Федерация
Область применения: Exchange Server 2013 г.
Информационным работникам часто необходимо взаимодействовать с внешними получателями, поставщиками, партнерами и клиентами, а также обмениваться с ними сведениями о доступности (доступности в календаре). Федерация в Microsoft Exchange Server 2013 году помогает в этих усилиях по совместной работе. Под федерацией подразумевается базовая инфраструктура отношений доверия, поддерживающая федеративный общий доступ, — простой способ обмена данными календаря с получателями во внешних федеративных организациях. Дополнительные сведения о федеративном общем доступе см. в разделе Совместное использование.
Важно!
Эта функция Exchange Server 2013 не полностью совместима с Office 365, эксплуатируемой компанией 21Vianet в Китае, и могут применяться некоторые ограничения. Дополнительные сведения см. в разделе Office 365, эксплуатируемый 21Vianet.
Основные термины
В следующем списке определены основные компоненты, связанные с федерацией в Exchange 2013.
идентификатор приложения (AppID) — уникальный номер, созданный системой проверки подлинности Microsoft Entra для идентификации организаций Exchange. AppID автоматически создается при создании доверия федерации с системой проверки подлинности Microsoft Entra.
токен делегирования: токен SAML, выданный системой проверки подлинности Microsoft Entra, который позволяет пользователям из одной федеративной организации доверять другой федеративной организации. Маркер делегирования содержит адрес электронной почты пользователя, неизменяемый идентификатор и сведения, связанные с предложением, по которому для действия выпускается маркер.
внешняя федеративная организация: внешняя организация Exchange, которая установила доверие федерации с системой проверки подлинности Microsoft Entra.
федеративный общий доступ. Группа функций Exchange, которые используют доверие федерации с системой проверки подлинности Microsoft Entra для работы в организациях Exchange, включая локальные развертывания Exchange. Совокупность таких функций применяется для создания проверенных на подлинность запросов между серверами от имени пользователей по нескольким организациям Exchange.
федеративный домен: обслуживаемый полномочный домен, добавляемый в идентификатор организации (OrgID) для организации Exchange.
строка шифрования проверки домена. Криптографически защищенная строка, используемая организацией Exchange для подтверждения того, что организация владеет доменом, используемым с системой проверки подлинности Microsoft Entra. Строка создается автоматически при использовании мастера включения доверия федерации или может быть создана с помощью командлета Get-FederatedDomainProof .
федеративная политика общего доступа. Политика уровня организации, которая позволяет и контролирует установленный пользователем обмен данными календаря между пользователями.
federation: соглашение на основе доверия между двумя организациями Exchange для достижения общей цели. При наличии федерации для каждой организации необходимо, чтобы утверждения проверки подлинности от одной организации распознавались другой организацией.
доверие федерации. Связь с системой проверки подлинности Microsoft Entra, которая определяет следующие компоненты для вашей организации Exchange:
пространство имен учетных записей;
идентификатор приложения (AppID);
идентификатор организации (OrgID);
федеративные домены.
Чтобы настроить федеративный общий доступ с другими федеративными организациями Exchange, необходимо установить доверие федерации с системой проверки подлинности Microsoft Entra.
не федеративная организация: организации, у которых нет доверия федерации, установленного с помощью Microsoft Entra системы проверки подлинности.
идентификатор организации (OrgID): определяет, какие из полномочных обслуживаемых доменов, настроенных в организации, включены для федерации. Только получатели с адресами электронной почты с федеративными доменами, настроенными в orgID, распознаются системой проверки подлинности Microsoft Entra и могут использовать функции федеративного общего доступа. OrgID это сочетание заданной заранее строки и первого обслуживаемого домена, выбранного для федерации в мастере включения доверия федерации. Например, если вы указали федеративный домен contoso.com как основной SMTP-домен своей организации, в качестве OrgID для доверия федерации будет автоматически создано пространство имен учетных записей FYDIBOHF25SPDLT.contoso.com.
отношение организации. Связь "один к одному" между двумя федеративнами организациями Exchange, которая позволяет получателям делиться сведениями о доступности (доступности календаря). Отношение организации требует доверия федерации с системой проверки подлинности Microsoft Entra и заменяет необходимость использования отношений доверия между лесами Active Directory или доменами между организациями Exchange.
Microsoft Entra система проверки подлинности: бесплатная облачная служба идентификации, которая выступает в качестве брокера доверия между федеративными организациями Microsoft Exchange. Он отвечает за выдачу маркеров делегирования получателям Exchange, когда они запрашивают информацию у получателей в других федеративных организациях Exchange. Дополнительные сведения см. в разделе идентификатор Microsoft Entra.
система проверки подлинности Microsoft Entra
Система проверки подлинности Microsoft Entra, бесплатная облачная служба, предлагаемая корпорацией Майкрософт, выступает в качестве посредника доверия между локальной организацией Exchange 2013 и другими федеративнами организациями Exchange 2010 и Exchange 2013. Если вы хотите настроить федерацию в организации Exchange, необходимо установить единовременное доверие федерации с системой проверки подлинности Microsoft Entra, чтобы она могла стать партнером федерации в вашей организации. При таком доверии пользователи, прошедшие проверку подлинности с помощью Active Directory (известные как поставщики удостоверений), получают маркеры делегирования SAML с помощью системы проверки подлинности Microsoft Entra. Эти маркеры делегирования позволяют пользователям из одной федеративной организации Exchange доверять другой федеративной организации Exchange. Благодаря системе проверки подлинности Microsoft Entra, выступающей в качестве брокера доверия, организациям не требуется устанавливать несколько индивидуальных отношений доверия с другими организациями, а пользователи могут получать доступ к внешним ресурсам с помощью интерфейса единого входа. Дополнительные сведения см. в разделе идентификатор Microsoft Entra.
Доверие федерации
Чтобы использовать функции федеративного общего доступа Exchange 2013, необходимо установить доверие федерации между организацией Exchange 2013 и системой проверки подлинности Microsoft Entra. При установлении доверия федерации с Microsoft Entra система проверки подлинности обменивается цифровым сертификатом безопасности вашей организации с Microsoft Entra системой проверки подлинности и извлекается сертификат системы проверки подлинности Microsoft Entra и метаданные федерации. Вы можете установить доверие федерации с помощью мастера включения доверия федерации в Центре администрирования Exchange (EAC) или командлета New-FederationTrust в командной консоли Exchange. Самозаверяющий сертификат автоматически создается мастером включения доверия федерации и используется для подписывания и шифрования маркеров делегирования из системы проверки подлинности Microsoft Entra, что позволяет пользователям доверять внешним федеративным организациям. Дополнительные сведения о требованиях к сертификатам см. в подразделе Certificate Requirements for Federation далее в этом разделе.
При создании доверия федерации с помощью системы проверки подлинности Microsoft Entra автоматически создается идентификатор приложения (AppID) для вашей организации Exchange и предоставляется в выходных данных командлета Get-FederationTrust. AppID используется системой проверки подлинности Microsoft Entra для уникальной идентификации организации Exchange. Он также используется организацией Exchange для подтверждения того, что ваша организация владеет доменом для использования с системой проверки подлинности Microsoft Entra. Это достигается путем создания записи ресурса TXT в зоне DNS каждого федеративного домена.
Идентификатор федеративной организации
Идентификатор федеративной организации (OrgID) определяет, какой из уполномоченных обслуживаемых доменов, настроенных в организации, включен для федерации. Только получатели с адресами электронной почты с обслуживаемыми доменами, настроенными в orgID, распознаются системой проверки подлинности Microsoft Entra и могут использовать функции федеративного общего доступа. При создании нового доверия федерации идентификатор OrgID автоматически создается с помощью Microsoft Entra системы проверки подлинности. OrgID это сочетание заданной заранее строки и обслуживаемого домена, выбранного в качестве основного общего домена в мастере включения доверия федерации. Например, если вы указали в мастере изменения общих доменов федеративный домен contoso.com как основной общий домен своей организации, в качестве OrgID для доверия федерации вашей организации Exchange будет автоматически создано пространство имен учетных записей FYDIBOHF25SPDLT.contoso.com.
Хотя обычно это основной домен SMTP для организации Exchange, этот домен не обязательно должен быть принятым доменом в вашей организации Exchange и не требует подтверждения владения записью TXT системы доменных имен (DNS). Единственное требование заключается в том, что допустимые домены, выбранные для федеративных, ограничены не более 32 символами. Единственное назначение этого поддомена — служить федеративным пространством имен для системы проверки подлинности Microsoft Entra, чтобы поддерживать уникальные идентификаторы для получателей, запрашивающих маркеры делегирования SAML. Дополнительные сведения о токенах SAML см. в разделе Токены и утверждения SAML.
Вы можете добавлять и удалять обслуживаемые домены в доверии федерации в любое время. Чтобы включить или выключить все функции федеративного общего доступа в организации, достаточно включить или выключить OrgID для доверия федерации.
Важно!
При изменении OrgID, обслуживаемых доменов или AppID, используемых для доверия федерации затрагиваются все функции федеративного общего доступа в вашей федерации. Изменения также затрагивают внешние федеративные организации Exchange, включая Exchange Online и гибридные развертывания. Рекомендуется уведомлять всех внешних федеративных партнеров о всех изменениях в параметрах конфигурации доверия федерации.
Пример федерации
Две организации Exchange, Contoso, Ltd. и Fabrikam, Inc., хотят, чтобы их пользователи могли обмениваться сведениями о доступности и доступности календаря друг с другом. Каждая организация создает доверительное отношение федерации с системой проверки подлинности Microsoft Entra и настраивает пространство имен своей учетной записи, чтобы включить домен, используемый для домена адреса электронной почты пользователя.
Сотрудники Contoso используют один из следующих доменов адресов электронной почты: contoso.com, contoso.co.uk или contoso.ca. Сотрудники компании Fabrikam используют один из следующих доменов адресов электронной почты: fabrikam.com, fabrikam.org или fabrikam.net. Обе организации должны убедиться, что все принятые домены электронной почты включены в пространство имен учетных записей для доверия федерации с системой проверки подлинности Microsoft Entra. Вместо настройки сложного леса Active Directory или доверия доменов организации создают между собой связь организаций для обмена сведениями о доступности.
На следующем рисунке показана конфигурация федерации между компаниями Contoso, Ltd. и Fabrikam, Inc.
Пример федеративного общего доступа
Требования к сертификатам для федерации
Чтобы установить отношения доверия федерации с системой проверки подлинности Microsoft Entra, необходимо создать самозаверяющий сертификат или сертификат X.509, подписанный центром сертификации (ЦС), и установить его на сервере Exchange 2013, используемом для создания доверия. Настоятельно рекомендуется использовать самозаверяющий сертификат, который автоматически создается и устанавливается с помощью мастера включения доверия федерации в EAC. Этот сертификат используется только для подписи и шифрования маркеров делегирования, используемых для федеративного общего доступа, и только один сертификат требуется для доверия федерации. Exchange 2013 автоматически распространяет сертификат на все остальные серверы Exchange 2013 в организации.
Для использования сертификата X.509, подписанного внешним центром сертификации, он должен отвечать следующим требованиям.
Доверенный ЦС. По возможности ssl-сертификат X.509 должен быть выдан из ЦС, которому доверяет Windows Live. Тем не менее, можно использовать сертификаты, выданные центрами сертификации, которые в настоящее время не сертифицированы корпорацией Майкрософт. Текущий список доверенных ЦС см. в разделе Доверенные корневые центры сертификации для доверия федерации.
Идентификатор ключа субъекта. Сертификат должен иметь поле идентификатора ключа субъекта. Большинство сертификатов X.509, выпускаемых коммерческими центрами сертификации, имеют такой идентификатор.
Поставщик служб шифрования CryptoAPI (CSP): сертификат должен использовать CSP CryptoAPI. Сертификаты, для которых используются поставщики CNG (Cryptography API: Next Generation), не поддерживаются в случае применения федерации. Если вы используете Exchange для создания запроса на сертификат, используется поставщик CryptoAPI. Дополнительные сведения см. в разделе API шифрования: следующее поколение.
Алгоритм подписи RSA. Сертификат должен использовать RSA в качестве алгоритма подписи.
Экспортируемый закрытый ключ: закрытый ключ, используемый для создания сертификата, должен быть экспортируемым. При создании запроса на сертификат с помощью мастера создания сертификатов Exchange в центре администрирования Exchange или командлета New-ExchangeCertificate в командной консоли можно указать, что закрытый ключ сертификата должен быть экспортируемым.
Текущий сертификат: сертификат должен быть текущим. Невозможно использовать истекший или аннулированный сертификат для создания доверия федерации.
Расширенное использование ключа. Сертификат должен включать тип расширенного использования ключа (EKU) client Authentication (1.3.6.1.5.5.7.3.2). Этот тип использования предназначен для подтверждения идентификатора на удаленном компьютере. Если для создания запроса на сертификат используется EAC или командная консоль, то этот тип использования включается по умолчанию.
Примечание.
Так как данный сертификат не используется для проверки подлинности, то для него отсутствуют требования к имени субъекта или альтернативному имени субъекта. Можно использовать сертификат с именем субъекта, которое совпадает с именем узла, доменным или любым другим именем.
Переход на новый сертификат
Сертификат, используемый для создания доверия федерации, обозначается в качестве текущего. Однако для доверия федерации может потребоваться периодическая установка и использование нового сертификата. Например, новый сертификат может потребоваться, когда истекает срок действия текущего сертификата или необходимо выполнение требований к ведению бизнеса или обеспечению безопасности. Чтобы обеспечить плавное переключение на новый сертификат, необходимо установить его на сервер Exchange 2013 и настроить доверие федерации для обозначения этого сертификата в качестве нового. Exchange 2013 автоматически распространяет следующий сертификат на другие серверы Exchange 2013 в организации. В зависимости от топологии Active Directory, распространение сертификата может занять некоторое время. Проверить состояние сертификата можно с помощью командлета Test-FederationTrustCertificate в командной консоли.
После проверки состояния распространения сертификата можно настроить доверие для переключения на следующий сертификат. Когда это произойдет, текущий сертификат будет обозначен как предыдущий, а новый как текущий. Новый сертификат публикуется в системе проверки подлинности Microsoft Entra, а все новые маркеры, обмениваются с Microsoft Entra системой проверки подлинности, шифруются с помощью нового сертификата.
Примечание.
Этот процесс перехода на новый сертификат используется только в федерации. Если этот же сертификат используется в других компонентах Exchange 2013, применяющих сертификаты, необходимо учитывать требования этих компонентов при планировании получения и установки нового сертификата, а также перехода на новый сертификат.
Рекомендации относительно брандмауэра для федерации
Чтобы использовать функции федерации, необходимо настроить для серверов почтовых ящиков и клиентского доступа в организации доступ к Интернету по протоколу HTTPS. Необходимо разрешить доступ по протоколу HTTPS (порт 443 для TCP) для всех серверов почтовых ящиков и клиентского доступа Exchange 2013 в организации.
Чтобы разрешить внешней организации получать доступ к сведениям о доступности пользователей вашей организации, необходимо опубликовать один сервер клиентского доступа в Интернете. Для этого требуется настройка для сервера клиентского доступа исходящего доступа в Интернет с помощью протокола HTTPS. Серверы клиентского доступа на сайтах Active Directory, на которых не опубликован сервер клиентского доступа в Интернете, могут использовать серверы клиентского доступа на других сайтах Active Directory, которые доступны в Интернете. Серверы клиентского доступа, которые не опубликованы в Интернете, должны иметь внешний URL-адрес виртуального каталога веб-служб, настроенного с помощью URL-адреса, отображаемого для внешних организаций.