Usar autenticação baseada em declarações do AD FS com o Outlook Web App e o EAC
Aplica-se a: Exchange Server 2013 SP1
Resumo:
Para implantações, instalações e configurações do Exchange 2013 Service Pack 1 (SP1) no local, os Serviços de Federação do Active Directory (AD FS) significam que você já pode usar a autenticação baseada em declarações do AD FS para conectar-se ao Outlook Web App e ao EAC. Você pode integrar o AD FS e a autenticação baseada em declarações ao Exchange 2013 SP1. A autenticação baseada em declarações substitui os métodos tradicionais de autenticação, incluindo:
- autenticação
- Autenticação de formulários
- Autenticação resumida
- Autenticação básica
- Autenticação de certificados de cliente
A autenticação é o processo de confirmação da identidade de um usuário. A autenticação valida que o usuário é quem ele afirma ser. A identidade baseada em declarações é uma outra abordagem de autenticação. A autenticação baseada em declarações remove o gerenciamento da autenticação do aplicativo (nesse caso, Outlook Web App e EA) para facilitar o gerenciamento de contas centralizando a autenticação. O Outlook Web App e o EAC não são responsáveis pela autenticação de usuários, nem pelo armazenamento de contas e senhas de usuários, pela pesquisa de detalhes de identidade de usuários ou pela integração com outros sistemas de identidade. A centralização da autenticação facilita a atualização para métodos de autenticação no futuro.
Observação
O OWA para dispositivos não é compatível com a autenticação baseada em declarações.
Há várias versões do AD FS que podem ser usadas, conforme resumido pela tabela a seguir.
| Versão do Windows Server | Instalação | Versão do AD FS |
|---|---|---|
| Windows Server 2008 R2 | Baixar e instalar O AD FS 2.0, que é um componente do Windows complementar. | AD FS 2.0 |
| Windows Server 2012 | Instale a função de servidor interna do AD FS. | AD FS 2.1 |
| Windows Server 2012 R2 | Instale a função de servidor interna do AD FS. | AD FS 3.0 |
As tarefas que serão realizadas aqui são baseadas em Windows Server 2012 R2 que inclui o serviço de função do AD FS.
Visão geral das etapas necessárias:
Etapa 1: analise os requisitos de certificado para o AD FS
Etapa 2: instalar e configurar os Serviços de Federação do Active Directory (AD FS)
Etapa 4 – Instalar o serviço de função Proxy de Aplicativo Web (opcional)
Etapa 5 – Configurar o serviço de função Proxy de Aplicativo Web (opcional)
Etapa 6 – Publicar Outlook Web App e EAC usando Proxy de Aplicativo Web (opcional)
Etapa 7 – Configurar o Exchange 2013 para usar a autenticação do AD FS
Etapa 8 – Habilitar a autenticação do AD FS nos diretórios virtuais OWA e ECP
Etapa 9 – Reiniciar ou reciclar Serviços de Informações da Internet (IIS)
Etapa 10 – Testar as declarações do AD FS para Outlook Web App e EAC
Additional information you might want to know
O que eu preciso saber antes de começar?
No mínimo, é preciso instalar servidores Windows Server 2012 R2 separados: um como controlador de domínio, que usa o AD DS (Serviços de Domínio do Active Directory), um servidor do Exchange 2013, um servidor Proxy de Aplicativo Web e um servidor AD FS (Serviços de Federação do Active Directory). Verifique se todas as atualizações estão instaladas.
Instale o AD DS em uma quantidade adequada de servidores do Windows Server 2012 R2 da organização. Você também pode usar Notificações no Gerenciador do Servidor>Dashboard para Promover esse servidor para um controlador de domínio.
Instale a quantidade adequada de servidores de Acesso para Cliente e de Caixa de Correio para sua organização. Verifique se todas as atualizações estão instaladas, incluindo o SP1, em todos os servidores do Exchange 2013 da sua organização. Para baixar o SP1, consulte Atualizações para o Exchange 2013.
Para implantar o Proxy de Aplicativo da Web em um servidor é necessário ter permissões de administrador local. Implante o AD FS em um servidor que executa o Windows Server 2012 R2 em sua organização antes de implantar o Proxy de Aplicativo da Web.
Instale e configure a função do AD FS e crie objetos de confiança de terceiros confiável e regras de declaração no Windows Server 2012 R2. Para fazer isso, é preciso entrar com uma conta de usuário que seja membro dos Administradores de Domínio, Administradores Corporativos e do grupo Administradores Locais.
Para determinar as permissões necessárias para o Exchange 2013, consulte Permissões de recurso.
É necessário receber permissões para gerenciar o Outlook Web App. Para ver quais permissões você precisa, consulte a entrada "Outlook Web App permissões" no tópico Permissões de clientes e dispositivos móveis.
É necessário receber permissões para gerenciar o EAC. Para ver quais permissões você precisa, consulte a entrada "Conectividade do centro de administração do Exchange" no tópico permissões de infraestrutura do Exchange e shell.
É provável que você só consiga usar o Shell para realizar alguns procedimentos. Para saber como abrir o Shell na organização local do Exchange, consulte Open the Shell.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Step 1 - Review the certificate requirements for AD FS
Os certificados desempenham um papel fundamental na proteção das comunicações entre os servidores do Exchange 2013 SP1, clientes da Web como o Outlook Web App e o EAC, servidores do Windows Server 2012 R2, incluindo os servidores de Serviços de Federação do Active Directory (AD FS) e os servidores Proxy de Aplicativo da Web. Os requisitos para certificados variam dependendo de você configurar um servidor do AD FS, Proxy do AD FS ou um servidor Proxy de Aplicativo da Web. Os certificados usados para serviços do AD FS, incluindo certificados SSL e de autenticação de token, devem ser importados para dentro do repositório de Autoridades de Certificação Confiáveis em todos os servidores do Exchange, AD FS e Proxy de Aplicativo da Web. A impressão digital importada para o certificado também é usada nos servidores do Exchange 2013 SP1 quando você usa o cmdlet Set-OrganizationConfig.
Em todos os designs do AD FS, vários certificados devem ser usados para proteger a comunicação entre os usuários na Internet e em servidores do AD FS. Cada servidor de federação deve ter um certificado de comunicação do serviço ou um certificado SSL e um certificado de autenticação de token antes que os servidores do AD FS, controladores de domínio do Active Directory e servidores do Exchange 2013 possam se comunicar e autenticar. Dependendo dos seus requisitos de segurança e de orçamento, analise cuidadosamente quais certificados serão obtidos por uma autoridade de certificação pública ou uma autoridade de certificação corporativa. Se quiser instalar e configurar uma Autoridade de Certificação Raiz Corporativa ou Subordinada, use os Serviços de Certificados do Active Directory (AD CS). Se deseja saber mais sobre o AD CS, consulte Visão geral dos Serviços de Certificados do Active Directory.
Apesar do AD FS não exigir que os certificados sejam emitidos por uma autoridade de certificação, o certificado SSL (que também é usado por padrão como um certificado de comunicações do serviço) deve ser de confiança do clientes do AD FS. Não recomendamos o uso de certificados autoassinados. Os servidores de federação usam um certificado SSL para proteger o tráfego dos serviços da Web para comunicações SSL com os clientes da Web e com os proxies de servidores de federação. Como o certificado SSL deve ser confiável para os computadores clientes, recomendamos usar um certificado assinado por uma autoridade de certificação de confiança. Todos os certificados selecionados devem ter uma chave privada correspondente. Depois de receber um certificado de uma autoridade de certificação (corporativa ou pública), certifique-se de que todos os certificados sejam importados para o repositório de Autoridades de Certificação Confiáveis em todos os servidores. Importe os certificados para o repositório com o snap-in Certificados do MMC ou distribua os certificados usando os Serviços de Certificados do Active Directory. É importante que, se o certificado importado expirar, você importe manualmente outro certificado válido.
Importante
Se você estiver usando o certificado de autenticação de token autoassinado a partir do AD FS, é necessário importar este certificado para o repositório de Autoridades de Certificação Confiáveis em todos os servidores do Exchange 2013. Se o certificado de autenticação de token autoassinado não estiver sendo usado e o Proxy de Aplicativo Web for implantado, será necessário atualizar a chave pública na configuração do Proxy de Aplicativo da Web e todos os objetos de confiança de terceiros confiáveis do AD FS.
Ao configurar o Exchange 2013 SP1, o AD FS e o Proxy de Aplicativo da Web, siga estas recomendações para certificados:
Servidores de caixa de correio: os certificados usados nos servidores de caixa de correio são certificados autoassinados são criados quando o Exchange 2013 é instalado. Como os clientes se conectam a um servidor de Caixa de Correio do Exchange 2013 por meio de um servidor de Acesso para Cliente do Exchange 2013, os únicos certificados que precisam ser gerenciados são os dos servidores de Acesso para Cliente.
Servidores de acesso ao cliente: é necessário um certificado SSL usado para comunicações de serviço. Se seu certificado SSL já incluir o FQDN que você está usando para configurar o ponto de extremidade do objeto de confiança de terceiros confiável, não serão exigidos certificados adicionais.
AD FS: dois tipos de certificados são exigidos pelo AD FS:
O certificado SSL usado para comunicações de serviço
- Nome da entidade: adfs.contoso.com (nome da implantação do AD FS)
- Nome Alternativo da Entidade (SAN): Nenhum
Certificado de assinatura de tokens
- Nome da entidade: tokensigning.contoso.com
- Nome Alternativo da Entidade (SAN): Nenhum
Observação
Ao substituir o certificado de autenticação de token no AD FS, todos os objetos de confiança de terceiros confiáveis devem ser atualizados para o uso no novo certificado de autenticação de token.
Proxy de Aplicativo da Web
O certificado SSL usado para comunicações de serviço
- Nome da entidade: owa.contoso.com
- Nome Alternativo da Entidade (SAN): Nenhum
Observação
Se a URL Externa do Proxy de Aplicativo da Web for idêntica à sua URL interna, reutilize o certificado SSL do Exchange aqui.
Certificado SSL do Proxy do AD FS
- Nome da entidade: adfs.contoso.com (nome da implantação do AD FS)
- Nome Alternativo da Entidade (SAN): Nenhum
Certificado de autenticação de token: será copiado automaticamente a partir do AD FS como parte das etapas abaixo. Se esse certificado for usado, ele deve ser de confiança dos servidores do Exchange 2013 de sua organização.
Consulte a seção requisitos de certificado no AD FS Requirements para obter mais informações sobre certificados.
Observação
Um certificado de criptografia SSL ainda será necessário para o Outlook Web App e para o EAC, mesmo que você já tenha um certificado SSL para o AD FS. O certificado SSL é usado nos diretórios virtuais do OWA e do ECP.
Step 2 - Install and configure Active Directory Federation Services (AD FS)
O AD FS no Windows Server 2012 R2 oferece recursos seguros e simplificados de federação de identidade e signon único (SSO) da Web. O AD FS inclui um serviço de federação que permite autenticações SSO da Web com base no navegador, de vários fatores e com base em declarações. O AD FS simplifica o acesso a sistemas e aplicativos usando um mecanismo de autorização de acesso com base em declarações para manter a segurança do aplicativo.
Para instalar o AD FS no Windows Server 2012 R2:
Abra o Gerenciador de Servidor na tela Bem-vindo ou o Gerenciador de Servidor na barra de tarefas na área de trabalho. Clique em Adicionar Funções e Recursos no menu Gerenciar.
Na página Antes de começar, clique em Seguinte.
Na página Selecionar o Tipo de Instalação, clique em Instalação baseada em função ou recurso e, em seguida, clique em Seguinte.
Na página Selecionar Servidor de Destino, clique em Selecionar um servidor no pool de servidores, verifique se o computador local está selecionado e clique em Seguinte.
Na página Selecionar funções de servidor, clique em Serviços de Federação do Active Directory e em Seguinte.
Na página Selecionar Recursos, clique em Seguinte. Os pré-requisitos ou recursos obrigatórios já estão selecionados para você. Não é necessário selecionar outros recursos.
Na página Serviço de Federação do Active Directory (AD FS), clique em Seguinte.
Na página Confirmar Seleções de Instalação, marque Reiniciar cada servidor de destino automaticamente, se necessário e clique em Instalar.
Observação
Não feche o assistente durante o processo de instalação.
Depois de instalar os servidores necessários do AD FS e gerar os certificados exigidos, configure o AD FS e, em seguida, verifique se o AD FS está funcionando adequadamente. Você também pode usar esta lista de verificação para ajudá-lo na configuração e definição do AD FS: Checklist: Configurar um servidor de Federação.
Para configurar os Serviços de Federação do Active Directory:
Na página Processo de Instalação, na janela abaixo de Serviços de Federação do Active Directory, clique em Configurar o serviço de federação neste servidor. O Assistente de Configuração do Serviço de Federação do Active Directory é exibido.
Na página Bem-vindo, clique em Criar o primeiro servidor de federação em um farm de servidores de federação e, em seguida, clique em Seguinte.
Na página Conectar ao AD DS, especifique uma conta com direitos de administrador de domínio para o domínio do Active Directory correto ao qual esse computador está conectado e, em seguida, clique em Seguinte. Se precisar selecionar um usuário diferente, clique em Alterar.
Na página Especificar Propriedades do Serviço, faça o seguinte e clique em Seguinte:
Importe o certificado SSL obtido anteriormente a partir do AD CS ou de uma autoridade de certificação pública. Esse certificado é o certificado de autenticação do serviço necessário. Navegue até local do certificado SSL. Para obter detalhes sobre como criar e importar certificados SSL, consulte Certificados de Servidor.
Insira um nome para o serviço de federação (por exemplo, digite adfs.contoso.com).
Para fornecer um nome de exibição para seu serviço de federação, digite o nome da sua organização (por exemplo, Contoso, Ltd.).
Na página Especificar Conta de Serviço, selecione Usar uma Conta de Serviço Gerenciado de grupo ou de conta de usuário de domínio existente e, em seguida, especifique a conta GMSA (FsGmsa) criada ao gerar o controlador de domínio. Inclua a senha da conta e clique em Seguinte.
Observação
A Conta de Serviço Gerenciado Globalmente (GMSA) é uma conta que deve ser criada ao configurar o controlador de domínio. A conta GMSA é necessária durante a instalação e configuração do AD FS. Se ainda não tiver criado esta conta, execute o seguinte comando do Windows PowerShell. Ele criará a conta para o domínio contoso.com e para o servidor AD FS:
Execute o seguinte comando:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)Este exemplo cria uma nova conta GMSA chamada FsGmsa para o Serviço de Federação chamado adfs.contoso.com. O nome do Serviço de Federação é o valor visível para os clientes.
New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.comNa página Especificar Banco de Dados de Configuração, selecione Criar um banco de dados neste servidor que utiliza o Banco de Dados Interno do Windows e, em seguida, clique em Seguinte.
Na página Analisar Opções, verifique suas seleções de configuração. Você pode optar por usar o botão Exibir script para automatizar instalações adicionais do AD FS. Clique em Seguinte.
Na página Verificações de Pré-requisitos, veja se todas as verificações se pré-requisitos foram concluídas com êxito e, em seguida, clique em Configurar.
Na página Progresso da Instalação, verifique se tudo está instalado corretamente e clique em Fechar.
Na página Resultados, analise os resultados, verifique se a configuração foi concluída com êxito e, em seguida, clique em As próximas etapas são necessárias para concluir a implantação do serviço de federação.
Os comandos Windows PowerShell a seguir fazem a mesma coisa que as etapas anteriores.
Import-Module ADFS
Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"
Para obter detalhes e saber sobre a sintaxe, consulte Install-AdfsFarm.
Para verificar a instalação: no servidor do AD FS, abra seu navegador da Web e navegue até a URL dos metadados de federação (por exemplo, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml).
Etapa 3 – Criar uma confiança de parte confiável e regras de declaração personalizadas para Outlook Web App e EAC
Para todos os aplicativos e serviços que você deseja publicar por meio da Web Proxy de Aplicativo, você deve configurar uma confiança de parte confiável no servidor do AD FS. Para implantações com vários sites do Active Directory que usam namespaces separados, é necessário adicionar um objeto de confiança de terceiros confiáveis para o Outlook Web App e para o EAC de cada namespace.
O EAC usa o diretório virtual do ECP. Exiba ou defina definições para o EAC usando o Get-EcpVirtualDirectory e os cmdlets Set-EcpVirtualDirectory. Para acessar o EAC, use um navegador da Web e vá para http://server1.contoso.com/ecp.
Observação
A inclusão da barra / à direita nos exemplos de URL mostrados abaixo é intencional. É importante garantir que as confianças das partes confiáveis do AD FS e as do URI do Exchange Audience sejam idênticas. Isso significa que os fundos de parte confiável do AD FS e os do URI do Exchange Audience devem ter ou ambos emitir os cortes à direita em suas URLs. Os exemplos nesta seção contêm os "s" à direita /após qualquer url terminar com "owa" ( /owa/) ou "ecp" (/ecp/).
No Outlook Web App, para criar objetos de confiança de terceiros confiáveis usando o snap-in de Gerenciamento do AD FS no Windows Server 2012 R2:
Em Gerenciador de Servidor, clique em Ferramentas e, em seguida, selecione Gerenciamento do AD FS.
No snap-in do AD FS, em AD FS\Relações de Confiança, clique com o botão direito do mouse em Objeto de Confiança de Terceira Parte Confiável e, em seguida, clique em Adicionar Objeto de Confiança de Terceiros Confiáveis para abrir o assistente Adicionar Objeto de Confiança de Terceiros Confiáveis.
Na página Bem-vindo, clique em Iniciar.
Na página Selecionar Fonte de Dados, clique em Inserir dados sobre a confiança de terceiros confiáveis manualmente e em Seguinte.
Na página Especificar Nome de Exibição, na caixa Nome de Exibição, digite Outlook Web App e, em Notas, digite uma descrição para essa confiança de parte confiável (como Essa é uma confiança para https://mail.contoso.com/owa/) e clique em Avançar.
Na página Escolher Perfil, clique em Perfil do AD FS e, em seguida, clique em Seguinte.
Na página Configurar Certificado, clique em Seguinte.
Na página Configurar URL, clique em Habilitar suporte para o Protocolo Passivo da Federação do WS e em URL do Protocolo Passivo da Federação do WS de Confiança de Terceiros Confiáveis, type
https://mail.contoso.com/owa/e, em seguida, clique em Seguinte.Na página Configurar Identificadores, especifique um ou mais identificadores para a confiança de terceiros confiáveis, clique em Adicionar para adicioná-los à lista e, em seguida, clique em Seguinte.
Na página Configurar a Autenticação Multifator Agora?, selecione Definir as configurações da autenticação multifator para esta terceira parte confiável.
Na página Configurar Autenticação Multifator, verifique se Não quero definir as configurações da autenticação multifator para este objeto de confiança de terceira parte confiável dessa vez está selecionado e clique em Seguinte.
Na página Escolher Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem esta confiança de terceiros confiáveis e clique em Seguinte.
Na página Pronto para Adicionar Confiança, analise as configurações e clique em Seguinte para salvar as informações da confiança de terceiros confiáveis.
Na página Terminar, verifique se Abrir a caixa de diálogo Editar Regras de Declaração para este objeto de confiança de terceiros confiáveis depois que o assistente fechar não está selecionado e clique em Fechar.
Para criar um objeto de confiança de terceiros confiáveis para o EAC, siga estas etapas novamente e crie um segundo objeto de confiança de terceiros confiáveis, mas, em vez de usar Outlook Web App como o nome de exibição, insira EAC. Para a descrição, insira This is a trust for the Exchange admin center, and the Relying party WS-Federation Passive protocol URL is https://mail.contoso.com/ecp.
No modelo de identidade baseada em declarações, a função dos Serviços de Federação do Active Directory (AD FS) como serviço de federação é emitir um token contendo um conjunto de declarações. As regras de declaração regem as decisões com relação às declarações emitidas pelo AD FS. As regras de declaração e todos os dados de configuração de servidores são armazenados no banco de dados de configuração do AD FS.
É necessário que você crie duas regras de declaração:
- SID de usuário
- UPN
Para adicionar as regras de declaração necessárias:
Em Gerenciador de Servidor, clique em Ferramentas e em Gerenciamento do AD FS.
Na árvore de console, em AD FS\Relações de Confiança, clique em Confianças do Provedor de Declarações ou em Confianças de Terceiros Confiáveis e, em seguida, clique no objeto de confiança de terceiros confiáveis do Outlook Web App.
Na janela Confianças de Terceiros Confiáveis, clique com o botão direito do mouse na relação de confiança do Outlook Web App e, em seguida, clique em Editar Regras de Declaração.
Na janela Editar Regras de Declaração, na guia Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o Assistente para Adicionar Regra de Declaração de Transformação.
Na página Selecionar Modelo de Regras, em Modelo de regra de declaração, selecione Enviar Declarações Usando uma Regra Personalizada na lista e clique em Seguinte.
Na página Configurar Regra, na etapa Escolher Tipo de Regra, em Nome da regra de declaração, insira o nome da regra de declaração. Use um nome descritivo para a regra de declaração (por exemplo, ActiveDirectoryUserSID). Em Regra Personalizada, insira a seguinte sintaxe de linguagem das regras de declaração para esta regra:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);Na página Configurar Regra, clique em Terminar.
Na janela Editar Regras de Declaração, na guia Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o Assistente para Adicionar Regra de Declaração de Transformação.
Na página Selecionar Modelo de Regras, em Modelo de regra de declaração, selecione Enviar Declarações Usando uma Regra Personalizada na lista e clique em Seguinte.
Na página Configurar Regra, na etapa Escolher Tipo de Regra, em Nome da regra de declaração, insira o nome da regra de declaração. Use um nome descritivo para a regra de declaração (por exemplo, ActiveDirectoryUPN). Em Regra Personalizada, insira a seguinte sintaxe de linguagem das regras de declaração para esta regra:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);Clique em Finalizar.
Na janela Editar Regras de Declaração, clique em Aplicar e em OK.
Repita as etapas 3-12 deste procedimento para a confiança da parte confiável do EAC.
Como alternativa, você pode criar regras de retransmissão de confiança e declaração de partes usando Windows PowerShell:
Crie os arquivos .txt: IssuanceAuthorizationRules.txt e IssuanceTransformRules.txt.
Importe o conteúdo dos arquivos para duas variáveis.
Execute os dois cmdlets a seguir para criar os objetos de confiança de terceiros confiáveis. Neste exemplo, também serão configuradas regras de declaração.
O arquivo IssuanceAuthorizationRules.txt contém:
@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
O arquivo IssuanceTransformRules.txt contém:
@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
Execute os seguintes comandos:
[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt
[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt
Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules
Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules
Etapa 4 – Instalar o serviço de função Proxy de Aplicativo Web (opcional)
Observação
A etapa 4, a Etapa 5 e a Etapa 6 são para usuários que desejam publicar Exchange OWA e ECP usando o Web Proxy de Aplicativo e que desejam ter Proxy de Aplicativo Web executar a autenticação do AD FS. No entanto, a publicação do Exchange com Proxy de Aplicativo Web não é necessária, portanto, você pode pular para a Etapa 7 se não usar o Proxy de Aplicativo Web e quiser que o Exchange execute a autenticação do AD FS em si.
O Proxy de Aplicativo da Web é um novo serviço de função de Acesso Remoto no Windows Server 2012 R2. O Proxy de Aplicativo da Web oferece funcionalidades de proxy reverso para aplicativos da Web dentro de sua rede corporativa, para permitir que os usuários em vários dispositivos acessem estes aplicativos fora da rede corporativa. O Proxy de Aplicativo da Web pré-autentica o acesso a aplicativos da Web usando os Serviços de Federação do Active Directory (AD FS), além de funcionar como um proxy do AD FS. Apesar do Proxy de Aplicativo da Web não ser obrigatório, seu uso é recomendado se o AD FS for acessível a clientes externos. No entanto, o acesso offline pelo Outlook Web App não é compatível quando a autenticação do AD FS é usada por meio do Proxy de Aplicativo da Web. Encontre mais informações sobre a integração com o Proxy de Aplicativo da Web, consulte Instalar e configurar o Proxy de Aplicativo da Web para publicar aplicativos internos
Aviso
Não é possível instalar o Proxy de Aplicativo da Web no mesmo servidor em que o AD FS está instalado.
Para implantar o Proxy de Aplicativo da Web, é necessário instalar a função de servidor de Acesso Remoto com a função de serviço do Proxy de Aplicativo da Web em um servidor que atuará como o servidor do Proxy de Aplicativo da Web. Para instalar o serviço de função do Proxy de Aplicativo da Web:
No servidor do Proxy de Aplicativo da Web, em Gerenciador de Servidor, clique em Gerenciar e, em seguida, em Adicionar Funções e Recursos.
No Assistente para Adicionar Funções e Recursos, clique três vezes em Seguinte para ir para a página Funções de Servidor.
Na página Funções de Servidor, selecione Acesso Remoto na lista e, em seguida, clique em Seguinte.
Na página Recursos, clique em Seguinte.
Na página Acesso Remoto, leia as informações e depois clique em Seguinte.
Na página Serviços de Função, selecione Proxy de Aplicativo da Web. Em seguida, na janela Assistente para Adicionar Funções e Recursos, clique em Adicionar Recursos e em Seguinte.
Na janela Confirmação, clique em Instalar. Você também pode marcar Reiniciar o servidor de destino automaticamente, se necessário.
Na caixa de diálogo Progresso da Instalação, verifique se a instalação foi concluída com êxito e clique em Fechar.
O cmdlet Windows PowerShell a seguir faz o mesmo que as etapas anteriores.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
Etapa 5 – Configurar o serviço de função Proxy de Aplicativo Web (opcional)
É necessário configurar o Proxy de Aplicativo da Web para se conectar ao servidor do AD FS. Repita este procedimento para todos os servidores que você deseja implantar como servidores de Proxy de Aplicativo da Web.
Para configurar o serviço de função de Aplicativo da Web:
No servidor de Proxy de Aplicativo da Web, em Gerenciador de Servidor, clique em Ferramentas e em Gerenciamento de Acesso Remoto.
No painel Configuração, clique em Proxy de Aplicativo da Web.
No console Gerenciamento de Acesso Remoto, no painel central, clique em Executar o assistente de configuração do Proxy de Aplicativo da Web.
No Assistente de configuração do Proxy de Aplicativo da Web, na caixa de diálogo Bem-vindo, clique em Seguinte.
Na página Servidor de Federação, realize os seguintes procedimentos e clique em Seguinte:
Na caixa Nome do serviço federação , insira o FQDN (nome de domínio totalmente qualificado) do servidor AD FS (por exemplo, adfs.contoso.com).
Nas caixas Nome de usuário e Senha, digite as credenciais da conta de administrador local nos servidores do AD FS.
Na caixa de diálogo Certificado de Proxy do AD FS, na lista de certificados atualmente instalados no servidor web Proxy de Aplicativo, selecione o certificado a ser usado pela Web Proxy de Aplicativo para a funcionalidade de proxy do AD FS e clique em Avançar. O certificado escolhido aqui deve ser aquele cujo assunto é o nome do Serviço de Federação (por exemplo, adfs.contoso.com).
Na caixa de diálogo Confirmação, analise as configurações. Caso seja necessário, copie o cmdlet do Windows PowerShell para automatizar as instalações adicionais. Clique em Configurar.
Na caixa de diálogo Resultados, verifique se a configuração foi concluída com êxito e clique em Fechar.
O cmdlet Windows PowerShell a seguir faz o mesmo que as etapas anteriores.
Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com
Etapa 6 – Publicar Outlook Web App e EAC usando Proxy de Aplicativo web (opcional)
Na etapa 3, você criou declarações retransmissão de fundos partidários para Outlook Web App e EAC e agora precisa publicar ambos os aplicativos. Mas antes de fazer isso, verifique se uma confiança de parte confiável para eles foi criada e verifique se você tem um certificado no servidor Proxy de Aplicativo Web adequado para Outlook Web App e EAC. Para todos os pontos de extremidade do AD FS necessários para serem publicados pela Web Proxy de Aplicativo, no console de Gerenciamento do AD FS, você deve definir o ponto de extremidade como Habilitado para Proxy.
Siga estas etapas para publicar o Outlook Web App usando o Proxy de Aplicativo da Web. Repita estas etapas para o EAC. Quando publicar no EAC, será necessário alterar o nome, a URL externa, o certificado externo e a URL de backend.
Para publicar o Outlook Web App e o EAC usando o Proxy de Aplicativo da Web:
No servidor do Proxy de Aplicativo da Web, no console de Gerenciamento de Acesso Remoto, no painel Navegação, clique em Proxy de Aplicativo da Web e, em seguida, no painel Tarefas, clique em Publicar.
No Assistente para publicar novos aplicativos, na página Bem-vindo, clique em Seguinte.
Na página Pré-autenticação, clique em Serviços de Federação do Active Directory (AD FS) e em Seguinte.
Na página Confiança de Terceiros Confiáveis, na lista de confianças de terceiros confiáveis, selecione a confiança de terceiros confiáveis para o aplicativo que você deseja publicar e, em seguida, clique em Seguinte.
Na página Configurações de Publicação, realize os seguintes procedimentos e clique em Seguinte:
Na caixa Nome, insira um nome amigável para o aplicativo. Este nome só é usado na lista de aplicativos publicados no Console de Gerenciamento de Acesso Remoto. Use OWA e EAC como nomes.
Na caixa URL externa, insira a URL externa para este aplicativo (por exemplo,
https://external.contoso.com/owa/para Outlook Web App e para EAChttps://external.contoso.com/ecp/).Na lista Certificado externo, selecione um certificado cujo nome de entidade corresponda ao nome do host da URL externa.
Na caixa URL do servidor back-end , insira a URL do servidor de back-end. Observe que esse valor é inserido automaticamente quando você insere a URL externa e você deve alterá-lo somente se a URL do servidor de back-end for diferente (por exemplo,
https://mail.contoso.com/owa/para Outlook Web App e para EAChttps://mail.contoso.com/ecp/).
Observação
O Proxy de Aplicativo da Web pode traduzir nomes de hosts em URLs, mas não consegue traduzir caminhos. Portanto, é possível inserir nomes de hosts diferentes, mas é necessário que o mesmo caminho seja inserido. Por exemplo, você pode inserir uma URL externa de
https://external.contoso.com/app1/e uma URL de servidor de back-end dehttps://mail.contoso.com/app1/. No entanto, você não pode inserir uma URL externa dehttps://external.contoso.com/app1/e uma URL de servidor de back-end dohttps://mail.contoso.com/internal-app1/.Na página Confirmação, analise as configurações e clique em Publicar. Copie o comando do Windows PowerShell para configurar outros aplicativos publicados.
Na página Resultados, certifique-se de que o aplicativo tenha sido publicado com êxito e clique em Fechar.
A seguir, o cmdlet do Windows PowerShell realiza as mesmas tarefas que o procedimento anterior do Outlook Web App.
Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'
A seguir, o cmdlet do Windows PowerShell realiza as mesmas tarefas que o procedimento anterior do EAC.
Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'
Depois de concluir essas etapas, o Proxy de Aplicativo da Web executará a autenticação do AD FS para clientes Outlook Web App e EAC e também fará proxy das conexões com o Exchange em seu nome. Você não precisa configurar o exchange em si para autenticação do AD FS, portanto, prossiga para a etapa 10 para testar sua configuração.
Etapa 7 – Configurar o Exchange 2013 para usar a autenticação do AD FS
Ao configurar o AD FS que será usado para a autenticação baseada em declarações com o Outlook Web App e o EAC no Exchange 2013, habilite o AD FS para sua organização do Exchange. Use o cmdlet Set-OrganizationConfig para definir as configurações do AD FS para sua organização:
Defina o emissor do AD FS como
https://adfs.contoso.com/adfs/ls/.Defina as URLs do AD FS como
https://mail.contoso.com/owa/ehttps://mail.contoso.com/ecp/.Localize a impressão digital do certificado de assinatura de token do AD FS usando Windows PowerShell no servidor AD FS e inserindo
Get-ADFSCertificate -CertificateType "Token-signing". Em seguida, atribua a impressão digital do certificado de autenticação de token encontrada. Se o certificado de autenticação de token do AD FS tiver expirado, a impressão digital de um novo certificado de autenticação de token do AD FS deverá ser atualizada usando o cmdlet Set-OrganizationConfig.
Execute os comandos a seguir no Shell de Gerenciamento do Exchange.
$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
Observação
Não há suporte para o parâmetro -AdfsEncryptCertificateThumbprint para esses cenários.
Para obter detalhes e saber sobre a sintaxe, consulte Set-OrganizationConfig e Get-ADFSCertificate.
Etapa 8 – Habilitar a autenticação do AD FS nos diretórios virtuais OWA e ECP
Para os diretórios virtuais do OWA e do ECP, habilite a autenticação do AD FS como o único método de autenticação e desabilite todas as outras formas de autenticação.
Aviso
Configure o diretório virtual do ECP antes de configurar o diretório virtual do OWA.
Configure o diretório virtual do ECP usando o Shell de Gerenciamento do Exchange. Na janela Shell, execute o comando a seguir.
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
Configure o diretório virtual do OWA usando o Shell de Gerenciamento do Exchange. Na janela Shell, execute o comando a seguir.
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false
Observação
Nos comandos anteriores do Shell de Gerenciamento do Exchange, configure os diretórios virtuais do OWA e do ECP em cada servidor de Acesso para Cliente de sua organização. Se você não quiser aplicar essas configurações a todos os servidores de Acesso ao Cliente, use o parâmetro -Identity e especifique o servidor de Acesso ao Cliente. É provável que você aplique essas configurações apenas para os servidores de Acesso para Cliente para Internet da sua organização.
Para obter detalhes e saber sobre a sintaxe, consulte Get-OwaVirtualDirectory e Set-OwaVirtualDirectory ou Get-EcpVirtualDirectory e Set-EcpVirtualDirectory.
Etapa 9 – Reiniciar ou reciclar Serviços de Informações da Internet (IIS)
Depois de concluir todas as etapas necessárias, incluindo as alterações nos diretórios virtuais do Exchange, será necessário reiniciar os Serviços de Informações da Internet. Para fazer isso, use um dos seguintes métodos:
Usando o Windows PowerShell:
Restart-Service W3SVC,WAS -forceUsando uma linha de comando: clique em Iniciar, clique em Executar, digite
IISReset /noforcee clique em OK.Usando o Gerenciador de Servidores de Informações da Internet (IIS): em Gerenciador do Servidor>IIS, clique em Ferramentas e clique em Gerenciador do IIS (Serviços de Informações da Internet). Na janela Gerenciador dos Serviços de Informações da Internet (IIS), no painel de ações em Gerenciar Servidor, clique em Reiniciar.
Etapa 10 – Testar as declarações do AD FS para Outlook Web App e EAC
Para testar as declarações do AD FS para o Outlook Web App:
No navegador da Web, entre no Outlook Web App (por exemplo,
https://mail.contoso.com/owa).Na janela do navegador, se você receber um erro de certificado, basta prosseguir para o site da Web do Outlook Web App. Você deve ser redirecionado para a página de entrada do ADFS ou o prompt do ADFS para credenciais.
Digite seu nome de usuário (domínio\usuário) e senha e clique em Entrar.
Outlook Web App carregará na janela.
Para testar as declarações do AD FS para o EAC:
No navegador da Web, acesse
https://mail.contoso.com/ecp.Na janela do navegador, se você receber um erro de certificado, basta prosseguir para o site da Web do ECP. Você deve ser redirecionado para a página de entrada do ADFS ou o prompt do ADFS para credenciais.
Digite seu nome de usuário (domínio\usuário) e senha e clique em Entrar.
O EAC deve carregar na janela.
Mais informações que podem lhe interessar
Autenticação de vários fatores
Para implantações do Exchange 2013 SP1 no local, implantar e configurar os Serviços de Federação do Active Directory (AD FS) 2.0 usando declarações significa que o Outlook Web App e o EAC no Exchange 2013 SP1 são compatíveis com os métodos de autenticação de vários fatores, como autenticação baseada em certificados, tokens de autenticação ou de segurança e autenticação por impressão digital. A autenticação de dois fatores geralmente é confundida com outras formar de autenticação. A autenticação de vários fatores exige o uso de dois ou três fatores de autenticação. Esses fatores são:
Algo que apenas o usuário saiba (por exemplo: a senha, o PIN ou um padrão)
Algo que o usuário possua (por exemplo: um cartão de banco, um token de segurança, um cartão inteligente ou um celular)
Algo que o usuário seja (por exemplo: uma característica biométrica, como uma impressão digital)
Para obter detalhes sobre a autenticação de vários fatores no Windows Server 2012 R2, consulte Visão geral: gerencie riscos com autenticação multifator adicional para aplicativos confidenciais e Guia passo a passo: gerencie riscos com autenticação de vários fatores adicional para aplicativos confidenciais.
No serviço de função do AD FS do Windows Server 2012 R2, as funções do serviço de federação em forma de serviço de token de segurança fornecem os tokens de segurança usados com as declarações e oferecem a você a capacidade de prestar suporte à autenticação de vários fatores. O serviço de federação emite tokens baseados nas credenciais apresentadas. Depois que o repositório da conta verificar as credenciais de um usuário, as declarações para o usuário são geradas de acordo com as regras da política de confiança e, em seguida, adicionadas ao token de segurança emitido para o cliente. Para obter mais informações sobre declarações, consulte Noções básicas sobre declarações.
Co-Existing com outras versões do Exchange
É possível usar a autenticação do AD FS para Outlook Web App e EAC quando você tiver mais de uma versão do Exchange implantada em sua organização. Esse cenário só tem suporte para implantações do Exchange 2010 e exchange 2013 e somente se todos os clientes estiverem se conectando por meio dos servidores do Exchange 2013 e esses servidores do Exchange 2013 tiverem sido configurados para autenticação do AD FS.
Usuários com uma caixa de correio em um Servidor do Exchange 2010 podem acessar suas caixas de correio por meio de um servidor do Exchange 2013 configurado para autenticação do AD FS. A conexão inicial do cliente com o servidor exchange 2013 usará a autenticação do AD FS. A conexão proxied com o servidor exchange 2010, no entanto, usará Kerberos. Não há uma maneira compatível de configurar Exchange Server 2010 para autenticação direta do AD FS.