外部证书指纹:
*.contoso.com具有指纹值的5AE82C737900B29C2BAC3AB6D8C44D249EE05609证书。 - 后端服务器 URL: https://mail.contoso.com/owa/
Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/此示例使用以下设置在 Web 应用程序代理中发布 EAC:
- 名称:EAC
- 外部 URL: https://external.contoso.com/ecp/
- 外部证书指纹:
*.contoso.com具有指纹值的5AE82C737900B29C2BAC3AB6D8C44D249EE05609证书。 - 后端服务器 URL: https://mail.contoso.com/ecp/
Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
注意:要通过 Web 应用程序代理发布的所有 AD FS 终结点都需要启用代理。 在服务>终结点的 AD FS 管理控制台中执行此操作 (验证指定的终结点) 是否已启用代理。
步骤 6:将 Exchange 组织配置为使用 AD FS 身份验证
若要将 Exchange 组织配置为使用 AD FS 身份验证,需要使用 Exchange 命令行管理程序。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell。
运行以下命令,查找导入的 AD FS 令牌签名证书的指纹值:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject查找主题值
CN=ADFS Signing - <FederationServiceName>(例如CN=ADFS Signing - adfs.contoso.com) 。可以通过运行 命令 ,然后运行
Get-AdfsCertificate -CertificateType Token-Signing命令Import-Module ADFS,在提升的 Windows PowerShell 窗口中的 AD FS 服务器上确认此指纹值。使用以下语法:
Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"此示例使用以下值:
AD FS URL:
https://adfs.contoso.com/adfs/ls/Outlook 网页版 URL:
https://mail.contoso.com/owa/EAC URL:
https://mail.contoso.com/ecp/AD FS 令牌签名证书指纹:
ADFS Signing - adfs.contoso.com具有指纹值的88970C64278A15D642934DC2961D9CCA5E28DA6B证书。
Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"注意:这些方案不支持 AdfsEncryptCertificateThumbprint 参数。
步骤 7:在Outlook 网页版和 EAC 虚拟目录上配置 AD FS 身份验证
对于Outlook 网页版和 EAC 虚拟目录,需要通过禁用所有其他身份验证方法,将 AD FS 身份验证配置为唯一可用的身份验证方法。
在配置Outlook 网页版虚拟目录之前,需要配置 EAC 虚拟目录。
你可能只想在客户端用来连接到 Outlook 网页版 和 EAC 的面向 Internet 的 Exchange 服务器上配置 AD FS 身份验证。
默认情况下,仅对 Outlook 网页版 和 EAC 虚拟目录启用“基本”和“窗体”身份验证。
若要使用 Exchange 命令行管理程序将 EAC 或Outlook 网页版虚拟目录配置为仅接受 AD FS 身份验证,请使用以下语法:
Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
此示例在名为 Mailbox01 的服务器的默认网站中配置 EAC 虚拟目录:
Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
此示例在名为 Mailbox01 的服务器上的默认站点中配置Outlook 网页版虚拟目录:
Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
注意:若要在组织中的每个 Exchange 服务器上配置所有 EAC 和Outlook 网页版虚拟目录,请运行以下命令:
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
步骤 8:在 Exchange 服务器上重启 IIS
打开 Exchange 服务器上的 IIS 管理器。 在 Windows Server 2012 或更高版本中执行此操作的简便方法是按 Windows 键 + Q,键入 inetmgr,并在结果中选择" Internet Information Services (IIS) 管理器"。
在 IIS 管理器中,选择服务器。
在 “操作 ”窗格中,单击“ 重启”。
注意:若要在命令行上执行此过程,请在 Exchange 服务器上打开提升的命令提示符, (打开命令提示符窗口,方法是选择“ 以管理员身份运行 ”) 并运行以下命令:
net stop w3svc /y
net start w3svc
如何知道操作成功?
若要测试Outlook 网页版的 AD FS 声明,请执行以下操作:
在 Web 浏览器中,打开Outlook 网页版 (例如 https://mail.contoso.com/owa) 。
如果在 Web 浏览器中收到证书错误,只需继续访问Outlook 网页版站点。 应重定向到 AD FS 登录页或 AD FS 提示输入凭据。
键入用户名 (域\user) 和密码,然后单击“ 登录”。
Outlook 网页版将在窗口中加载。
为 EAC 测试 AD FS 声明的步骤:
在 Web 浏览器中,打开 EAC (例如 https://mail.contoso.com/ecp ,) 。
如果在 Web 浏览器中收到证书错误,请继续访问 EAC 网站。 应重定向到 AD FS 登录页或 AD FS 提示输入凭据。
键入用户名 (域\user) 和密码,然后单击“ 登录”。
EAC 将在窗口中加载。
其他注意事项
多重身份验证
为基于声明的身份验证部署和配置 AD FS 允许Outlook 网页版和 EAC 支持多重身份验证,例如基于证书的身份验证、身份验证或安全令牌以及指纹身份验证。 多重身份验证需要以下三个身份验证因素中的两个:
只有用户知道 (,例如密码、PIN 或模式) 。
只有用户才有 (,例如 ATM 卡、安全令牌、智能卡或移动电话) 。
只有用户才能 (生物特征,例如指纹) 。
例如,发送到移动电话的密码和安全代码,或者 PIN 和指纹。
有关 Windows Server 2012 R2 中多重身份验证的详细信息,请参阅概述:使用适用于敏感应用程序的附加多重身份验证管理风险和操作实例:使用适用于敏感应用程序的附加多重身份验证管理风险。
在 AD FS 服务器上,联合身份验证服务充当安全令牌服务,并提供与声明一起使用的安全令牌。 联合身份验证服务根据提供的凭据颁发令牌。 在帐户存储验证用户的凭据之后,便会根据信任策略的规则生成用户声明,然后将其添加到颁发给客户端的安全令牌中。 有关声明的详细信息,请参阅了解声明。
与其他版本的 Exchange 共存
如果组织中部署了多个 Exchange 版本,则可以对 Outlook 网页版 和 EAC 使用 AD FS 身份验证。 仅当所有客户端都通过 Exchange 服务器进行连接, 并且 所有这些服务器都配置了 AD FS 身份验证时,才支持此方案。
在 Exchange 2016 组织中,在 Exchange 2010 服务器上具有邮箱的用户可以通过配置为进行 AD FS 身份验证的 Exchange 2016 服务器访问其邮箱。 与 Exchange 2016 服务器的初始客户端连接使用 AD FS 身份验证。 但是,与 Exchange 2010 的代理连接使用 Kerberos。 没有受支持的方法来配置 Exchange 2010 的直接 AD FS 身份验证。