Compartir a través de


Descripción de la federación

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

A menudo, los trabajadores de la información necesitan colaborar con destinatarios externos, proveedores, asociados y clientes, y comparten la información de disponibilidad (conocida como disponibilidad de calendario) o los contactos. La federación en Microsoft Exchange Server 2010 ayuda con estos esfuerzos de colaboración. Federación hace referencia a la infraestructura de confianza subyacente que es compatible con la delegación federada, un método sencillo para que los usuarios compartan la información de calendario y contactos con los destinatarios en otras organizaciones federadas externas. Para obtener más información acerca de la delegación federada, consulte Descripción de la delegación federada.

¿Está buscando tareas de administración relacionadas con la federación? Consulte Administración de federación.

Contenido

Microsoft Federation Gateway

Confianza de federación

Identificador de organización federada

Ejemplo de federación

Requisitos de certificados para la federación

Transición a un certificado nuevo

Microsoft Federation Gateway

Microsoft Federation Gateway, un servicio gratuito basado en nube ofrecido por Microsoft, actúa como agente de confianza entre su organización local de Exchange 2010 y otras organizaciones federadas de Exchange 2010. Si desea configurar la federación en su organización de Exchange, debe establecer una confianza de federación única con Microsoft Federation Gateway, para que pueda convertirse en un socio de federación con su organización. Con esta confianza, los usuarios autenticados por Active Directory (conocidos como proveedores de identidades) reciban símbolos (tokens) de delegación del lenguaje de marcado de aserción de seguridad (SAML) por parte de Microsoft Federation Gateway. Estos tokens de delegación permiten a los usuarios de una organización federada ser de confianza de otra organización federada. Con Microsoft Federation Gateway actuando como el agente de confianza, las organizaciones no deben establecer varias relaciones de confianza individuales con otras organizaciones y los usuarios pueden obtener acceso a los recursos externos mediante un inicio de sesión único (SSO). Para obtener más información, consulte Descripción de Microsoft Federation Gateway.

Volver al principio

Confianza de federación

Para usar las características de delegación federada de Exchange 2010, debe establecer una confianza de federación entre su organización de Exchange 2010 y Microsoft Federation Gateway. Al establecer una confianza de federación con Microsoft Federation Gateway se intercambia el certificado de seguridad digital de la organización con Microsoft Federation Gateway y recupera el certificado de Microsoft Federation Gateway y los metadatos de la federación. Puede establecer una confianza de federación mediante el Asistente para nueva confianza de federación en la Consola de administración de Exchange (EMC) o el cmdlet New-FederationTrust en el Shell de administración de Exchange. El Asistente para nueva confianza de federación crea automáticamente un certificado autofirmado y éste se usa para firmar y cifrar tokens de delegación que permiten que las organizaciones federadas externas confíen en los usuarios. Para obtener información detallada acerca de los requisitos del certificado, consulte Requisitos de certificados para la federación más adelante en este tema.

Para obtener información más detallada acerca de cómo crear una confianza de federación, consulte Crear una confianza de federación.

Al crear una confianza de federación con Microsoft Federation Gateway, se genera automáticamente un identificador de aplicación (AppID) para la organización de Exchange y se proporciona en la salida del Asistente para nueva confianza de federación o del cmdlet New-FederationTrust. Microsoft Federation Gateway usa el identificador de aplicación para identificar la organización de Exchange. También es usado por la organización de Exchange para brindar pruebas de que su organización posee un dominio para el uso con Microsoft Federation Gateway. Esto se realiza al crear un registro de texto (TXT) en la zona Sistema de nombres de dominio (DNS) de cada dominio federado.

Para obtener información más detallada acerca de cómo crear un registro TXT, consulte Crear un registro TXT para la federación.

Volver al principio

Identificador de organización federada

El identificador de organización federada (OrgID) define los dominios aceptados autoritativos configurados en la organización de que están habilitados para la federación. Solo los destinatarios que tienen direcciones de correo electrónico con dominios aceptados configurados en OrgID son reconocidos por Microsoft Federation Gateway y pueden usar características de la delegación federada. Al crear una nueva confianza de federación, se crea automáticamente un OrgID con Microsoft Federation Gateway. Este OrgID es una combinación de una cadena predefinida y el primer dominio aceptado seleccionado para federación en el asistente. Por ejemplo, en el Asistente para administrar federación, si especifica el dominio federado contoso.com como el dominio principal SMTP de su organización, el espacio de nombres de la cuenta FYDIBOHF25SPDLT.contoso.com se creará automáticamente como el OrgID para la confianza de generación.

Este subdominio no debe ser aceptado en su organización de Exchange y no requiere un registro TXT de prueba de propiedad del Sistema de nombres de dominio (DNS). El único requisito es que los dominios aceptados seleccionados para ser federados se limiten a un máximo de 32 caracteres. Además, si usa un Asistente para administrar la configuración híbrida para crear una confianza de generación asociada con configurar la implementación híbrida entre la organización local y la organización de Exchange Online, el OrgID para la confianza federada también se comunica automáticamente con el espacio de nombres automatizado. El único objetivo de dicho subdominio es funcionar como espacio de nombres federados para Microsoft Federation Gateway con el fin de mantener identificadores exclusivos para los destinatarios que solicitan símbolos (tokens) de delegación del Lenguaje de marcado de aserción de seguridad (SAML). Para obtener más información acerca de los símbolos de SAML, consulte Símbolos y notificaciones de SAML.

Puede agregar o quitar dominios aceptados en cualquier momento. Si desea habilitar o deshabilitar todas las características de federación en su organización, todo lo que tiene que hacer es habilitar o deshabilitar el OrgID.

Importante

Si cambia el OrgID, los dominios aceptados o el AppID usado para la federación, todas las características de la federación son afectadas en su organización. Esto también acepta cualquier organización federada externa, incluidas las configuraciones de implementación híbrida y Office 365. Le recomendamos que notifique a todos los socios federados externos sobre los cambios en estas configuraciones.

Para obtener más información sobre cómo configurar OrgID federada, consulte los siguientes temas:

Volver al principio

Ejemplo de federación

Dos organización de Exchange, Contoso, Ltd. y Fabrikam, Inc., desean que sus usuarios puedan compartir la información de disponibilidad entre ellos. Cada organización crea una confianza de federación con Microsoft Federation Gateway y configura su espacio de nombres para incluir el dominio usado para su dominio de dirección de correo electrónico del usuario.

Los empleados de Contoso usan uno de los siguientes dominios de dirección de correo electrónico: contoso.com, contoso.co.uk, o contoso.ca. Los empleados de Fabrikam usan uno de los siguientes dominios de dirección de correo electrónico: fabrikam.com, fabrikam.org, o fabrikam.net. Ambas organizaciones aseguran que todos los dominios de correo electrónico aceptados se incluyen en el espacio de nombres para su confianza de federación con Microsoft Federation Gateway. En lugar de requerir un bosque complejo de Active Directory o una configuración de confianza del dominio entre los organizaciones, ambas organizaciones configuran una relación de la organización con la otra para permitir compartir la disponibilidad.

La siguiente figura ilustra la configuración de federación entre Contoso, Ltd. y Fabrikam, Inc.

Ejemplo de delegación federada

Requisitos de certificados para la federación

Para establecer una confianza de federación con Microsoft Federation Gateway, un certificado autofirmado o un certificado X.509 firmado por una autoridad de certificación (CA) se deben crear e instalar en el servidor Exchange 2010 usado para crear confianza. Le recomendamos usar un certificado autofirmado, el cual se puede crear automáticamente e instalar usando el Asistente para nueva confianza de federación en EMC. Este certificado se usa solo para firmar y cifrar tokens de delegación empleados para la delegación federada. Solo se requiere un certificado para la confianza de federación. Exchange 2010 distribuye automáticamente el certificado a otros certificados de Exchange 2010 de la organización.

Si desea usar un certificado X.509 firmado por una CA externa, el certificado debe cumplir con los siguientes requisitos:

  • Autoridad de certificación confiable   Si es posible, el certificado X.509 SSL (Capa de sockets seguros) debe ser emitido desde una CA confiable de Windows Live. Sin embargo, puede usar certificados emitidos por CA que actualmente no están certificados por Microsoft. Para obtener una lista actual de CA de confianza, consulte Autoridades de certificación raíz de confianza para confianzas de federación.

  • Identificador de clave de asunto   El certificado debe tener un campo de identificador de clave de asunto. La mayoría de los certificados X.509 emitidos por CA comerciales tienen este identificador.

  • Proveedor de servicios de cifrado (CSP) de CryptoAPI   El certificado debe usar un CSP de CryptoAPI. Certificados que usan la criptografía API: Los proveedores de próxima generación (CNG) no se admiten para la federación. Si usa Exchange para crear una solicitud de certificado, se usa un proveedor de CryptoAPI. Para obtener más información consulte criptografía API: Próxima generación.

  • Algoritmo de firma RSA   El certificado debe usar RSA como el algoritmo de firma.

  • Clave privada exportable   La clave privada usada para generar el certificado debe ser exportable. Puede especificar que la clave privada sea exportable al crear la solicitud de certificado mediante el ExchangeAsistente para nuevo certificado en la EMC o el cmdlet New-ExchangeCertificate en el Shell.

  • Certificado actual   El certificado debe ser actual. No puede usar un certificado expirado o revocado para crear una confianza de federación.

  • Uso mejorado de clave   El certificado debe incluir el tipo de uso mejorado de clave (EKU) Autenticación de cliente (1.3.6.1.5.5.7.3.2). Este tipo de uso se utiliza para demostrar su identidad en un equipo remoto. Si usa EMC o Shell para generar la solicitud de certificado, este tipo de uso se incluye de forma predeterminada.

Nota

Debido a que el certificado no se usa con fines de autenticación, no cuenta con requisitos de nombre de asunto o nombre de asunto alternativo. Puede usar un certificado con un nombre de asunto que sea el mismo nombre que el nombre de host, el nombre de dominio o cualquier otro nombre.

Volver al principio

Transición a un certificado nuevo

El certificado usado para crear la confianza de federación está designado como el certificado actual. Sin embargo, es posible que necesite instalar y usar periódicamente un nuevo certificado para la confianza de federación. Por ejemplo, es posible que necesite usar un nuevo certificado si el certificado actual caduca o para cumplir con los nuevos requisitos de seguridad o comerciales. Para garantizar una transición sin problemas a un certificado nuevo, debe instalar el certificado nuevo en el servidor de Exchange 2010 y configurar la confianza de federación para designarlo como el próximo certificado. Exchange 2010 distribuye automáticamente el próximo certificado a otros servidores de Exchange 2010 de la organización. Según la topología de Active Directory, la distribución del certificado puede tardar varios minutos. Puede comprobar el estado del certificado mediante el Asistente para administrar federaciones de la EMC o el cmdlet Test-FederationTrustCertificate en el Shell.

Después de comprobar el estado de distribución del certificado, puede configurar la confianza de manera que use el próximo certificado. Luego de cambiar los certificados, el certificado actual se designa como el certificado anterior y el próximo certificado se designa como el certificado actual. El nuevo certificado se publica en Microsoft Federation Gateway y, todos los nuevos tokens que se intercambian con Microsoft Federation Gateway se cifran con el certificado nuevo. La siguiente figura ilustra cómo puede usar el Asistente para administrar federaciones para configurar esta transición.

Transiciones de certificados

Para obtener más información acerca de la transición a un certificado nuevo, consulte Administrar federación.

Nota

Este proceso de transición del certificado es usado solamente por la federación. Si usa el mismo certificado para otras características de Exchange 2010 que usan certificados, debe tener en cuenta los requisitos de las características al planear obtener, instalar o cambiar a un certificado nuevo.

Volver al principio

 © 2010 Microsoft Corporation. Reservados todos los derechos.