了解联合身份验证
**适用于:**Exchange Server 2010
**上一次修改主题:**2010-01-26
信息工作人员经常需要与外部收件人(例如供应商、合作伙伴和客户)合作,并共享他们的可用性(忙/闲)信息、日历或联系人。使用 Microsoft Exchange Server 2010,可以方便地与外部收件人共享信息。通过**“联合身份验证”提供的基本信任基础结构,可以在 Exchange 组织和跨内部部署组织中方便安全地共享信息。
在 Exchange 2010 中,使用联合身份验证进行联合共享,从而方便地与外部联盟组织中的收件人共享可用性信息、日历和联系人。有关联合共享的详细信息,请参阅了解联合字符串。
若要了解与联合身份验证相关的管理任务,请参阅管理联合。
目录
Microsoft 联合身份验证网关
联合信任
联合组织标识符
联合身份验证证书要求
转换到新证书
Microsoft 联合身份验证网关
Exchange 2010 将 Microsoft 联合身份验证网关用作信任经纪人,Microsoft 联合身份验证网关是一种在云中(通过 Internet 并且在公司网络域外部)运行的身份识别服务。希望使用联合身份验证的 Exchange 组织可以与 Microsoft 联合身份验证网关建立联合身份验证信任,从而使 Microsoft 联合身份验证网关成为 Exchange 组织的联合身份验证合作伙伴。此信任允许 Microsoft 联合身份验证网关为通过 Active Directory(称为身份提供程序)身份验证的用户颁发安全声明标记语言 (SAML) 委派令牌。这种令牌可以让来自一个联合组织的用户受到其他联合组织的信任。有了 Microsoft 联合身份验证网关作为信任经纪人,组织便不需要单独建立多个与其他组织之间的信任关系。用户可以使用单一登录 (SSO) 方法访问外部资源。有关详细信息,请参阅 Microsoft 联合身份验证网关 (英文)。
.gif "联合身份验证信任和联合共享")
返回顶部
联合信任
若要使用 Exchange 2010 联合身份验证,必须通过与 Microsoft 联合身份验证网关交换组织的证书,并检索 Microsoft 联合身份验证网关证书和联合身份验证元数据,从而在 Exchange 2010 组织和 Microsoft 联合身份验证网关之间建立联合信任。可以在 Exchange 管理控制台 (EMC) 中使用“新建联合身份验证信任”向导,或在 Exchange 命令行管理程序中使用 New-FederationTrust cmdlet 建立联合身份验证信任。使用证书对令牌进行签名和加密。有关证书要求的详细信息,请参阅本主题后面的联合身份验证证书要求。
有关创建联合信任的详细信息,请参阅创建联合身份验证信任。
使用 Microsoft 联合身份验证网关创建联合信任时,将为您的 Exchange 组织生成一个应用程序标识符 (AppID),该标识符在新建联合信任向导或 New-FederationTrust cmdlet 的输出中提供。Microsoft 联合身份验证网关使用 AppID 来识别您的 Exchange 组织。Exchange 组织还会使用 AppID 提供对联合注册域的所有权证明。这通过在各个联合域的域名系统 (DNS) 区域中创建 TXT 资源记录来实现。
重要
若要联合接受域,必须将该域添加到联合组织标识符中。在向组织标识符中添加域之前,必须使用建立联合信任时为您组织创建的 AppID 创建 TXT 记录。对于要添加到组织标识符中作为联合域的每个接受域,都必须执行此步骤。
有关创建 DNS 资源记录的详细信息,请参阅为联盟创建 TXT 记录。
返回顶部
联合组织标识符
**“联盟组织标识符”定义对 Exchange 组织中配置的哪些权威接受域启用联合身份验证。只有具有电子邮件地址以及在组织标识符中配置的接受域的收件人,才会被 Microsoft 联合身份验证网关识别,才可使用联合共享等功能。配置组织标识符时,会通过 Microsoft 联合身份验证网关使用第一个添加到其中的接受域创建帐户命名空间。建议您将组织的主要域名,即用于为大多数用户生成电子邮件地址的域名,作为帐户命名空间。
可以随时添加或删除其他接受域,也可以根据需要更改用于帐户命名空间的域。可以通过禁用或启用组织标识符,一次性禁用或启用 Exchange 组织的所有联合身份验证功能。
有关配置联合组织标识符的详细信息,请参阅管理联合身份验证。
使用 Microsoft 联合身份验证网关创建联合信任后,应为所有要用于联合身份验证的接受域创建 TXT 记录。然后使用接受域配置组织标识符。
返回顶部
联合身份验证证书要求
要建立联合信任,必须购买 X.509 证书并在用于创建信任的 Exchange 2010 服务器上安装。该证书仅用于对委派令牌进行签名和加密。该证书必须满足以下要求:
- 受信任的证书颁发机构:该证书必须由受信任的证书颁发机构 (CA) 签名。有关受信任的 CA 的列表,请参阅联合身份验证信任的受信任根证书颁发机构。
- 主题密钥标识符:该证书必须具有主题密钥标识符字段。商业证书颁发机构颁发的大多数 X.509 证书都有主题密钥标识符。
- CryptoAPI 加密服务提供程序 (CSP):该证书必须使用 CryptoAPI CSP。使用下一代加密技术 (CNG) 提供程序的证书不支持联合身份验证。如果使用 Exchange 创建证书请求,则使用 CryptoAPI 提供程序。有关详细信息,请参阅加密技术 (英文)。
- RSA 签名算法:该证书必须使用 RSA 作为签名算法。
- 可导出私钥:用于生成该证书的私钥必须可导出。在 EMC 中使用“新建证书”向导或在命令行管理程序中使用 New-ExchangeCertificate cmdlet 创建证书请求时,可以指定证书的私钥可导出。
- 当前证书:该证书必须是当前证书。不能使用过期或已吊销的证书来创建联合信任。
- 增强密钥用法:证书必须包含增强密钥用法 (EKU) 类型的“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。此使用类型用于向远程计算机证明您的身份。如果使用 Exchange 工具生成证书请求,则此使用类型为默认包含项。
由于该证书不用于身份验证,因此它不包含任何主题名称或主题备用名称要求。可以使用主题名称与主机名、域名或任何其他名称相同的证书。联合信任只需要一个证书。Exchange 会自动将该证书分发到组织中的其他 Exchange 2010 服务器。
返回顶部
转换到新证书
用于创建联合信任的证书被指定为当前证书。您可能需要周期性地安装并使用新证书,例如,当前证书过期,或者需要更改证书以满足组织的业务或安全需要。为确保无缝切换到新证书,必须在 Exchange 2010 服务器上安装新证书,并配置联合信任以将其指定为下一个证书。Exchange 2010 会自动将下一个证书分发到组织中的其他 Exchange 2010 服务器。证书的分发可能需要一些时间,具体取决于您的 Active Directory 拓扑。可以在 EMC 中使用“管理联合身份验证”向导,或在命令行管理程序中使用 Test-FederationTrustCertificate cmdlet 验证证书状态。
验证证书的分发状态后,便可将信任配置为切换到下一个证书。切换后,当前证书被指定为上一个证书,而下一个证书则被指定为当前证书。新的当前证书会发布到 Microsoft 联合身份验证网关中,然后,与 Microsoft 联合身份验证网关交换的令牌也将使用新证书加密。转换过程如下图所示。
证书转换
.gif "切换到下一个证书")
有关如何转换到新证书的详细信息,请参阅管理联合身份验证。
备注
此转换机制只能由联合身份验证使用。如果将同一证书用于其他使用证书的 Exchange 2010 功能,则在计划购买、安装或转换到新证书时,必须考虑相应的功能要求。
返回顶部