管理联合身份验证
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-08-27
使用管理联合身份验证向导管理用于联合身份验证信任的证书、刷新 Microsoft 联合身份验证网关证书和元数据、添加或更改联合身份验证的组织联系人以及禁用或启用 Exchange 组织的联合身份验证。除了 EMC 中的该向导外,您还可以使用 Exchange 命令行管理程序管理联合身份验证信任。
在使用管理联合身份验证向导或相应的 cmdlet 修改联合身份验证信任、联合身份验证组织标识符或联盟域之前,我们建议您了解联合身份验证的工作原理和修改联合身份验证配置的影响。有关详细信息,请参阅了解联合身份验证。
希望执行何种操作?
- 使用 EMC 管理联合
- 使用命令行管理程序管理联合身份验证
使用 EMC 管理联合
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 Exchange 和命令行管理程序基础结构权限 主题中的“联合身份验证信任”条目。
备注
管理联合身份验证向导是管理联合身份验证信任和与其关联的联合身份验证组织标识符的综合方法。该向导包括多个任务。
- 在控制台树中,导航到“组织配置”。
- 在结果窗格中,单击“联合身份验证信任”****选项卡,然后选择要管理的“联合身份验证信任”。默认情况下,将信任命名为 Microsoft 联合身份验证网关。
- 在操作窗格中,单击“管理联合”****。
- 在“管理联合身份验证证书”上,您可以执行下列操作:
**属性 ** 从“属性名称”列中选择当前、下一个或上一个证书,然后单击“属性”****查看该证书的属性。
编辑 从“属性名称”列中选择“下一个证书”****,然后单击“编辑”选择另一个证书作为下一个证书。
回滚证书将下一个证书标记为当前证书 选中此复选框将联合身份验证信任配置为使用下一个证书作为当前证书。
重要
配置联合身份验证信任使用下一个证书之前,您必须确保已在所有 Exchange 2010 服务器上安装该证书。要检查证书状态,单击“显示分发状态”。证书的分发状态将显示在“分发状态”列中。扩展列宽可显示该列中的所有文本。
- 联系 Microsoft 联合身份验证网关获取其证书和联合身份验证元数据 默认情况下,此复选框已选中。使用此选项时,Exchange 将从 Microsoft 联合身份验证网关检索证书和联合身份验证元数据。如果您不想执行此刷新,请清除此复选框。
- 在“管理联盟域”页面上,您可以执行下列操作:
- 添加某个域作为联盟域 要添加某个域作为联盟域,请单击“添加”。“选择接受域”****对话框将显示 Exchange 2010 组织中的所有接受域。
- 删除联盟域 要删除联盟域,请从“域”列中选择该域,然后单击
.gif "删除图标")
。 - 修改或添加组织联系人 输入联合身份验证的指定组织联系人的电子邮件地址。
- 禁用或启用联合身份验证 清除“启用联合身份验证”复选框可禁用 Exchange 组织的联合身份验证。
- 在“管理联合身份验证”****页上,查看“配置摘要”,然后单击“管理”****执行更改。
- 在“完成”页上,检查下列内容,然后单击“完成”****关闭向导:
- “已完成”状态表示向导已成功完成任务。
- “失败”****状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。
使用命令行管理程序管理联合身份验证
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅 Exchange 和命令行管理程序基础结构权限 主题中的“联合身份验证信任”条目。
您可以使用命令行管理程序执行与联合身份验证有关的许多任务:
查看联合身份验证证书
检查联合身份验证证书状态
配置联合身份验证信任以使用某证书作为下一个证书
配置联合信任,以将下一个证书用作当前证书
刷新 Microsoft 联合身份验证网关中的联合身份验证元数据和证书
查看联合域
添加某个域作为联盟域
删除联盟域
为 Exchange 组织启用联合身份验证
为 Exchange 组织禁用联合身份验证
查看联合身份验证证书
此示例显示联合身份验证信任 MyFederationTrust 使用的上一个、当前和下一个证书。
Get-FederationTrust -Identity MyFederationTrust | Select Org*certificate
有关详细的参数和语法信息,请参阅 Get-FederationTrust。
检查联合身份验证证书状态
此示例显示组织中每个 Exchange 2010 服务器上联合身份验证证书的状态。
Test-FederationTrustCertificate
有关详细的参数和语法信息,请参阅 Test-FederationTrustCertificate。
配置联合身份验证信任以使用某证书作为下一个证书
本示例将配置联合信任 MyFederationTrust,以将具有指纹的证书用作下一个证书。在 Exchange 组织中的所有集线器传输服务器和客户端访问服务器上部署证书后,可以使用 PublishCertificate 开关配置信任,以便使用此证书作为当前证书。
Set-FederationTrust -Identity MyFederationTrust -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
有关详细的参数和语法信息,请参阅 Set-FederationTrust。
配置联合信任,以将下一个证书用作当前证书
此示例配置联合身份验证信任 MyFederationTrust 使用下一个证书作为当前证书并将其发布到 Microsoft 联合身份验证网关。
Set-FederationTrust "MyFederationTrust" -PublishFederationCertificate
警告
在配置联合身份验证信任使用下一个证书作为当前证书之前,确保已在所有集线器传输服务器和客户端访问服务器上部署该证书。使用 Test-FederationCertificate cmdlet 或管理联合向导可检查此证书的部署状态。
有关详细的参数和语法信息,请参阅 Set-FederationTrust。
刷新 Microsoft 联合身份验证网关中的联合身份验证元数据和证书
此示例将刷新联合身份验证信任 MyFederationTrust 的 Microsoft 联合身份验证网关的联合身份验证元数据和证书。
Set-FederationTrust MyFederationTrust -RefreshMetadata
有关详细的参数和语法信息,请参阅 Set-FederationTrust。
查看联合域
此示例将显示联合身份验证组织标识符的所有联盟域。
Get-FederatedOrganizationIdentifier
有关详细的参数和语法信息,请参阅 Get-FederatedOrganizationIdentifier。
添加某个域作为联盟域
此命令将添加域 contoso.co.uk 作为联盟域。此域必须作为接受域存在于 Exchange Server 组织中。
Add-FederatedDomain contoso.co.uk
有关详细的参数和语法信息,请参阅 Add-FederatedDomain。
删除联盟域
此命令将域 contoso.co.uk 作为联盟域删除。
Remove-FederatedDomain contoso.co.uk
有关详细的参数和语法信息,请参阅 Remove-FederatedDomain。
为 Exchange 组织启用联合身份验证
此命令可对 Exchange 组织启用联合。
Set-FederatedOrganizationIdentifier -Enabled $true
有关详细的参数和语法信息,请参阅 Set-FederatedOrganizationIdentifier。
为 Exchange 组织禁用联合身份验证
此命令可对 Exchange 组织禁用联合。
Set-FederatedOrganizationIdentifier -Enabled $false
有关详细的参数和语法信息,请参阅 Set-FederatedOrganizationIdentifier。