Использование проверки подлинности на основе утверждений AD FS с Outlook Web App и Центром администрирования ExchangeUsing AD FS claims-based authentication with Outlook Web App and EAC

Применимо к: Exchange Server 2013 SP1Applies to: Exchange Server 2013 SP1

Сводка.Summary:

Для локальных развертываний Exchange 2013 с пакетом обновления 1 (SP1) установка и настройка служб федерации Active Directory (AD FS) означает, что теперь для подключения к Outlook Web App и EAC вы можете использовать проверку подлинности, основанную на утверждениях AD FS. Проверку подлинности на основе утверждений AD FS можно интегрировать с Exchange 2013 с пакетом обновления 1 (SP1). Использование проверки подлинности на основе утверждений заменяет следующие традиционные способы проверки подлинности:For on-premises Exchange 2013 Service Pack 1 (SP1) deployments, installing and configuring Active Directory Federation Services (AD FS) means you can now use AD FS claims-based authentication to connect to Outlook Web App and EAC. You can integrate AD FS and claims-based authentication with Exchange 2013 SP1. Using claims-based authentication replaces traditional authentication methods, including the following:

  • проверка подлинности Windows;Windows authentication

  • проверка подлинности с помощью форм;Forms authentication

  • дайджест-проверка подлинности;Digest authentication

  • обычная проверка подлинности;Basic authentication

  • проверка подлинности на основе клиентского сертификата Active Directory;Active Directory client certificate authentication

Проверка подлинности — это процесс подтверждения удостоверения пользователя.Authentication is the process of confirming the identity of a user. В процессе проверки подлинности выполняется проверка того, является ли пользователь тем, за кого он(а) себя выдает.Authentication validates that the user is who he or she claims to be. Еще один подход к проверке подлинности — удостоверение, основанное на утверждениях.Claims-based identity is another approach to authentication. Проверка подлинности на основе утверждений приводит к удалению управления проверкой подлинности из приложения (в данном случае Outlook Web App и EA) для упрощения управления учетными записями путем централизации проверки подлинности.Claims-based authentication removes the management of authentication from the application (in this case, Outlook Web App and EA) to make it easier to manage accounts by centralizing authentication. Приложения Outlook Web App и EAC не отвечают за проверку подлинности пользователей, хранение учетных записей и паролей пользователей, поиск сведений об удостоверениях пользователей и интеграцию с другими системами удостоверения.Outlook Web App and EAC aren't responsible for authenticating users, storing user accounts and passwords, looking up user identity details, or integrating with other identity systems. Централизация проверки подлинности упрощает процесс перехода к способам проверки подлинности в будущем.Centralizing authentication helps make it easier to upgrade to authentication methods in the future.

Примечание

Outlook Web App для устройств не поддерживает проверку подлинности, основанную на утверждениях AD FS.OWA for Devices doesn't support AD FS claims-based authentication.

Можно использовать несколько версий AD FS, обобщенные сведения о которых представлены в таблице ниже.There are multiple versions of AD FS that can be used, as summarized by the following table.

Версия Windows ServerWindows Server version УстановкаInstallation Версия AD FSAD FS version

Windows Server 2008 R2Windows Server 2008 R2

Загрузка и установка служб федерации Active Directory 2.0, которые являются компонентом Windows.Download and install AD FS 2.0, which is an add-on Windows component.

AD FS 2.0AD FS 2.0

Windows Server 2012Windows Server 2012

Установка встроенной роли сервера AD FS.Install the built-in AD FS server role.

AD FS 2.1AD FS 2.1

Windows Server 2012 R2Windows Server 2012 R2

Установка встроенной роли сервера AD FS.Install the built-in AD FS server role.

AD FS 3.0AD FS 3.0

Описанные в этой статье действия относятся к ОС Windows Server 2012 R2, которая включает службу ролей AD FS.The tasks that you will perform here are based on Windows Server 2012 R2 that includes the AD FS role service.

Обзор необходимых действийOverview of the required steps

Действие 1. Просмотр требований к сертификатам для AD FSStep 1 - Review the certificate requirements for AD FS

Действие 2. Установка и настройка служб федерации Active Directory (AD FS)Step 2 - Install and configure Active Directory Federation Services (AD FS)

Действие 3. Создание отношения доверия с проверяющей стороной и настраиваемых правил утверждений для Outlook Web App и EACStep 3 - Create a relying party trust and custom claim rules for Outlook Web App and EAC

Действие 4. Установка службы роли "Прокси-служба веб-приложения" (необязательно)Step 4 - Install the Web Application Proxy role service (optional)

Действие 5. Настройка службы роли "Прокси-служба веб-приложения" (необязательно)Step 5 - Configure the Web Application Proxy role service (optional)

Действие 6. Публикация Outlook Web App и EAC с помощью прокси-службы веб-приложения (необязательно)Step 6 - Publish Outlook Web App and EAC using Web Application Proxy (optional)

Действие 7. Настройка Exchange 2013 для проверки подлинности AD FSStep 7 - Configure Exchange 2013 to use AD FS authentication

Действие 8. Включение проверки подлинности AD FS на виртуальных каталогах OWA и ECPStep 8 - Enable AD FS authentication on the OWA and ECP virtual directories

Действие 9. Перезапуск или повторный запуск служб IISStep 9 - Restart or recycle Internet Information Services (IIS)

Действие 10. Тестирование утверждений AD FS для Outlook Web App и EACStep 10 - Test the AD FS claims for Outlook Web App and EAC

Дополнительные сведенияAdditional information you might want to know

Что нужно знать для начала?What do I need to know before I begin?

  • Минимальным требованием является установка отдельных серверов Windows Server 2012 R2: одного в качестве контроллера домена, использующего доменные службы Active Directory, сервера Exchange 2013, сервера прокси-службы веб-приложения и сервера служб федерации Active Directory. Убедитесь, что установлены все обновления.At a minimum, you need to install separate Windows Server 2012 R2 servers: one as a domain controller that uses Active Directory Domain Services (AD DS), an Exchange 2013 server, a Web Application Proxy server, and an Active Directory Federation Services (AD FS) server. Verify that all updates are installed.

  • Установите AD DS на соответствующее количество серверов Windows Server 2012 R2 в вашей организации. Кроме того, с помощью элемента Уведомления в разделе Диспетчер серверов > Информационная панель можно Повысить уровень этого сервера до контроллера домена.Install AD DS on the appropriate number of Windows Server 2012 R2 servers in your organization. You can also use Notifications in Server Manager > Dashboard to Promote this server to a domain controller.

  • Установите для вашей организации соответствующее количество серверов клиентского доступа и серверов почтовых ящиков. Убедитесь, что на всех серверах Exchange 2013 в вашей организации установлены все обновления, включая пакет обновления 1 (SP1). Чтобы скачать пакет обновления 1 (SP1), см. раздел Обновления для Exchange 2013.Install the appropriate number of Client Access and Mailbox servers for your organization. Verify that all updates are installed, including SP1, on all Exchange 2013 servers in your organization. To download SP1, see Updates for Exchange 2013.

  • Развертывание сервера прокси-службы веб-приложения на сервере требует разрешения локального администратора. Прежде чем развернуть сервер прокси-службы веб-приложения в вашей организации, необходимо развернуть службу AD FS на сервере под управлением Windows Server 2012 R2.Deploying Web Application Proxy on a server requires local administrator permissions. You must deploy AD FS on a server running Windows Server 2012 R2 in your organization before you can deploy Web Application Proxy.

  • Установите и настройте роль службы AD FS, создайте на сервере Windows Server 2012 R2 отношения доверия проверяющей стороны и правила утверждения. Для этого необходимо войти на сервер с помощью учетной записи пользователя, которая является членом группы администраторов домена, администраторов предприятия или локальной группы администраторов.Install and configure the AD FS role and create relying party trusts and claim rules on Windows Server 2012 R2. To do this, you need to log on with a user account that is a member of the Domain Admins, Enterprise Admins, or local Administrators group.

  • Определите необходимые разрешения для Exchange 2013, ознакомившись с разделом Разрешения на функции.Determine the required permissions for Exchange 2013 by seeing Feature permissions.

  • Вам должны быть назначены разрешения для управления Outlook Web App. Необходимые разрешения указаны в разделе "Разрешения Outlook Web App" статьи Разрешения клиентов и мобильных устройств.You need to be assigned permissions for managing Outlook Web App. To see what permissions you need, see the "Outlook Web App permissions" entry in the Clients and mobile devices permissions topic.

  • Вам должны быть назначены разрешения для управления EAC.You need to be assigned permissions for managing EAC. Чтобы просмотреть необходимые разрешения, обратитесь к разделу "подключение к центру администрирования Exchange" в разделе Exchange and Shell Infrastructure Permissions .To see what permissions you need, see the "Exchange admin center connectivity" entry in the Exchange and Shell infrastructure permissions topic.

  • Для выполнения некоторых процедур достаточно командной консоли. Сведения о том, как открыть командную консоль в локальной организации Exchange, см. в статье Open the Shell.You might be able to use only the Shell to perform some procedures. To learn how to open the Shell in your on-premises Exchange organization, see Open the Shell.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы?Having problems? Обратитесь за помощью к участникам форумов Exchange.Ask for help in the Exchange forums. Посетите форумы на сервере Exchange Server.Visit the forums at Exchange Server.

Действие 1. Просмотр требований к сертификатам для AD FSStep 1 - Review the certificate requirements for AD FS

Сертификаты играют важную роль для безопасности взаимодействия между серверами Exchange 2013 с пакетом обновления 1 (SP1), веб-клиентов, например Outlook Web App и EAC, серверов Windows Server 2012 R2, включая серверы служб федерации Active Directory (AD FS) и серверы прокси-службы веб-приложения. Требования к сертификатам зависят от того, какой сервер вы настраиваете: сервер AD FS, прокси-сервер AD FS или сервер прокси-службы веб-приложения. Сертификаты, используемые для служб AD FS, включая SSL и сертификаты для подписи маркеров, должны импортироваться в хранилище доверенного корневого центра сертификации на всех серверах Exchange, AD FS и серверах прокси-службы веб-приложения. При использовании командлета Set-OrganizationConfig на сервере Exchange 2013 с пакетом обновления 1 (SP1) также используется отпечаток для импортируемого сертификата.Certificates play a critical role in securing communications between Exchange 2013 SP1 servers; web clients such as Outlook Web App; and EAC, Windows Server 2012 R2 servers, including Active Directory Federation Services (AD FS) servers and Web Application Proxy servers. The requirements for certificates vary depending on whether you are setting up an AD FS server, AD FS Proxy, or Web Application Proxy server. The certificates that are used for AD FS services including the SSL and token signing certificates must be imported into the Trust Root Certification Authorities store on all of your Exchange, AD FS and Web Application Proxy servers. The thumbprint for the certificate that is imported is also used on the Exchange 2013 SP1 servers when you use the Set-OrganizationConfig cmdlet.

В любой конфигурации с AD FS должны использоваться различные сертификаты, чтобы защитить обмен данными между пользователями в Интернете и серверами AD FS. Каждый сервер федерации должен иметь сертификат служебного взаимодействия или сертификат SSL, а также сертификат для подписи маркера, чтобы серверы AD FS, контроллеры домена Active Directory и серверы Exchange 2013 смогли взаимодействовать и выполнять проверку подлинности. Учитывая требования к безопасности и бюджету, необходимо тщательно проанализировать, какие из ваших сертификатов будут получены с помощью общедоступного центра сертификации или центра сертификации предприятия. Если требуется установить и настроить корневой ЦС предприятия или подчиненный ЦС, вы можете использовать службы сертификации Active Directory. Дополнительные сведения об этих службах см. в статье Обзор служб сертификатов Active Directory.In any AD FS design, various certificates must be used to secure communication between users on the Internet and AD FS servers. Each federation server must have a service communication certificate or Secure Socket Layer (SSL) certificate and a token-signing certificate before AD FS servers, Active Directory domain controllers, and Exchange 2013 servers can communicate and authenticate. Depending on your security and budget requirements, carefully consider which of your certificates will be obtained by a public CA or an Enterprise CA. If you want to install and configure an Enterprise Root or Subordinate CA, you can use Active Directory Certificate Services (AD CS). If you want to know more about AD CS, see Active Directory Certificate Services Overview.

Хотя службы федерации Active Directory не требуют сертификата, выданного центром сертификации, сертификат SSL (по умолчанию сертификат SSL также используется в качестве сертификата службы взаимодействия) должен быть доверенным для клиентов AD FS. Мы не рекомендуем использовать самозаверяющие сертификаты. Серверы федерации используют сертификат SSL для обеспечении безопасности трафика веб-служб для SSL-подключения к веб-клиентам и прокси-серверами федерации. Поскольку сертификат SSL должен быть доверенным для клиентских компьютеров, мы рекомендуем использовать сертификат, подписанный надежным центром сертификации. Все выбранные вами сертификаты должны иметь соответствующий закрытый ключ. После получения сертификата из центра сертификации (корпоративного или общедоступного) убедитесь, что все сертификаты на всех серверах импортированы в хранилище доверенного корневого центра сертификации. Вы можете выполнить импорт сертификатов в хранилище с помощью команды оснастки MMC Сертификаты или распространить их с помощью служб сертификации Active Directory. Важно помнить, что в случае истечения срока действия импортированного сертификата необходимо вручную импортировать новый действительный сертификат.Although AD FS doesn't require certificates be issued by a CA, the SSL certificate (the SSL certificate that is also used by default as the service communications certificate) must be trusted by the AD FS clients. We recommend that you don't use self-signed certificates. Federation servers use an SSL certificate to secure web services traffic for SSL communication with web clients and with federation server proxies. Because the SSL certificate must be trusted by client computers, we recommend that you use a certificate that is signed by a trusted CA. All certificates that you select must have a corresponding private key. After you receive a certificate from a CA (Enterprise or public), make sure that all certificates are imported into the Trust Root Certification Authorities store on all servers. You can import certificates into the store with the Certificates MMC snap-in or distribute the certificates by using Active Directory Certificate Services. It's important that if the certificate that you imported expires, you manually import another valid certificate.

Важно!

Если вы используете самозаверяющий сертификат для подписи маркеров AD FS, на всех серверах Exchange 2013 необходимо выполнить импорт этого сертификата в хранилище доверенного корневого центра сертификации. Если при развернутой прокси-службе веб-приложения самозаверяющий сертификат для подписи маркеров не используется, в конфигурации прокси-службы веб-приложения и всех отношениях доверия проверяющий стороны AD FS необходимо обновить открытый ключ.If you use the self-signed token signing certificate from AD FS, you must import this certificate into the Trust Root Certification Authorities store on all of your Exchange 2013 servers. If the self-signed token signing certificate isn't used and Web Application Proxy is deployed, then you must update the public key in the Web Application Proxy configuration and all AD FS relying party trusts.

Настраивая Exchange 2013 с пакетом обновления 1 (SP1), AD FS и прокси-службы веб-приложения, следуйте приведенным ниже рекомендациям по сертификатам.When you are setting up Exchange 2013 SP1, AD FS, and Web Application Proxy, follow these certificate recommendations:

  • Серверы почтовых ящиков: сертификаты, используемые на серверах почтовых ящиков, являются самозаверяющим сертификатами, которые создаются при установке Exchange 2013.Mailbox servers: The certificates that are used on the Mailbox servers are self-signed certificates are they are created when Exchange 2013 is installed. Поскольку все клиенты подключаются к серверу почтовых ящиков Exchange 2013 через сервер клиентского доступа Exchange 2013, единственными сертификатами, требующими управления, являются те, которые размещены на серверах клиентского доступа.Because all clients connect to an Exchange 2013 Mailbox server through an Exchange 2013 Client Access server, the only certificates that you need to manage are those on the Client Access servers.

  • Серверы клиентского доступа: необходимо использовать SSL-сертификат, используемый для связи с обслуживанием.Client Access servers: An SSL certificate used for service communications is required. Если существующий сертификат SSL уже включает полное доменное имя (FQDN), используемое для настройки конечной точки отношения доверия с проверяющей стороной, дополнительные сертификаты не требуются.If your existing SSL certificate already includes the FQDN you are using to set up the relying party trust endpoint, no additional certificates are required.

  • AD FS: AD FS необходимы два типа сертификатов:AD FS: Two types of certificates are required by AD FS:

    • Сертификат SSL, используемый для взаимодействия службSSL certificate used for service communications

      • Имя субъекта: adfs.contoso.com (имя развертывания AD FS)Subject name: adfs.contoso.com (AD FS deployment name)

      • Альтернативное имя субъекта (SAN): нетSubject Alternative Name (SAN): None

    • Сертификат для подписи маркераToken signing certificate

      • Имя субъекта: tokensigning.contoso.comSubject name: tokensigning.contoso.com

      • Альтернативное имя субъекта (SAN): нетSubject Alternative Name (SAN): None

    Примечание

    При замене сертификата для подписи маркера на AD FS, чтобы использовать новый сертификат для подписи маркера, необходимо обновить любые существующие доверия проверяющей стороны.When you are replacing the token signing certificate on AD FS any existing relying party trusts must be updated to use the new token-signing certificate.

  • Прокси-служба веб-приложенияWeb Application Proxy

    - <span data-ttu-id="3442b-203">Сертификат SSL, используемый для взаимодействия служб</span><span class="sxs-lookup"><span data-stu-id="3442b-203">SSL certificate used for service communications</span></span>
    
      - <span data-ttu-id="3442b-204">Имя субъекта: **owa.contoso.com**</span><span class="sxs-lookup"><span data-stu-id="3442b-204">Subject name: **owa.contoso.com**</span></span>
    
      - <span data-ttu-id="3442b-205">Альтернативное имя субъекта (SAN): нет</span><span class="sxs-lookup"><span data-stu-id="3442b-205">Subject Alternative Name (SAN): None</span></span>
    
      > [!NOTE]
      > <span data-ttu-id="3442b-206">Если внешний URL-адрес прокси-службы веб-приложения совпадает с внутренним URL-адресом, то вы можете повторно использовать сертификат SSL Exchange.</span><span class="sxs-lookup"><span data-stu-id="3442b-206">If your Web Application Proxy External URL is the same as your internal URL, you can reuse Exchange's SSL certificate here.</span></span>
    
    - <span data-ttu-id="3442b-207">Сертификат SSL прокси-службы AD FS</span><span class="sxs-lookup"><span data-stu-id="3442b-207">AD FS Proxy SSL certificate</span></span>
    
      - <span data-ttu-id="3442b-208">Имя субъекта: **adfs.contoso.com** (имя развертывания AD FS)</span><span class="sxs-lookup"><span data-stu-id="3442b-208">Subject name: **adfs.contoso.com** (AD FS deployment name)</span></span>
    
      - <span data-ttu-id="3442b-209">Альтернативное имя субъекта (SAN): нет</span><span class="sxs-lookup"><span data-stu-id="3442b-209">Subject Alternative Name (SAN): None</span></span>
    
    - <span data-ttu-id="3442b-p118">Сертификат для подписи маркера — он будет скопирован автоматически из AD FS как часть указанных действий, указанных ниже. Если используется этот сертификат, он должен быть доверенным для серверов Exchange 2013 вашей организации.</span><span class="sxs-lookup"><span data-stu-id="3442b-p118">Token signing certificate - This will be copied over from AD FS automatically as part of the steps below. If this certificate is used, it must be trusted by the Exchange 2013 servers in your organization.</span></span>
    

Дополнительные требования к сертификатам см. в статье Обзор требований для развертывания служб федерации Active Directory.See the certificate requirements section in Review the requirements for deploying AD FS for more information about certificates.

Примечание

Даже если вы используете сертификат SSL для AD FS, для работы Outlook Web App все еще требуется сертификат шифрования SSL. Сертификат SSL используется в виртуальных каталогах OWA и ECP.An SSL encryption certificate is still needed for Outlook Web App and EAC even if you have an SSL certificate for AD FS. The SSL certificate is used on the OWA and ECP virtual directories.

Действие 2. Установка и настройка служб федерации Active Directory (AD FS)Step 2 - Install and configure Active Directory Federation Services (AD FS)

AD FS в Windows Server 2012 R2 обеспечивают упрощенную, защищенную федерацию удостоверений и возможности единого входа на веб-узлы (SSO). В состав AD FS входит служба федерации, позволяющая выполнять единый вход на веб-узлы с помощью браузера, использовать многофакторную проверку подлинности, а также проверку подлинности на основе утверждений. AD FS упрощает доступ к системам и приложениям за счет проверки подлинности на основе утверждений и механизма авторизации доступа для поддержания безопасности приложений.AD FS in Windows Server 2012 R2 provides simplified, secured identity federation and web single sign-on (SSO) capabilities. AD FS includes a federation service that enables browser-based web SSO, multifactor, and claims-based authentication. AD FS simplifies access to systems and applications by using a claims-based authentication and access authorization mechanism to maintain application security.

Чтобы установить AD FS на Windows Server 2012 R2, сделайте следующее.To install AD FS on Windows Server 2012 R2:

  1. Откройте Диспетчер серверов на начальном экране или Диспетчер серверов на панели задач рабочего стола. В меню Управление выберите пункт Добавить роли и компоненты.Open Server Manager on the Start screen or Server Manager on the taskbar on the desktop. Click Add Roles and Features on the Manage menu.

  2. На странице Прежде чем приступить к работе нажмите кнопку Далее.On the Before You Begin page, click Next.

  3. На странице Выберите тип установки выберите пункт Установка ролей или компонентов, а затем нажмите кнопку Далее.On the Select Installation Type page, click Role-based or Feature-based installation, and then click Next.

  4. На странице Выбор целевого сервера щелкните Выберите сервер из пула серверов, убедитесь, что выбран локальный компьютер, затем нажмите кнопку Далее.On the Select Destination Server page, click Select a server from the server pool, verify that the local computer is selected, and then click Next.

  5. На странице Выбор ролей сервера щелкните элемент Службы федерации Active Directory, а затем нажмите кнопку Далее.On the Select Server Roles page, click Active Directory Federation Services, and then click Next.

  6. На странице Выбор компонентов нажмите кнопку Далее. Необходимые параметры и компоненты уже выбраны. Не требуется выбирать другие компоненты.On the Select Features page, click Next. The required prerequisites or features are already selected for you. You do not need to select any other features.

  7. На странице Службы федерации Active Directory (AD FS) нажмите кнопку Далее.On the Active Directory Federation Service (AD FS) page, click Next.

  8. На странице Подтверждение выбранных элементов для установки установите флажок для элемента Автоматический перезапуск конечного сервера, если требуется, а затем нажмите кнопку Установить.On the Confirm Installation Selections page, check Restart the destination server automatically if required, and then click Install.

    Примечание

    Не закрывайте мастер во время установки.Do not close the wizard during the installation process.

После установки необходимых серверов AD FS и создания необходимых сертификатов необходимо настроить AD FS, а затем проверить работоспособность AD FS. При настройке AD FS можно использовать статью Контрольный список: настройка сервера федерации.After you install the required AD FS servers and generate the required certificates, you must configure AD FS and then test that AD FS is working correctly. You can also use the checklist here to help you in setting up and configuring AD FS: Checklist: Setting Up a Federation Server.

Чтобы настроить службы федерации Active Directory, сделайте следующее.To configure Active Directory Federation Services:

  1. на странице Ход выполнения установки в окне под элементом Службы федерации Active Directory выберите элемент Настроить службу федерации на этом сервере. Откроется мастер настройки службы федерации Active Directory.On the Installation Progress page, in the window under Active Directory Federation Services, click Configure the federation service on this server. The Active Directory Federation Service Configuration Wizard opens.

  2. На странице Добро пожаловать выберите Создать первый сервер федерации в новой ферме, а затем нажмите кнопку Далее.On the Welcome page, click Create the first federation server in a federation server farm, and then click Next.

  3. На странице Подключение к AD DS укажите учетную запись с правами администратора домена для правильного домена Active Directory, к которому присоединен этот компьютер, затем нажмите кнопку Далее. Если необходимо выбрать другого пользователя, нажмите кнопку Изменить.On the Connect to AD DS page, specify an account with domain administrator rights for the correct Active Directory domain that this computer is joined to, and then click Next. If you need to select a different user, click Change.

  4. На странице Настройка свойств службы выполните следующие действия, а затем нажмите кнопку Далее.On the Specify Service Properties page, do the following, and then click Next:

    • Импортируйте сертификат SSL, который вы получили ранее от службы сертификации Active Directory или общедоступного центра сертификации. Этот сертификат — обязательный сертификат аутентификации службы. Перейдите к папке с сертификатом SSL. Сведения о создании и импорте сертификатов SSL см. в статье Сертификаты сервера.Import the SSL certificate that you obtained earlier from AD CS or a public CA. This certificate is the required service authentication certificate. Browse to the location of your SSL certificate. For details on creating and importing SSL certificates, see Server Certificates.

    • Введите имя службы федерации (например, введите ADFS.contoso.com).Enter a name for your federation service (for example, type adfs.contoso.com).

    • Чтобы задать отображаемое имя для службы федерации, введите название организации (например, contoso, Ltd.).To provide a display name for your federation service, type the name of your organization (for example, Contoso, Ltd.).

  5. На странице Выбор учетной записи службы выберите Использовать существующую учетную запись пользователя домена или групповую учетную запись управляемой службы, а затем укажите учетную запись GMSA (FsGmsa), которую вы создали при создании контроллера домена. Включите пароль учетной записи, а затем нажмите кнопку Далее.On the Specify Service Account page, select Use an existing domain user account or group Managed Service Account, and then specify the GMSA account (FsGmsa) that you created when you created the domain controller. Include the account password, and then click Next.

    Примечание

    Глобальная учетная запись управляемой службы (GMSA) — это учетная запись, которую необходимо создать при настройке контроллера домена. Учетная запись GMSA требуется для установки и настройки AD FS. Если учетная запись еще не создана, выполните в Windows PowerShell следующую команду. Будет создана учетная запись для домена contoso.com и сервера AD FS:Globally Managed Service Account (GMSA) is an account that must be created when you configure a domain controller. The GMSA account is required during the AD FS installation and configuration. If you haven't created this account yet, run the following Windows PowerShell command. It creates the account for the contoso.com domain and the AD FS server:

  6. Выполните следующую команду.Run the following command.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    
  7. В этом примере создается новая учетная запись GMSA с именем Фсгмса для службы федерации с именем adfs.contoso.com.This example creates a new GMSA account named FsGmsa for the Federation Service named adfs.contoso.com. Имя службы федерации — это значение, которое отображается для клиентов.The Federation Service name is the value that's visible to clients.

    New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    
  8. На странице Выбор базы данных конфигурации выберите Создать на этом сервере базу данных на основе внутренней базы данных Windows, а затем нажмите кнопку Далее.On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and then click Next.

  9. На странице Просмотр параметров проверьте выбранные настройки конфигурации. Дополнительно можно использовать кнопку Просмотреть сценарий, чтобы автоматизировать дополнительные установки AD FS. Нажмите кнопку Далее.On the Review Options page, verify your configuration selections. You can optionally use the View Script button to automate additional AD FS installations. Click Next.

  10. На странице Проверки готовности убедитесь, что все проверки готовности успешно выполнены, а затем нажмите кнопку Настроить.On the Prerequisite Checks page, verify that all the prerequisite checks were successfully completed, and then click Configure.

  11. На странице Ход выполнения установки убедитесь, что все установлено правильно, а затем нажмите кнопку Закрыть.On the Installation progress page, verify that everything installed correctly, and then click Close.

  12. На странице Результаты просмотрите результаты, проверьте успешность завершения настройки, а затем нажмите элемент Для развертывания службы федерации нужно выполнить следующие действия.On the Results page, review the results, check whether the configuration completed successfully, and then click Next steps required for completing your federation service deployment.

Приведенные ниже команды Windows PowerShell выполняют те же действия, что и в предыдущих действиях.The following Windows PowerShell commands do the same thing as the preceding steps.

Import-Module ADFS
Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"

Дополнительные сведения и синтаксис см. в статье Install-AdfsFarm.For details and syntax, see Install-AdfsFarm.

Чтобы проверить установку: на сервере AD FS откройте веб-браузер и перейдите по URL-адресу метаданных федерации (например, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml).To verify the installation: On the AD FS server, open your web browser, and then browse to the URL of the federation metadata (for example, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml).

Действие 3. Создание отношения доверия с проверяющей стороной и настраиваемых правил утверждений для Outlook Web App и EACStep 3 - Create a relying party trust and custom claim rules for Outlook Web App and EAC

Для всех приложений и служб, которые требуется публиковать через прокси-службу веб-приложения, необходимо настроить отношение доверия с проверяющей стороной на сервере AD FS. Для развертываний с несколькими сайтами Active Directory, которые используют отдельные пространства имен, для каждого пространства имен необходимо добавить отношение доверия с проверяющей стороной для Outlook Web App и EAC.For all applications and services that you want to publish through Web Application Proxy, you must configure a relying party trust on the AD FS server. For deployments with multiple Active Directory sites that use separate namespaces, a relying party trust for Outlook Web App and EAC must be added for each namespace.

EAC использует виртуальный каталог ECP.EAC uses the ECP virtual directory. Вы можете просмотреть и настроить параметры для EAC с помощью командлетов Get-EcpVirtualDirectory и Set-EcpVirtualDirectory.You can view or configure settings for EAC by using the Get-EcpVirtualDirectory and the Set-EcpVirtualDirectory cmdlets. Чтобы получить доступ к центру администрирования Exchange, необходимо использовать веб-браузер **http://server1.contoso.com/ecp**и перейти по адресу.To access EAC, you must use a web browser and go to http://server1.contoso.com/ecp.

Примечание

Косая черта / в конце URL-адресов в приведенных ниже примерах включена преднамеренно. Важно убедиться, что отношения доверия с проверяющей стороной AD FS и универсальный код ресурса (URI) аудитории Exchange идентичны. Это означает, что отношения доверия с проверяющей стороной AD FS и универсальный код ресурса (URI) аудитории Exchange должны одновременно иметь или одновременно не иметь косую черту в конце URL-адресов. Примеры в этом разделе содержат косую черту / в конце каждого URL-адреса, заканчивающегося на "owa" (/owa/) или "ecp" (/ecp/).The inclusion of the trailing slash / in the URL examples shown below is intentional. It's important to ensure that both the AD FS relying party trusts and Exchange Audience URI's are identical. This means the AD FS relying party trusts and Exchange Audience URI's should both have or both emit the trailing slashes in their URLs. The examples in this section contain the trailing /'s after any url ending with "owa" ( /owa/) or "ecp" (/ecp/).

Чтобы создать в Outlook Web App отношения доверия с проверяющей стороной с помощью оснастки управления AD FS в Windows Server 2012 R2, сделайте следующее.For Outlook Web App, to create relying party trusts by using the AD FS Management snap-in in Windows Server 2012 R2:

  1. В окне Диспетчер серверов выберите Средства, а затем выберите Управление AD FS.In Server Manager, click Tools, and then select AD FS Management.

  2. В оснастке AD FS, в разделе отношения доверия\AD FS, щелкните правой кнопкой мыши отношения доверия с проверяющей стороной, а затем щелкните Добавить отношение доверия с проверяющей стороной, чтобы открыть мастер добавления отношения доверия с проверяющей стороной .In AD FS snap-in, under AD FS\Trust Relationships, right-click Relying Party Trusts, and then click Add Relying Party Trust to open the Add Relying Party Trust wizard.

  3. На странице Добро пожаловать нажмите кнопку Пуск.On the Welcome page, click Start.

  4. На странице Выбор источника данных щелкните Вручную ввести данные о проверяющей стороне, а затем нажмите кнопку Далее.On the Select Data Source page, click Enter data about the relying party manually, and then click Next.

  5. На странице укажите отображаемое имя в поле Отображаемое имя введите Outlook Web App, а затем в разделе заметкивведите описание этого отношения доверия с проверяющей стороной (например, **это отношение доверия https://mail.contoso.com/owa/ **), а затем нажмите кнопку Далее.On the Specify Display Name page, in the Display Name box, type Outlook Web App, and then under Notes, type a description for this relying party trust (such as This is a trust for https://mail.contoso.com/owa/) and then click Next.

  6. На странице Выбор профиля выберите Профиль AD FS, а затем нажмите кнопку Далее.On the Choose Profile page, click AD FS profile, and then click Next.

  7. На странице Настройка сертификата нажмите кнопку Далее.On the Configure Certificate page, click Next.

  8. На странице Настройка URL-адреса выберите включить поддержку пассивного протокола WS-Federation, а затем в разделе URL-адрес пассивного протокола WS-Federation проверяющей стороны **введите https://mail.contoso.com/owa/ **, а затем нажмите кнопку Далее.On the Configure URL page, click Enable support for the WS-Federation Passive protocol, and then under Relying party WS-Federation Passive protocol URL, type https://mail.contoso.com/owa/, and then click Next.

  9. На странице Настройка идентификаторов укажите один или несколько идентификаторов для этой проверяющей стороны, нажмите кнопку Добавить, чтобы добавить их в список, а затем нажмите кнопку Далее.On the Configure Identifiers page, specify one or more identifiers for this relying party, click Add to add them to the list, and then click Next.

  10. На странице Настроить многофакторную проверку подлинности сейчас? выберите Настроить параметры многофакторной проверки подлинности для этого отношения доверия с проверяющей стороной.On the Configure Multi-factor Authentication Now? page, select Configure multi-factor authentication settings for this relying party trust.

  11. На странице Настройка многофакторной проверки подлинности убедитесь, что выбран элемент Я не хочу настраивать параметры многофакторной проверки подлинности для этого отношения доверия с проверяющей стороной сейчас, а затем нажмите кнопку Далее.On the Configure Multi-factor Authentication page, verify that I do not want to configure multi-factor authentication settings for this relying party trust at this time is selected, and then click Next.

  12. На странице Выбор правил выдачи авторизации выберите Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.On the Choose Issuance Authorization Rules page, select Permit all users to access this relying party, and then click Next.

  13. На странице Готово для добавления доверия проверьте настройки, а затем нажмите кнопку Далее, чтобы сохранить сведения об отношении доверия с проверяющей стороной.On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.

  14. На странице Готово убедитесь, что не выбран элемент После закрытия мастера открыть диалоговое окно редактирования правил утверждения для этого отношения доверия с проверяющей стороной, а затем нажмите кнопку Закрыть.On the Finish page, verify that Open the Edit Claim Rules dialog for this relying party trust when the wizard closes isn't selected, and then click Close.

Чтобы создать отношение доверия с проверяющей стороной для EAC, необходимо выполнить эти действия еще раз и создать второе отношение доверия с проверяющей стороной, но вместо отображаемого имени Outlook Web App ввести EAC.To create a relying party trust for EAC, you must do these steps again and create a second relying party trust, but instead of putting in Outlook Web App for the display name, enter EAC. В качестве описания введите это отношение доверия для центра администрирования Exchange, а URL-адрес пассивного протокола WS-Federation проверяющей стороны — https://mail.contoso.com/ecp.For the description, enter This is a trust for the Exchange admin center, and the Relying party WS-Federation Passive protocol URL is https://mail.contoso.com/ecp.

В модели удостоверений, основанных на утверждениях, функцией служб федерации Active Directory (AD FS) является выдача маркера, содержащего набор утверждений. Правила утверждений регулируют решения в отношении выдаваемых службами AD FS утверждений. Правила утверждений и все данные конфигурации сервера хранятся в базе данных конфигураций AD FS.In a claims-based identity model, the function of Active Directory Federation Services (AD FS) as a federation service is to issue a token that contains a set of claims. Claims rules govern the decisions in regard to claims that AD FS issues. Claim rules and all server configuration data are stored in the AD FS configuration database.

Требуется создать два правила утверждений:It's required that you create two claim rules:

  • ИД безопасности пользователя Active DirectoryActive Directory user SID

  • UPN Active DirectoryActive Directory UPN

Чтобы добавить необходимые правила утверждений:To add the required claims rules:

  1. В окне Диспетчер серверов выберите Средства, а затем — Управление AD FS.In Server Manager, click Tools, and then click AD FS Management.

  2. В дереве консоли в разделе отношения доверия AD\FSвыберите отношения доверия поставщика утверждений или отношения доверия с проверяющейстороной, а затем щелкните отношение доверия с проверяющей стороной для Outlook Web App.In the console tree, under AD FS\Trust Relationships, click either Claims Provider Trusts or Relying Party Trusts, and then click the relying party trust for Outlook Web App.

  3. В окне Отношения доверия с проверяющей стороной щелкните правой кнопкой мыши отношение доверия Outlook Web App, а затем нажмите кнопку Редактировать правила утверждений.In the Relying Party Trusts window, right-click the Outlook Web App trust, and then click Edit Claim Rules.

  4. В окне Редактировать правила утверждений на вкладке Выдача правил преобразования нажмите кнопку Добавить правило, чтобы запустить мастер добавления правил преобразования утверждений.In the Edit Claim Rules window, on the Issuance Transform Rules tab, click Add Rule to start the Add Transform Claim Rule Wizard.

  5. На странице Выбор шаблона правила в разделе Шаблон правила утверждения из списка выберите Отправлять утверждения с помощью настраиваемого правила и нажмите кнопку Далее.On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule in the list, and then click Next.

  6. На странице Настройка правила на этапе Выбор типа правила в поле Имя правила утверждения введите имя для правила утверждения.On the Configure Rule page, in the Choose Rule Type step, under Claim rule name, enter the name for the claim rule. Используйте описательное имя для правила утверждений (например, активедиректорюсерсид).Use a descriptive name for the claim rule (for example, ActiveDirectoryUserSID). В разделе Настраиваемое правило введите правило утверждения, используя следующий синтаксис:Under Custom rule, enter the following claim rule language syntax for this rule:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
    
  7. На странице Настройка правила нажмите кнопку Готово.On the Configure Rule page, click Finish.

  8. В окне Редактировать правила утверждений на вкладке Выдача правил преобразования нажмите кнопку Добавить правило, чтобы запустить мастер добавления правил преобразования утверждений.In the Edit Claim Rules window, on the Issuance Transform Rules tab, click Add Rule to start the Add Transform Claim Rule Wizard.

  9. На странице Выбор шаблона правила в разделе Шаблон правила утверждения из списка выберите Отправлять утверждения с помощью настраиваемого правила и нажмите кнопку Далее.On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule in the list, and then click Next.

  10. На странице Настройка правила на этапе Выбор типа правила в поле Имя правила утверждения введите имя для правила утверждения.On the Configure Rule page, on the Choose Rule Type step, under Claim rule name, enter the name for the claim rule. Используйте описательное имя для правила утверждений (например, активедиректорюпн).Use a descriptive name for the claim rule (for example, ActiveDirectoryUPN). В разделе Настраиваемое правило введите правило утверждения, используя следующий синтаксис:Under Custom rule, enter the following claim rule language syntax for this rule:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
  11. Нажмите кнопку Готово.Click Finish.

  12. В окне Редактирование правил утверждений выберите Применить, а затем нажмите кнопку ОК.In the Edit Claim Rules window, click Apply, and then OK.

  13. Повторите шаги 3-12 для отношения доверия с проверяющей стороной для EAC.Repeat steps 3-12 of this procedure for the EAC relying party trust.

Кроме того, вы можете создавать отношения доверия с проверяющей стороной и правила утверждений с помощью Windows PowerShell:Alternatively, you can create relaying party trusts and claim rules by using Windows PowerShell:

  1. Создайте два TXT-файла: IssuanceAuthorizationRules.txt и IssuanceTransformRules.txt.Create the two .txt files IssuanceAuthorizationRules.txt and IssuanceTransformRules.txt.

  2. Импортируйте их содержимое в две переменные.Import their content into two variables.

  3. Выполните следующие два командлета, чтобы создать отношения доверия с проверяющей стороной. В этом примере также выполняется настройка правил утверждения.Run the following two cmdlets to create the relying party trusts. In this example, this will also configure the claim rules.

Файл IssuanceAuthorizationRules.txt содержит:IssuanceAuthorizationRules.txt contains:

@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

Файл IssuanceTransformRules.txt содержит:IssuanceTransformRules.txt contains:

@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

Выполните следующие команды:Run the following commands:

[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt

[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt

Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Шаг 4: Установка службы роли прокси-сервера веб-приложений (необязательно)Step 4 - Install the Web Application Proxy role service (optional)

Примечание

Действия 4, 5 и 6 предназначены для пользователей, которым нужно опубликовать Exchange OWA и ECP с помощью прокси-службы веб-приложения и которые хотят, чтобы эта прокси-служба выполняла проверку подлинности AD FS. Однако публикация Exchange с помощью прокси-службы веб-приложения не обязательна, поэтому вы можете сразу перейти к действию 7, если не используете эту прокси-службу и хотите, чтобы проверку подлинности AD FS выполнял сервер Exchange.Step 4, Step 5, and Step 6 are for users want to publish Exchange OWA and ECP using Web Application Proxy, and who want to have Web Application Proxy perform the AD FS authentication. However, publishing Exchange with Web Application Proxy is not required, so you can skip to Step 7 if you don't use Web Application Proxy and you do want Exchange to perform the AD FS authentication itself.

Прокси-служба веб-приложения — это новая служба роли удаленного доступа в Windows Server 2012 R2. Она обеспечивает функциональность обратного прокси-сервера для веб-приложений в корпоративной сети, что позволяет пользователям получать к ним доступ со многих устройств вне корпоративной сети. Прокси-служба веб-приложения выполняет предварительную аутентификацию для доступа к веб-приложениям с помощью служб федерации Active Directory (AD FS), а также выступает в качестве прокси AD FS. И хотя наличие этой службы не является обязательным, мы рекомендуем использовать ее, если у внешних клиентов есть доступ к AD FS. Но при использовании аутентификации AD FS через прокси-службу веб-приложения автономный доступ в Outlook Web App не поддерживается. Дополнительные сведения об интеграции прокси-службы веб-приложения см. в статье Установка и настройка прокси-службы веб-приложения для публикации внутренних приложений.Web Application Proxy is a new Remote Access role service in Windows Server 2012 R2. Web Application Proxy provides reverse proxy functionality for web applications inside your corporate network to allow users on many devices to access them from outside the corporate network. Web Application Proxy preauthenticates access to web applications by using Active Directory Federation Services (AD FS) and also functions as an AD FS proxy. Although Web Application Proxy isn't required, it is recommended when AD FS is accessible to external clients. However, offline access in Outlook Web App isn't supported when using AD FS authentication through Web Application Proxy. You can find more information about integrating with Web Application Proxy by seeing Installing and Configuring Web Application Proxy for Publishing Internal Applications

Предупреждение

Службу "Прокси веб-приложений" нельзя установить на сервер, на котором установлена служба AD FS.You can't install Web Application Proxy on the same server with AD FS installed.

Чтобы развернуть службу "Прокси веб-приложения", необходимо установить роль сервера удаленного доступа вместе со службой роли "Прокси веб-приложения" на сервер, который будет использоваться в качестве сервера прокси-службы веб-приложения. Чтобы установить службу роли "Прокси веб-приложения", сделайте следующее.To deploy Web Application Proxy, you must install the Remote Access server role with the Web Application Proxy role service on a server that will act as the Web Application Proxy server. To install the Web Application Proxy role service:

  1. На сервере прокси-службы веб-приложения, на странице Диспетчер серверов выберите Управление, а затем нажмите Добавить роли и компоненты.On the Web Application Proxy server, in Server Manager, click Manage, and then click Add Roles and Features.

  2. В мастере добавления ролей и компонентов три раза нажмите кнопку Далее, чтобы перейти к странице Роли сервера.In the Add Roles and Features Wizard, click Next three times to get to the Server Roles page.

  3. На странице Роли сервера выберите в списке Удаленный доступ, а затем нажмите кнопку Далее.On the Server Roles page, select Remote Access in the list, and then click Next.

  4. На странице Компоненты нажмите кнопку Далее.On the Features page, click Next.

  5. На странице Удаленный доступ прочтите сведения, а затем нажмите кнопку Далее.On the Remote Access page, read the information, and then click Next.

  6. На странице Службы ролей выберите Прокси веб-приложения. Затем в окне Мастер добавления ролей и компонентов щелкните элемент Добавить компоненты, а затем нажмите кнопку Далее.On the Role Services page, select Web Application Proxy. Then in the Add Roles and Features Wizard window, click Add Features, and then click Next.

  7. В окне Подтверждение нажмите кнопку Установить. Вы также можете установить флажок Автоматический перезапуск конечного сервера, если требуется.In the Confirmation window, click Install. You can also check Restart the destination server automatically if required.

  8. В диалоговом окне Ход выполнения установки убедитесь, что установка прошла успешно, а затем нажмите кнопку Закрыть.In the Installation progress dialog box, verify that the installation was successful, and then click Close.

Указанный ниже командлет Windows PowerShell выполняет те же действия, что описаны выше.The following Windows PowerShell cmdlet does the same thing as the preceding steps.

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Действие 5. Настройка службы роли "Прокси-служба веб-приложения" (необязательно)Step 5 - Configure the Web Application Proxy role service (optional)

Чтобы подключиться к серверу AD FS, необходимо настроить прокси-службу веб-приложения. Повторите эту процедуру для всех серверов, на которых требуется развернуть серверы прокси-службы веб-приложения.You must configure Web Application Proxy to connect to the AD FS server. Repeat this procedure for all of the servers that you want to deploy as Web Application Proxy servers.

Чтобы установить службу роли "Прокси веб-приложения", сделайте следующее.To configure the Web Application role service:

  1. На сервере прокси-службы веб-приложения на странице Диспетчер серверов выберите Средства, а затем нажмите Управление удаленным доступом.On the Web Application Proxy server, in Server Manager, click Tools, and then click Remote Access Management.

  2. На панели Настройка нажмите Прокси-служба веб-приложения.In the Configuration pane, click Web Application Proxy.

  3. В консоли Управление удаленным доступом на средней панели щелкните Запустить мастер настройки прокси-службы веб-приложения.In the Remote Access Management console, in the middle pane, click Run the Web Application Proxy Configuration Wizard.

  4. В мастере настройки прокси-службы веб-приложения в диалоговом окне Добро пожаловать нажмите кнопку Далее.In the Web Application Proxy Configuration Wizard, in the Welcome dialog box, click Next.

  5. На странице Сервер федерации выполните следующие действия, а затем нажмите кнопку Далее.On the Federation Server page, do the following, and then click Next:

    • В поле имя службы федерации введите полное доменное имя (FQDN) сервера AD FS (например, ADFS.contoso.com).In the Federation service name box, enter the fully qualified domain name (FQDN) of the AD FS server (for example, adfs.contoso.com).

    • В полях Имя пользователя и Пароль введите учетные данные локальной учетной записи администратора на серверах AD FS.In the User name and Password boxes, type the credentials of a local administrator account on the AD FS servers.

  6. В диалоговом окне Сертификат прокси-сервера AD FS в списке сертификатов, установленных на сервере прокси-службы веб-приложения, выберите сертификат, который будет обеспечивать возможности прокси-службы AD FS, а затем нажмите кнопку Далее.In the AD FS Proxy Certificate dialog box, in the list of certificates currently installed on the Web Application Proxy server, select the certificate to be used by Web Application Proxy for AD FS proxy functionality, and then click Next. Сертификат, который вы выбираете, должен быть тем, чей субъект является именем службы федерации (например, ADFS.contoso.com).The certificate you choose here should be the one whose subject is the Federation Service name (for example, adfs.contoso.com).

  7. Проверьте настройки в диалоговом окне Подтверждение. При необходимости можно скопировать командлет Windows PowerShell, чтобы автоматизировать дополнительные установки. Выберите пункт Настройка.In the Confirmation dialog box, review the settings. If required, you can copy the Windows PowerShell cmdlet to automate additional installations. Click Configure.

  8. В диалоговом окне Результаты убедитесь, что настройка прошла успешно, а затем нажмите кнопку Закрыть.In the Results dialog box, verify that the configuration was successful, and then click Close.

Указанный ниже командлет Windows PowerShell выполняет те же действия, что описаны выше.The following Windows PowerShell cmdlet does the same thing as the preceding steps.

Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com

Действие 6. Публикация Outlook Web App и EAC с помощью прокси-службы веб-приложения (необязательно)Step 6 - Publish Outlook Web App and EAC by using Web Application Proxy (optional)

В действии 3 вы создали утверждения для Outlook Web App и EAC, а теперь необходимо опубликовать оба эти приложения. Однако перед этим убедитесь, что для них создано отношение доверия с проверяющей стороной и что на сервере прокси-службы веб-приложения есть сертификат, который подходит для Outlook Web App и EAC. Для всех конечных точек AD FS, которые должны быть опубликованы прокси-службой веб-приложения, необходимо в консоли управления AD FS задать для конечной точки значение Прокси включен.In step 3, you created claims relaying party trusts for Outlook Web App and EAC, and you now need to publish both of these applications. But before you do this, verify that a relying party trust for them was created, and verify that you have a certificate on the Web Application Proxy server that is suitable for Outlook Web App and EAC. For all the AD FS endpoints that you require to be published by Web Application Proxy, in the AD FS Management console, you must set the endpoint to be Proxy Enabled.

Чтобы опубликовать Outlook Web App с помощью прокси-службы веб-приложения, выполните указанные действия. Для EAC необходимо повторить эти действия. При публикации EAC необходимо изменить имя, внешний URL-адрес, внешний сертификат и URL-адрес серверной части.Follow the steps to publish Outlook Web App by using Web Application Proxy. For EAC, you repeat these steps. When you publish EAC, you need to change the name, external URL, external certificate, and back-end URL.

Чтобы опубликовать Outlook Web App и EAC с помощью прокси-службы веб-приложения, сделайте следующее.To publish Outlook Web App and EAC by using Web Application Proxy:

  1. На сервере прокси-службы веб-приложения в консоли Управление удаленным доступом на панели Навигация выберите Прокси-служба веб-приложения, а затем на панели Задачи нажмите Опубликовать.On the Web Application Proxy server, in the Remote Access Management console, in the Navigation pane, click Web Application Proxy, and then in the Tasks pane, click Publish.

  2. В мастере публикации нового приложения на странице Добро пожаловать нажмите кнопку Далее.In the Publish New Application Wizard, on the Welcome page, click Next.

  3. На странице Предварительная проверка подлинности щелкните элемент Службы федерации Active Directory (AD FS), а затем нажмите кнопку Далее.On the Preauthentication page, click Active Directory Federation Services (AD FS), and then click Next.

  4. В списке проверяющих сторон на странице Проверяющая сторона выберите проверяющую сторону для приложения, которое требуется опубликовать, а затем нажмите кнопку Далее.On the Relying Party page, in the list of relying parties, select the relying party for the application that you want to publish, and then click Next.

  5. На странице Параметры публикации выполните следующие шаги, а затем нажмите кнопку Далее.On the Publishing Settings page, do the following, and then click Next:

    1. В поле Имя введите для приложения понятное имя. Это имя используется только в списке опубликованных приложений Консоли удаленного доступа. Для имен можно использовать OWA и EAC.In the Name box, enter a friendly name for the application. This name is used only in the list of published applications in the Remote Access Management console. You can use OWA and EAC for the names.

    2. В поле внешний URL-адрес введите внешний URL-адрес для этого приложения (например, https://external.contoso.com/owa/ для Outlook Web App и https://external.contoso.com/ecp/ для центра администрирования Exchange).In the External URL box, enter the external URL for this application (for example, https://external.contoso.com/owa/ for Outlook Web App and https://external.contoso.com/ecp/ for EAC).

    3. Из списка Внешний сертификат выберите сертификат, имя субъекта которого соответствует имени узла внешнего URL-адреса.In the External certificate list, select a certificate whose subject name matches the host name of the external URL.

    4. В поле URL-адрес внутреннего сервера введите URL-адрес внутреннего сервера.In the Backend server URL box, enter the URL of the back-end server. Обратите внимание, что это значение автоматически вводится при вводе внешнего URL-адреса, и его следует изменять только в том случае, если URL-адрес внутреннего сервера отличается https://mail.contoso.com/owa/ (например, для Outlook https://mail.contoso.com/ecp/ Web App и для центра администрирования Exchange).Note that this value is automatically entered when you enter the external URL, and you should change it only if the back-end server URL is different (for example, https://mail.contoso.com/owa/ for Outlook Web App and https://mail.contoso.com/ecp/ for EAC).

    Примечание

    Web Application Proxy can translate host names in URLs but cannot translate paths.Web Application Proxy can translate host names in URLs but cannot translate paths. Therefore, you can enter different host names, but you must enter the same path.Therefore, you can enter different host names, but you must enter the same path. Например, можно ввести внешний URL-адрес https://external.contoso.com/app1/ и URL-адрес внутреннего сервера. https://mail.contoso.com/app1/For example, you can enter an external URL of https://external.contoso.com/app1/ and a back-end server URL of https://mail.contoso.com/app1/. Однако вы не можете ввести внешний URL-адрес https://external.contoso.com/app1/ и URL-адрес внутреннего сервера https://mail.contoso.com/internal-app1/.However, you cannot enter an external URL of https://external.contoso.com/app1/ and a back-end server URL of https://mail.contoso.com/internal-app1/.

  6. На странице Подтверждение проверьте параметры и нажмите кнопку Опубликовать. Вы можете скопировать команду Windows PowerShell, чтобы настроить дополнительно публикуемые приложения.On the Confirmation page, review the settings, and then click Publish. You can copy the Windows PowerShell command to set up additional published applications.

  7. На странице Результаты убедитесь, что приложение опубликовано успешно, а затем нажмите кнопку Закрыть.On the Results page, make sure that the application published successfully, and then click Close.

Следующий командлет Windows PowerShell выполняет те же задачи, что и предыдущая процедура для Outlook Web App.The following Windows PowerShell cmdlet performs the same tasks as the preceding procedure for Outlook Web App.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'

Следующий командлет Windows PowerShell выполняет те же задачи, что и предыдущая процедура для EAC.The following Windows PowerShell cmdlet performs the same tasks as the preceding procedure for EAC.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'

После выполнения этих действий прокси-служба веб-приложения проверит подлинность AD FS для клиентов Outlook Web App и EAC и будет поддерживать подключения к Exchange вместо них. Вам не нужно настраивать сам сервер Exchange для проверки подлинности AD FS, поэтому перейдите к шагу 10, чтобы проверить конфигурацию.After you complete these steps, Web Application Proxy will perform AD FS authentication for Outlook Web App and EAC clients, and it will also proxy the connections to Exchange on their behalf. You do not need to configure Exchange itself for AD FS authentication, so proceed to step 10 to test your configuration.

Действие 7. Настройка Exchange 2013 для проверки подлинности AD FSStep 7 - Configure Exchange 2013 to use AD FS authentication

При настройке AD FS для проверки подлинности на основе утверждений с Outlook Web App и EAC в Exchange 2013 необходимо включить AD FS для организации Exchange. Чтобы настроить параметры AD FS для вашей организации, используйте командлет Set-OrganizationConfig.When you are configuring AD FS to be used for claims-based authentication with Outlook Web App and EAC in Exchange 2013, you must enable AD FS for your Exchange organization. You must use the Set-OrganizationConfig cmdlet to configure AD FS settings for your organization:

  • Задайте для https://adfs.contoso.com/adfs/ls/ ИЗДАТЕЛЯ AD FS значение.Set the AD FS issuer to https://adfs.contoso.com/adfs/ls/.

  • Установите для https://mail.contoso.com/owa/ универсальных кодов ресурса AD https://mail.contoso.com/ecp/ FS и.Set the AD FS URIs to https://mail.contoso.com/owa/ and https://mail.contoso.com/ecp/.

  • Найдите отпечаток сертификата для подписи маркера AD FS с помощью Windows PowerShell на сервере AD FS Get-ADFSCertificate -CertificateType "Token-signing"и введите.Find the AD FS token signing certificate thumbprint by using Windows PowerShell on the AD FS server and entering Get-ADFSCertificate -CertificateType "Token-signing". Затем назначьте найденный отпечаток сертификата для подписи маркеров.Then, assign the token-signing certificate thumbprint that you found. Если срок действия сертификата для подписи маркеров AD FS истек, отпечаток из нового сертификата для подписи маркеров AD FS необходимо обновить с помощью командлета Set-OrganizationConfig.If the AD FS token-signing certificate has expired, the thumbprint from the new AD FS token-signing certificate must be updated by using the Set-OrganizationConfig cmdlet.

Выполните следующие команды в командной консоли Exchange.Run the following commands in the Exchange Management Shell.

$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

Примечание

Для этих сценариев параметр AdfsEncryptCertificateThumbprint не поддерживается.The -AdfsEncryptCertificateThumbprint parameter isn't supported for these scenarios.

Дополнительные сведения и синтаксис см. в статьях Set-OrganizationConfig и Get-ADFSCertificate.For details and syntax, see Set-OrganizationConfig and Get-ADFSCertificate.

Действие 8. Включение проверки подлинности AD FS на виртуальных каталогах OWA и ECPStep 8 - Enable AD FS authentication on the OWA and ECP virtual directories

Для виртуальных каталогов OWA и ECP включите проверку подлинности AD FS в качестве единственного способа проверки подлинности и отключите все остальные ее формы.For the OWA and ECP virtual directories, enable AD FS authentication as the only authentication method and disable all other forms of authentication.

Предупреждение

Прежде чем приступить к настройке виртуального каталога OWA, необходимо настроить виртуальный каталог ECP.You must configure the ECP virtual directory before you configure the OWA virtual directory.

Настройте виртуальный каталог ECP с помощью консоли управления Exchange.Configure the ECP virtual directory by using the Exchange Management Shell. В окне командной консоли выполните следующую команду.In the Shell window, run the following command.

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Настройте виртуальный каталог OWA с помощью консоли управления Exchange.Configure the OWA virtual directory by using the Exchange Management Shell. В окне командной консоли выполните следующую команду.In the Shell window, run the following command.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

Примечание

Предыдущие команды в консоли управления Exchange выполняют настройку виртуальных каталогов OWA и ECP на каждом сервере клиентского доступа в организации.The preceding Exchange Management Shell commands configure the OWA and ECP virtual directories on every Client Access server in your organization. Если вы не хотите применять эти параметры ко всем серверам клиентского доступа, используйте параметр – Identity и укажите сервер клиентского доступа.If you don't want to apply these settings to all Client Access servers, use the -Identity parameter and specify the Client Access server. Скорее всего, применение этих настроек потребуется только в отношении тех серверов клиентского доступа, которые имеют выход в Интернет.It's likely you will want to apply these settings only to the Client Access servers in your organization that are Internet facing.

Дополнительные сведения и синтаксис см. в разделах Get-OwaVirtualDirectory и Set-OwaVirtualDirectory или Get-EcpVirtualDirectory и Set-EcpVirtualDirectory.For details and syntax, see Get-OwaVirtualDirectory and Set-OwaVirtualDirectory or Get-EcpVirtualDirectory and Set-EcpVirtualDirectory.

Действие 9. Перезапуск или повторный запуск служб IISStep 9 - Restart or recycle Internet Information Services (IIS)

После завершения всех необходимых действий, включая внесение изменений в виртуальные каталоги Exchange, необходимо перезапустить службы IIS. Воспользуйтесь для этого одним из описанных ниже способов.After you have completed all of the required steps, including making changes to Exchange virtual directories, you need to restart Internet Information Services. To do this, you can use one of the following methods:

  • Использование Windows PowerShell.Using Windows PowerShell:

    Restart-Service W3SVC,WAS -force
    
  • С помощью командной строки: нажмите кнопку Пуск, **** выберите пункт выполнить IISReset /noforce, введите, а затем нажмите кнопку ОК.Using a command line: Click Start, click Run, type IISReset /noforce, and then click OK.

  • Использование диспетчера служб IIS. В окне Диспетчера серверов > IIS выберите Средства, а затем нажмите Диспетчер служб IIS. В окне Диспетчера служб IIS на панели в области действий под элементом Управление сервером нажмите кнопку Перезапустить.Using Internet Information Servers (IIS) Manager: In Server Manager > IIS, click Tools, and then click Internet Information Services (IIS) Manager. In the Internet Information Servers (IIS) Manager window, in the action pane under Manage Server, click Restart.

Действие 10. Тестирование утверждений AD FS для Outlook Web App и EACStep 10 - Test the AD FS claims for Outlook Web App and EAC

Чтобы протестировать утверждения AD FS для Outlook Web App и EAC:To test the AD FS claims for Outlook Web App:

  • В веб-браузере Войдите в Outlook Web App (например, https://mail.contoso.com/owa).In your web browser, sign in to Outlook Web App (for example, https://mail.contoso.com/owa).

  • Если в браузере отобразится ошибка сертификата, просто перейдите на веб-сайт Outlook Web App. Вы будете перенаправлены на страницу входа в AD FS или увидите запрос учетных данных AD FS.In the browser window, if you get a certificate error, just continue on to the Outlook Web App website. You should be redirected to the ADFS sign-in page or the ADFS prompt for credentials.

  • Введите имя пользователя (пользователя домена\) и пароль, а затем нажмите кнопку войти.Type your user name (domain\user) and password, and then click Sign in.

Outlook Web App загрузится в окне.Outlook Web App will load in the window.

Чтобы проверить утверждения AD FS для EAC, сделайте следующее.To test the AD FS claims for EAC:

  1. В веб-браузере перейдите по **https://mail.contoso.com/ecp**адресу.In your web browser, go to https://mail.contoso.com/ecp.

  2. Если в браузере отобразится ошибка сертификата, просто перейдите на веб-сайт ECP. Вы будете перенаправлены на страницу входа в AD FS или увидите запрос учетных данных AD FS.In the browser window, if you get a certificate error, just continue on to the ECP website. You should be redirected to the ADFS sign-in page or the ADFS prompt for credentials.

  3. Введите имя пользователя (пользователя домена\) и пароль, а затем нажмите кнопку войти.Type your user name (domain\user) and password, and then click Sign in.

  4. В окне должен загрузиться Центр администрирования Exchange.EAC should load in the window.

Дополнительные полезные сведенияAdditional information you might want to know

Многофакторная проверка подлинностиMultifactor authentication

Для локальных развертываний Exchange 2013 с пакетом обновления 1 (SP1) развертывание и настройка служб федерации Active Directory (AD FS) 2.0 с помощью утверждений означает, что Outlook Web App и EAC в Exchange 2013 с пакетом обновления 1 (SP1) поддерживают способы многофакторной проверки подлинности, например проверку подлинности на основе сертификатов, проверку подлинности маркеров безопасности и проверку подлинности на основе отпечатков. Двухфакторную проверку подлинности часто путают с другими формами проверки подлинности. Выполнение многофакторной проверки подлинности требует использования двух или трех факторов проверки подлинности. Этими факторами являются:For on-premises Exchange 2013 SP1 deployments, deploying and configuring Active Directory Federation Services (AD FS) 2.0 by using claims means that Outlook Web App and EAC in Exchange 2013 SP1 can support multifactor authentication methods, such as certificate-based authentication, authentication or security tokens, and fingerprint authentication. Two-factor authentication is often confused with other forms of authentication. Multifactor authentication requires the use of two of the three authentication factors. These factors are:

  • сведения, известные только пользователю (например, пароль, ПИН-код или шаблон);Something only the user knows (for example, the password, PIN, or pattern)

  • объект, которым владеет только пользователь (например, банкоматная карточка, маркер безопасности, смарт-карта или мобильный телефон);Something only the user has (for example, an ATM card, security token, smart card, or mobile phone)

  • данные, которые может предоставить только пользователь (например, биометрическая характеристика, такая как отпечаток пальца).Something only the user is (for example, a biometric characteristic, such as a fingerprint)

Дополнительные сведения о многофакторной проверке подлинности в Windows Server 2012 R2 см. в статьях Обзор: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности и Пошаговое руководство: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности.For details on multifactor authentication in Windows Server 2012 R2, see Overview: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications and Walkthrough Guide: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.

В службе роли AD FS в Windows Server 2012 R2 служба федерации выполняет функцию службы маркеров безопасности, предоставляет маркеры безопасности, которые используются с утверждениями, и обеспечивает возможность поддержки многофакторной проверки подлинности. Служба федерации издает маркеры на основе предоставленных учетных данных. После того как хранилище учетных записей проверит учетные данные пользователя, в соответствии с правилами политики доверия для этого пользователя создаются утверждения, которые затем добавляются к маркеру безопасности, выданному клиенту. Дополнительные сведения об утверждениях см. в статье Общее представление об утверждениях.In the Windows Server 2012 R2 AD FS role service, the federation service functions as a security token service, provides the security tokens that are used with claims, and gives you the ability to support multifactor authentication. The federation service issues tokens based on the credentials that are presented. After the account store verifies a user's credentials, the claims for the user are generated according to the rules of the trust policy and then added to a security token that is issued to the client. For more information about claims, see Understanding Claims.

Работа параллельно с другими версиями ExchangeCo-Existing with Other Versions of Exchange

Существует возможность использовать проверку подлинности AD FS для Outlook Web App и EAC, когда в организации развернуты разные версии Exchange. Этот сценарий поддерживается только для развертываний Exchange 2010 и Exchange 2013 и только в том случае, если все клиенты подключаются через серверы Exchange 2013 и эти серверы настроены для проверки подлинности AD FS.It's possible to use AD FS authentication for Outlook Web App and EAC when you have more than one version of Exchange deployed in your organization. This scenario is only supported for Exchange 2010 and Exchange 2013 deployments, and only if all clients are connecting through the Exchange 2013 servers and those Exchange 2013 servers have been configured for AD FS authentication.

Пользователи с почтовым ящиком на сервере Exchange Server 2010 могут получать доступ к своей почте через сервер Exchange 2013, настроенный для проверки подлинности AD FS. Первоначальное подключение клиента к серверу Exchange 2013 будет использовать проверку подлинности AD FS. Тем не менее, выполненное через прокси-сервер подключение к серверу Exchange 2010 будет использовать Kerberos. Настройка сервера Exchange Server 2010 для прямой проверки подлинности AD FS не поддерживается.Users with a mailbox on an Exchange 2010 Server can access their mailboxes through an Exchange 2013 server configured for AD FS authentication. The initial client connection to the Exchange 2013 server will use AD FS authentication. The proxied connection to the Exchange 2010 server, however, will use Kerberos. There is no supported way to configure Exchange Server 2010 for direct AD FS authentication.