Présentation de la fédération
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les professionnels de l’information ont souvent besoin de collaborer avec des destinataires externes, des fournisseurs, des partenaires et des clients, et de partager leurs informations de disponibilité (également appelées disponibilité de calendrier) et de contact. La fédération dans Microsoft Exchange Server 2010 facilite ces efforts de collaboration. Le terme fédération désigne l’infrastructure d’approbation sous-jacente qui prend en charge la délégation fédérée, un moyen facile pour les utilisateurs de partager des informations de calendrier et de contact avec les destinataires d’autres organisations fédérées externes. Pour plus d’informations sur la délégation fédérée, consultez la rubrique Présentation de la délégation fédérée.
Souhaitez-vous rechercher les tâches de gestion relatives à la fédération ? Consultez la rubrique Gestion de la fédération.
Contenu de cette rubrique
Microsoft Federation Gateway
Approbation de fédération
Identificateur d’organisation fédérée
Exemple de fédération
Configuration requise pour les certificats en vue de la fédération
Transition vers un nouveau certificat
Microsoft Federation Gateway
Microsoft Federation Gateway, un service en nuage gratuit proposé par Microsoft, agit comme un courtier d’approbation entre votre organisation Exchange 2010 locale et d’autres organisations Exchange 2010 fédérées. Si vous souhaitez configurer la fédération dans votre organisation Exchange, vous devez établir une approbation de fédération unique avec Microsoft Federation Gateway, afin qu’elle puisse devenir partenaire de fédération de votre organisation. Une fois cette approbation en place, les utilisateurs authentifiés par Active Directory (appelés fournisseurs d’identité) obtiennent des jetons de délégation SAML (Security Assertion Markup Language) de Microsoft Federation Gateway. Ces jetons permettent aux utilisateurs d’une organisation fédérée d’être approuvés par une autre organisation fédérée. Lorsque Microsoft Federation Gateway intervient comme courtier d’approbation, les organisations ne sont pas tenues d’établir plusieurs relations d’approbation individuelles avec d’autres organisations, et les utilisateurs peuvent accéder à des ressources externes à l’aide de l’authentification unique. Pour plus d’informations, consultez la rubrique Présentation de Microsoft Federation Gateway.
Retour au début
Approbation de fédération
Pour utiliser les fonctionnalités de délégation fédérée Exchange 2010, vous devez établir une approbation de fédération entre votre organisation Exchange 2010 et Microsoft Federation Gateway. L’établissement d’une approbation de fédération avec Microsoft Federation Gateway permet d’échanger le certificat de sécurité numérique de votre organisation avec Microsoft Federation Gateway et de récupérer le certificat et les métadonnées de fédération de Microsoft Federation Gateway. Vous pouvez établir une approbation de fédération à l’aide de l’Assistant Nouvelle approbation de fédération dans la console de gestion Exchange ou de la cmdlet New-FederationTrust dans l’environnement de ligne de commande Exchange Management Shell. Un certificat auto-signé est automatiquement créé par l’Assistant Nouvelle approbation de fédération et utilisé pour la signature et le chiffrement des jetons de délégation qui permettent aux utilisateurs d’être approuvés par des organisations fédérées externes. Pour plus d’informations sur la configuration requise pour les certificats, consultez la section Configuration requise pour les certificats en vue de la fédération plus loin dans cette rubrique.
Pour plus d’informations sur la création d’une approbation de fédération, consultez la rubrique Créer une approbation de fédération.
Lorsque vous créez une approbation de fédération avec Microsoft Federation Gateway, un identificateur d’application est généré automatiquement pour votre organisation Exchange et indiqué dans la sortie de l’Assistant Nouvelle approbation de fédération ou la cmdlet New-FederationTrust. Cet identificateur est utilisé par Microsoft Federation Gateway pour identifier votre organisation Exchange de façon unique. Il est également utilisé par l’organisation Exchange pour prouver que votre organisation contrôle le domaine à utiliser avec Microsoft Federation Gateway. Cette opération est effectuée en créant un enregistrement de texte (TXT) dans la zone DNS (Domain Name System) pour chaque domaine fédéré.
Pour plus d’informations sur la création d’un enregistrement TXT, consultez la rubrique Créer un enregistrement TXT pour une fédération.
Retour au début
Identificateur d’organisation fédérée
L’identificateur d’organisation fédérée détermine, parmi les domaines acceptés faisant autorité configurés dans votre organisation, quels sont ceux qui sont activés pour la fédération. Seuls les destinataires ayant des adresses de messagerie avec des domaines acceptés configurés dans l’identificateur d’organisation fédérée sont reconnus par Microsoft Federation Gateway et peuvent utiliser des fonctionnalités de délégation fédérée. Lorsque vous créez une approbation de fédération, un identificateur d’application est créé automatiquement dans Microsoft Federation Gateway. Cet identificateur d’application est une combinaison d’une chaîne prédéfinie et du premier domaine accepté qui est sélectionné pour la fédération dans l’assistant. Par exemple, dans l’Assistant Gestion de la fédération, si vous spécifiez le domaine fédéré contoso.com comme domaine SMTP principal de votre organisation, l’espace de noms de compte FYDIBOHF25SPDLT.contoso.com sera créé automatiquement comme identificateur d’application pour l’approbation de fédération.
Ce sous-domaine n’est pas obligatoirement un domaine accepté dans votre organisation Exchange et ne requiert pas d’enregistrement TXT de preuve d’appartenance du DNS. La seule exigence est la limitation des domaines acceptés qui sont sélectionnés pour être fédérés à un nombre maximal de 32 caractères. De plus, si vous utilisez l’Assistant Gestion de la configuration hybride pour créer une approbation de fédération associée à la configuration d’un déploiement hybride entre votre organisation locale et une organisation Exchange Online, l’identificateur d’application de l’approbation fédérée est également configuré automatiquement avec l’espace de noms automatisé. Ce sous-domaine a pour seul objet de servir d’espace de nom fédéré pour Microsoft Federation Gateway afin de pouvoir gérer des identificateurs uniques pour des destinataires demandant des jetons de délégation SAML (Security Assertions Markup Language). Pour de plus amples informations sur les jetons SAML, consultez la rubrique Jetons SAML et revendications.
Vous pouvez à tout moment ajouter ou supprimer des domaines acceptés. Si vous souhaitez activer ou désactiver toutes les fonctionnalités de fédération dans votre organisation, il vous suffit d’activer ou de désactiver l’identificateur d’organisation fédérée.
Important : |
---|
Si vous modifiez l’identificateur d’organisation fédérée, les domaines acceptés ou l’identificateur d’application pour la fédération, toutes les fonctionnalités de fédération sont affectées dans votre organisation. Toutes les organisations fédérées externes, notamment Office 365 et les configurations de déploiement hybride sont également affectées. Nous vous recommandons d’informer tous vos partenaires fédérés externes de toutes les modifications apportées à ces paramètres de configuration. |
Pour plus d’informations sur la configuration de l’identificateur d’organisation fédérée, consultez les rubriques suivantes :
Retour au début
Exemple de fédération
Deux organisations Exchange, Contoso, Ltd. et Fabrikam, Inc., souhaitent donner à leurs utilisateurs la possibilité d’échanger leurs informations de disponibilité. Chaque organisation crée une approbation de fédération avec Microsoft Federation Gateway et configure son espace de noms de compte afin d’inclure le domaine utilisé pour le domaine d’adresse de messagerie de ses utilisateurs.
Les employés de Contoso utilisent l’un des domaines d’adresse de messagerie suivants : contoso.com, contoso.co.uk ou contoso.ca. Les employés de Fabrikam utilisent l’un des domaines d’adresse de messagerie suivants : fabrikam.com, fabrikam.org ou fabrikam.net. Les deux organisations s’assurent que tous les domaines de messagerie acceptés sont inclus dans l’espace de noms de compte pour leur approbation de fédération avec Microsoft Federation Gateway. Au lieu d’exiger une configuration d’approbation de forêt ou de domaine Active Directory complexe entre elles, les deux organisations configurent une relation d’organisation afin de permettre le partage des disponibilités.
La figure suivante illustre la configuration de la fédération entre Contoso, Ltd. et Fabrikam, Inc.
Exemple de délégation fédérée
Configuration requise pour les certificats en vue de la fédération
Pour établir une approbation de fédération avec Microsoft Federation Gateway, un certificat auto-signé ou un certificat X.509 signé par une Autorité de certification doit être créé et installé sur le serveur Exchange 2010 utilisé pour créer l’approbation. Il est recommandé d’utiliser un certificat auto-signé, que vous pouvez créer et installer automatiquement à l’aide de l’Assistant Nouvelle approbation de fédération dans la console de gestion Exchange (EMC). Ce certificat est uniquement utilisé pour signer et chiffrer les jetons de délégation utilisés pour la délégation fédérée. Un seul certificat est nécessaire pour l’approbation de la fédération. Exchange 2010 distribue automatiquement le certificat à d’autres serveurs Exchange 2010 de l’organisation.
Si vous souhaitez utiliser un certificat X.509 signé par une Autorité de certification externe, il doit réunir les conditions suivantes :
Trusted CA Si possible, le certificat SSL (Secure Sockets Layer) X.509 doit être émis par une Autorité de certification approuvée par Windows Live. Cependant, vous pouvez utiliser les certificats utilisés par des autorités de certification qui ne sont pas actuellement certifiées par Microsoft. Pour obtenir une liste actualisée des autorités de certification approuvées, voir Autorités de certification racine de confiance pour les approbations de fédération.
Identificateur de clé de l’objet Le certificat doit posséder un champ d’identificateur de clé de l’objet. La plupart des certificats X.509 émis par des autorités de certification commerciales comportent cet identificateur.
Fournisseur de services de chiffrement CryptoAPI Le certificat doit utiliser un fournisseur de services de chiffrement CryptoAPI. Certificats utilisant un API de cryptographie : les fournisseurs CNG (Cryptography Next Generation) ne sont pas pris en charge pour la fédération. Si vous vous servez d’Exchange pour créer une demande de certificat, un fournisseur CryptoAPI est utilisé. Pour de plus amples informations, consultez la page API Cryptography : Next Generation.
Algorithme de signature RSA Le certificat doit utiliser RSA comme algorithme de signature.
Clé privée exportable La clé privée utilisée pour générer le certificat doit être exportable. Vous pouvez demander à ce que la clé privée soit exportable lors de la création de la demande de certificat à l’aide de l’Assistant Nouveau certificat Exchange de la console de gestion Exchange ou de la cmdlet New-ExchangeCertificate de l’environnement de ligne de commande Exchange Management Shell.
Certificat actuel Le certificat doit être en cours. Vous ne pouvez pas utiliser de certificat expiré ou révoqué pour créer une approbation de fédération.
Utilisation améliorée de la clé Le certificat doit inclure le type d’utilisation améliorée de la clé (EKU) Authentification du client (1.3.6.1.5.5.7.3.2). Ce type d’utilisation permet de prouver votre identité sur un ordinateur distant. Si vous utilisez la console de gestion Exchange ou l’environnement de ligne de commande Exchange Management Shell pour générer une demande de certificat, ce type d’utilisation est inclus par défaut.
Remarque : |
---|
Étant donné que le certificat n’est pas utilisé pour l’authentification, il n’y a aucune exigence en matière de nom d’objet ou d’autre nom d’objet. Vous pouvez utiliser un certificat dont le nom d’objet est identique au nom d’hôte, au nom de domaine ou à tout autre nom. |
Retour au début
Transition vers un nouveau certificat
Le certificat utilisé pour créer l’approbation de fédération est désigné comme certificat actuel. Cependant, vous devrez peut-être installer et utiliser régulièrement un nouveau certificat pour l’approbation de fédération. Par exemple, vous devrez éventuellement utiliser un nouveau certificat si le certificat actuel expire ou pour répondre à un nouveau besoin de l’entreprise ou à un impératif de sécurité. Pour assurer une transition transparente vers un nouveau certificat, vous devez installer le nouveau certificat sur votre serveur Exchange 2010 et configurer l’approbation de fédération pour le désigner comme certificat suivant. Exchange 2010 distribue automatiquement le certificat suivant à d’autres serveurs Exchange 2010 de l’organisation. Selon votre topologie Active Directory, la distribution du certificat peut prendre un certain temps. Vous pouvez vérifier l’état du certificat via l’Assistant Gestion de fédération dans la console de gestion Exchange ou la cmdlet Test-FederationTrustCertificate de l’environnement de ligne de commande Exchange Management Shell.
Une fois l’état de distribution du certificat vérifié, vous pouvez configurer l’approbation afin qu’elle utilise le certificat suivant. Après avoir changé de certificat, le certificat actuel est désigné comme certificat précédent, et le certificat suivant comme certificat actuel. Le nouveau certificat est publié sur Microsoft Federation Gateway et tous les nouveaux jetons échangés avec Microsoft Federation Gateway sont chiffrés à l’aide du nouveau certificat. La figure suivante explique comment utiliser l’Assistant Gestion de la fédération pour configurer cette transition.
Transitions de certificat
Pour plus d’informations sur la transition vers un nouveau certificat, consultez la rubrique Gérer la fédération.
Remarque : |
---|
Ce processus de transition de certificat est uniquement utilisé par la fédération. Si vous utilisez le même certificat pour d’autres fonctions d’Exchange 2010 exigeant des certificats, vous devez prendre en compte les fonctionnalités requises lorsque vous envisagez d’obtenir, d’installer ou d’adopter un nouveau certificat. |
Retour au début
© 2010 Microsoft Corporation. Tous droits réservés.