了解联合身份验证

 

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2016-11-28

信息工作人员经常需要与外部收件人、供应商、合作伙伴和客户协作，并共享其忙/闲（也称为日历可用性）和联系人信息。Microsoft Exchange Server 2010 中的联合身份验证可帮助进行这些协作工作。“联合身份验证”指支持“联合委派”（用户与其他外部联盟组织中的收件人共享日历和联系人信息的一种简单方法）的基本信任基础结构。若要了解有关联合委派的详细信息，请参阅了解联合委派。

若要了解与联合身份验证相关的管理任务，请查看管理联合。

目录

Microsoft 联合身份验证网关

联合信任

联合组织标识符

联合身份验证示例

联合身份验证证书要求

转换到新证书

Microsoft 联合身份验证网关

Microsoft 联合身份验证网关是由 Microsoft 提供的一种基于云的服务，充当内部部署 Exchange 2010 组织与其他联合 Exchange 2010 组织之间的信任代理。如果您要在 Exchange 组织中配置联合身份验证，则必须与 Microsoft 联合身份验证网关建立一次性联合身份验证信任，以便该网关可以成为组织的联盟伙伴。建立了此信任之后，Microsoft 联合身份验证网关可为通过 Active Directory（称为“身份提供程序”）身份验证的用户颁发安全声明标记语言 (SAML) 委派标记。这些委派标记可以让来自一个联盟组织的用户受到其他联盟组织的信任。有了 Microsoft 联合身份验证网关充当信任代理，组织便无需与其他组织建立多个单独的信任关系，用户可以使用单一登录 (SSO) 体验访问外部资源。有关详细信息，请参阅了解 Microsoft 联合身份验证网关。

返回顶部

联合信任

若要使用 Exchange 2010 联合委派功能，必须在 Exchange 2010 组织与 Microsoft 联合身份验证网关之间建立联合身份验证信任。建立与 Microsoft 联合身份验证网关的联合身份验证信任会与 Microsoft 联合身份验证网关交换组织的数字安全证书，并检索 Microsoft 联合身份验证网关证书和联合身份验证元数据。可以在 Exchange 管理控制台 (EMC) 中使用“新建联合身份验证信任”向导，或在 Exchange 命令行管理程序中使用 New-FederationTrust cmdlet 建立联合身份验证信任。“新建联合身份验证信任”向导会自动创建一个自签名证书，该证书用于对使用户可以受外部联盟组织信任的委派标记进行签名和加密。有关证书要求的详细信息，请参阅本主题后面的联合身份验证证书要求。

有关如何创建联合身份验证信任的详细信息，请参阅创建联合身份验证信任。

使用 Microsoft 联合身份验证网关创建联合身份验证信任时，将自动为您的 Exchange 组织生成一个“应用程序标识符”(AppID)，该标识符在“新建联合身份验证信任”向导或 New-FederationTrust cmdlet 的输出中提供。Microsoft 联合身份验证网关使用 AppID 来唯一标识您的 Exchange 组织。Exchange 组织也使用 AppID 来证明组织拥有用于 Microsoft 联合身份验证网关的域。这通过在各个联盟域的域名系统 (DNS) 区域中创建文本 (TXT) 记录来实现。

有关如何创建 TXT 记录的详细信息，请参阅为联盟创建 TXT 记录。

返回顶部

联合组织标识符

“联盟组织标识符”(OrgID) 定义对组织中配置的哪些权威接受域启用联合身份验证。只有具有电子邮件地址以及在 OrgID 中配置的接受域的收件人，才会被 Microsoft 联合身份验证网关识别，并能够使用联合委派功能。创建新联合身份验证信任时，会自动通过 Microsoft 联合身份验证网关创建一个 OrgID。此 OrgID 是预定义字符串与在向导中为联合身份验证选择的第一个接受的域的组合。例如在管理联合身份验证向导中，如果指定联盟域“contoso.com”作为组织的主 SMTP 域，则会自动创建“FYDIBOHF25SPDLT.contoso.com”帐户命名空间作为联合身份验证信任的 OrgID。

此子域不必是 Exchange 组织中的接受的域，并且不需要域名系统 (DNS) 所有权证明 TXT 记录。唯一的要求是选择进行联盟的接受的域限制为最多 32 个字符。此外，如果使用管理混合配置向导创建与在内部部署组织与 Exchange Online 组织之间配置混合部署关联的联合身份验证信任，则也会自动通过自动命名空间配置联合身份验证信任的 OrgID。此子域的唯一用途是充当 Microsoft 联合网关的联合命名空间，以便维护与请求 SAML 委派令牌的收件人对应的唯一标识符。有关 SAML 令牌的详细信息，请参阅 SAML 令牌和声明

可以随时添加或删除接受的域。如果您要在组织中启用或禁用所有联合身份验证功能，则您只需启用或禁用 OrgID。

重要说明：
如果更改用于联合身份验证的 OrgID、接受的域或 AppID，则组织中的所有联合身份验证功能都会受到影响。这还会影响所有外部联盟组织，包括 Office 365 和混合部署配置。建议您将对这些配置设置的任何更改都通知给所有外部联盟伙伴。

有关配置联盟 OrgID 的详细信息，请参阅以下主题：

• 管理联合身份验证

• 配置联合委派

返回顶部

联合身份验证示例

两个 Exchange 组织 Contoso, Ltd. 和 Fabrikam, Inc. 希望其用户能够互相共享忙/闲信息。每个组织都与 Microsoft 联合身份验证网关创建联合身份验证信任，并将其帐户命名空间配置为包括用于其用户电子邮件地址域的域。

Contoso 员工使用以下电子邮件地址域之一：contoso.com、contoso.co.uk 或 contoso.ca。Fabrikam 员工使用以下电子邮件地址域之一：fabrikam.com、fabrikam.org 或 fabrikam.net。两个组织都确保在用于与 Microsoft 联合身份验证网关之间的联合身份验证信任的帐户命名空间中包括所有接受的电子邮件域。两个组织配置相互之间的组织关系以启用忙/闲共享，而不需要在两个组织之间进行复杂的 Active Directory 林或域信任配置。

下图说明 Contoso, Ltd. 与 Fabrikam, Inc. 之间的联合身份验证配置。

联合委派示例

联合身份验证证书要求

若要与 Microsoft 联合身份验证网关建立联合身份验证信任，必须创建自签名证书或由证书颁发机构 (CA) 签名的 X.509 证书，并在用于创建信任的 Exchange 2010 服务器上进行安装。建议使用自签名证书，该证书可以在 EMC 中使用“新建联合身份验证信任”向导自动创建和安装。该证书仅用于对用于联合委派的委派令牌进行签名和加密。联合信任只需要一个证书。Exchange 2010 会自动将该证书分发到组织中的其他 Exchange 2010 服务器。

如果您要使用某个由外部 CA 签名的 X.509 证书，则该证书必须满足以下要求：

• 受信任的 CA   如果可以，应从受 Windows Live 信任的 CA 颁发 X.509 安全套接字层 (SSL) 证书。但是，可以使用由当前未经 Microsoft 认证的 CA 颁发的证书。有关受信任的 CA 的当前列表，请参阅联合身份验证信任的受信任根证书颁发机构。

• **主题密钥标识符：**该证书必须具有主题密钥标识符字段。商业 CA 颁发的大多数 X.509 证书都具有此标识符。

• **CryptoAPI 加密服务提供程序 (CSP)：**该证书必须使用 CryptoAPI CSP。使用加密 API 的证书：联合身份验证不支持下一代 (CNG) 提供程序。如果使用 Exchange 创建证书请求，则使用 CryptoAPI 提供程序。有关详细信息，请参阅加密 API：下一代。

• **RSA 签名算法：**该证书必须使用 RSA 作为签名算法。

• **可导出私钥：**用于生成该证书的私钥必须可导出。在 EMC 中使用“新建 Exchange 证书”向导或在命令行管理程序中使用 New-ExchangeCertificate cmdlet 创建证书请求时，可以指定私钥可导出。

• **当前证书：**该证书必须是当前证书。不能使用过期或已吊销的证书来创建联合信任。

• **增强密钥用法：**证书必须包含增强密钥用法 (EKU) 类型的“客户端身份验证 (1.3.6.1.5.5.7.3.2)”。此使用类型用于向远程计算机证明您的身份。如果使用 EMC 或命令行管理程序生成证书请求，则此使用类型为默认包含项。

注意：
由于该证书不用于身份验证，因此它不包含任何主题名称或主题备用名称要求。可以使用主题名称与主机名、域名或任何其他名称相同的证书。

返回顶部

转换到新证书

用于创建联合信任的证书被指定为当前证书。但是，您可能需要定期为联合身份验证信任安装和使用新证书。例如，如果当前证书过期，或为了满足新业务或安全要求，您可能需要使用新证书。为确保无缝转换为新证书，必须在 Exchange 2010 服务器上安装新证书，并配置联合身份验证信任以将其指定为下一个证书。Exchange 2010 会自动将下一个证书分发到组织中的其他 Exchange 2010 服务器。证书的分发可能需要一段时间，具体取决于您的 Active Directory 拓扑。可以在 EMC 中使用“管理联合身份验证”向导，或在命令行管理程序中使用 Test-FederationTrustCertificate cmdlet 验证证书状态。

验证证书的分发状态后，便可将信任配置为使用下一个证书。切换证书后，当前证书被指定为上一个证书，而下一个证书则被指定为当前证书。新证书会发布到 Microsoft 联合身份验证网关，与 Microsoft 联合身份验证网关交换的所有新标记也将使用新证书加密。下图说明如何使用“管理联合身份验证”向导配置此转换。

证书转换

有关如何转换到新证书的详细信息，请参阅管理联合身份验证。

注意：
只有联合身份验证才使用此证书转换过程。如果将同一证书用于其他需要证书的 Exchange 2010 功能，则在计划采购、安装或转换到新证书时，必须考虑相应的功能要求。

返回顶部

 © 2010 Microsoft Corporation。保留所有权利。