Condividi tramite


Informazioni sulla federazione

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

Gli Information worker spesso devono collaborare con i destinatari esterni, quali fornitori, partner e clienti, e condividere le informazioni sulla disponibilità, il calendario o i contatti. La federazione in Microsoft Exchange Server 2010 contribuisce a tali sforzi di collaborazione. La Federazione fa riferimento all'infrastruttura di trust sottostante che supporta ladelega federata, un metodo semplice per gli utenti per condividere le informazioni relative al calendario e ai contatti con i destinatari in altre organizzazioni esterne federate. Per ulteriori informazioni sulla delega federata, vedere Informazioni sulla delega federata.

Per informazioni sulle attività di gestione relative alla federazione, vedere Gestione della federazione.

Sommario

Microsoft Federation Gateway

Relazione di trust federativa

Identificatore di organizzazione federativa

Esempio di federazione

Requisiti di certificato per la federazione

Transizione a un nuovo certificato

Microsoft Federation Gateway

Microsoft Federation Gateway, un servizio gratuito basato su cloud offerto da Microsoft, agisce come trust broker tra l'organizzazione locale di Exchange 2010 e altre organizzazioni federate di Exchange 2010. Se si desidera configurare la federazione nell'organizzazione Exchange, è necessario stabilire solo una volta la relazione di trust federativa con Microsoft Federation Gateway, in modo che possa diventare un partner di federazione con la propria azienda. Con l'esistenza di tale trust, gli utenti autenticati da Active Directory (noti come provider di identità) ricevono i token di delega SAML (Security Assertion Markup Language) da Microsoft Federation Gateway. Questi token di delega consentono agli utenti di un'organizzazione federativa di essere considerati attendibili da un'altra organizzazione federativa. Con Microsoft Federation Gateway che agisce come trust broker, non è necessario che le organizzazioni stabiliscano più relazioni di singoli trust federativi con le altre organizzazioni e agli utenti è consentito di accedere alle risorse esterne utilizzando una soluzione single sign-on (SSO). Per ulteriori informazioni, vedere Informazioni su Microsoft Federation Gateway.

Inizio pagina

Relazione di trust federativa

Per utilizzare le funzionalità di delega federata di Exchange 2010, è necessario stabilire un trust di federazione tra l'organizzazione Exchange 2010 e Microsoft Federation Gateway. Stabilendo un trust di federazione con Microsoft Federation Gateway si scambia il certificato di protezione digitale dell'organizzazione con Microsoft Federation Gateway e si ripristina il certificato di Microsoft Federation Gateway e i metadati di federazione. Una relazione di trust federativa può essere stabilita utilizzando la procedura guidata Nuova relazione di trust federativa in Exchange Management Console (EMC) o il cmdlet New-FederationTrust in Exchange Management Shell. Viene creato automaticamente un certificato autofirmato dalla procedura guidata Nuova relazione di trust federativa e viene utilizzato per firmare e crittografare i token di delega che consentono agli utenti di essere considerati attendibili dalle organizzazioni federate. Per i dettagli sui requisiti di certificato, vedere Requisiti di certificato per la federazione più avanti in questo argomento.

Per informazioni dettagliate sulla creazione di una relazione di trust federativa, vedere Creazione di una relazione di trust federativa.

Quando si crea una relazione di trust federativa con Microsoft Federation Gateway, un identificatore di applicazione (AppID) viene automaticamente generato per l'organizzazione Exchange e fornito nell'output della procedura guidata Nuova relazione di trust federativa o del cmdlet New-FederationTrust. L'AppID  viene utilizzato da Microsoft Federation Gateway per identificare in maniera univoca l'organizzazione Exchange. Viene inoltre utilizzato dall'organizzazione Exchange per fornire una prova che l'organizzazione possiede un dominio da utilizzare con Microsoft Federation Gateway. Questa operazione viene eseguita tramite la creazione di un record di testo TXT nella zona DNS (Domain Name System) di ogni dominio federato.

Per informazioni dettagliate sulla creazione di un record TXT, vedere Creazione di un record TXT per la federazione.

Inizio pagina

Identificatore di organizzazione federativa

L'identificatore di organizzazione federativa (OrgID) definisce quali dei domini accettati autorevoli configurati nell'organizzazione vengono abilitati per la federazione. Solo i destinatari che dispongono di indirizzi di posta elettronica con domini accettati configurati in OrgID vengono riconosciuti da Microsoft Federation Gateway e possono utilizzare le funzionalità di delega federata. Quando si crea una nuova relazione di trust federativa, viene creato automaticamente un OrgID con il Microsoft Federation Gateway. Questo OrgID è dato dalla combinazione di una stringa predefinita e il primo dominio accettato selezionato per la federazione nella procedura guidata. Ad esempio, nella procedura guidata Gestisci federazione, se si specifica il dominio federato contoso.com come dominio primario SMTP dell'organizzazione, lo spazio dei nomi account FYDIBOHF25SPDLT.contoso.com verrà automaticamente creato come OrgID per la relazione di trust federativa.

Non è necessario che questo sottodominio sia un dominio accettato nell'organizzazione Exchange e non è necessario un record di proprietà TXT DNS (Domain Name System). Il solo requisito necessario è che i domini accettati selezionati per la federazione siano limitati ad un massimo di 32 caratteri. Inoltre, se si utilizza la procedura guidata Gestione configurazione ibrida per creare una relazione di trust federativa associata alla configurazione di una distribuzione ibrida tra l'organizzazione locale e l'organizzazione Exchange Online, viene anche configurato automaticamente un OrgID per la relazione trust federativa con lo spazio dei nomi automatizzato. che verrà utilizzato unicamente come spazio dei nomi federato per consentire a Microsoft Federation Gateway di mantenere gli identificatori univoci per i destinatari che richiedono i token di delega SAML. Per ulteriori informazioni sui token SAML, vedere Attestazioni e token SAML.

È possibile aggiungere o rimuovere domini accettati in qualsiasi momento. Se si desidera abilitare o disabilitare tutte le funzionalità di federazione nell'organizzazione, è sufficiente abilitare o disabilitare l'OrgID.

Importante

Se si modifica l'OrgID, i domini accettati o l'AppID utilizzato per la federazione, sono coinvolte tutte le funzionalità di federazione nell'organizzazione. Questo influenza anche qualsiasi organizzazione federata esterna, incluse le configurazioni di distribuzione ibrida e di Office 365. Si consiglia di notificare a tutti i partner federati esterni qualsiasi modifica a queste impostazioni di configurazione.

Per ulteriori informazioni sulla configurazione dell'OrgID, vedere i seguenti argomenti:

Inizio pagina

Esempio di federazione

Due organizzazioni Exchange, Contoso, Ltd. e Fabrikam, Inc., desiderano che gli utenti siano in grado di condividere le informazioni di disponibilità. Ciascuna organizzazione crea una relazione di trust federativa con Microsoft Federation Gateway e ne configura lo spazio dei nomi dell'account in modo da includere il dominio utilizzato per gli indirizzi di posta elettronica dei relativi utenti.

I dipendenti di Contoso utilizzano uno dei seguenti domini di indirizzi di posta elettronica: contoso.com, contoso.co.uk, o contoso.ca. I dipendenti di Fabrikam utilizzano uno dei seguenti domini degli indirizzi di posta elettronica: fabrikam.com, fabrikam.org, o fabrikam.net. Entrambe le organizzazioni si accertano che tutti i domini accettati di indirizzi di posta elettronica siano inclusi nello spazio dei nomi dell'account per la relativa relazione di trust federativa con Microsoft Federation Gateway. Piuttosto che richiedere una complessa foresta di Active Directory o una configurazione di trust del dominio tra le due organizzazioni, entrambe le organizzazioni configurano una relazione di organizzazione l'una con l'altra per abilitare la condivisione delle informazioni sulla disponibilità.

La figura seguente illustra la configurazione di federazione tra Contoso, Ltd. e Fabrikam, Inc.

Esempio di delega federata

Requisiti di certificato per la federazione

Per stabilire una relazione di trust federativa con Microsoft Federation Gateway, è necessario creare e installare un certificato autofirmato o un certificato X.509 firmato da un'autorità di certificazione (CA) sul server Exchange 2010 utilizzato per creare il trust. Si consiglia di utilizzare un certificato autofirmato, che può essere creato automaticamente e installato utilizzando la procedura guidata Nuova relazione di trust federativa nell'EMC. Tale certificato viene utilizzato solo per firmare e crittografare i token utilizzati per la delega federativa. Per la relazione di trust federativa è richiesto un solo certificato. Exchange 2010 distribuisce automaticamente il certificato ad altri server Exchange 2010 dell'organizzazione.

Se si desidera utilizzare un certificato X.509 firmato da un CA esterno, il certificato deve rispondere ai seguenti requisiti:

  • Autorità di certificazione attendibile   Se possibile, il certificato Secure Sockets Layer (SSL) X.509 deve essere rilasciato da un'autorità di certificazione considerata attendibile da Windows Live. È tuttavia possibile utilizzare certificati rilasciati da autorità di certificazione che non sono attualmente certificate da Microsoft. Per un elenco aggiornato delle autorità di certificazione attendibili, vedere Autorità di certificazione radice disponibile nell'elenco locale per le relazioni di trust federative.

  • Identificatore chiave del soggetto   Il certificato deve disporre del campo Identificatore chiave del soggetto. La maggior parte dei certificati X.509 rilasciati da autorità di certificazione commerciali ha questo identificativo.

  • Provider del servizio di crittografia (CSP) CryptoAPI   Il certificato deve utilizzare un CSP CryptoAPI. Certificati che utilizzano Cryptography API: I provider di Next Generation (CNG) non sono supportati per la federazione. Se si utilizza Exchange per creare una richiesta di certificato, viene utilizzato un provider CryptoAPI. Per ulteriori informazioni, vedereCryptography API: Next Generation.

  • Algoritmo di firma RSA   Il certificato deve utilizzare RSA come algoritmo di firma.

  • Chiave privata esportabile   La chiave privata utilizzata per generare il certificato deve essere esportabile. È possibile specificare l'esportabilità della chiave privata quando si crea la richiesta di certificato utilizzando la procedura guidata Nuovo certificato di Exchangein EMC o il cmdlet New-ExchangeCertificate in Shell.

  • Certificato corrente   Il certificato deve essere corrente. Per creare una relazione di trust federativa, non è possibile utilizzare un certificato scaduto o revocato.

  • Utilizzo chiavi avanzato   Il certificato deve comprendere il tipo Utilizzo chiavi avanzato (EKU) Autenticazione client (1.3.6.1.5.5.7.3.2). Questo tipo di utilizzo viene usato per provare la propria identità come computer remoto. Se si utilizzal'EMC o Shell per generare la richiesta di certificato, questo tipo di utilizzo è incluso per impostazione predefinita.

Nota

Siccome non viene utilizzato per l'autenticazione, il certificato non dispone di alcun nome del soggetto né di alcun requisito per il nome alternativo del soggetto. È possibile utilizzare un certificato con un nome del soggetto equivalente al nome host, al nome di dominio o a qualsiasi altro nome.

Inizio pagina

Transizione a un nuovo certificato

Il certificato utilizzato per creare la relazione di trust federativa viene designato come certificato corrente. Tuttavia, potrebbe essere necessario installare ed utilizzare un nuovo certificato per relazione di trust federativa periodicamente. Ad esempio, potrebbe essere necessario utilizzare un nuovo certificato se il certificato corrente scade o per rispondere ad un nuovo requisito dell'azienda o di protezione. Per garantire un passaggio diretto a un nuovo certificato, è necessario installare il nuovo certificato sul server Exchange 2010 e configurare la relazione di trust federativa per designarlo come certificato successivo. Exchange 2010 distribuisce automaticamente il certificato successivo ad altri server Exchange 2010 dell'organizzazione. In base alla topologia di Active Directory, la distribuzione del certificato potrebbe richiedere alcuni minuti. È possibile verificare lo stato del certificato utilizzando la procedura guidata della federazione in EMC o il cmdlet Test-FederationTrustCertificate in Shell.

Una volta verificato lo stato di distribuzione del certificato, è possibile configurare il trust per passare al certificato successivo. Dopo il passaggio, il certificato corrente viene designato come certificato precedente, mentre quello successivo viene designato come certificato corrente. Il nuovo certificato corrente viene pubblicato a Microsoft Federation Gateway e tutti i nuovi token scambiati con Microsoft Federation Gateway vengono crittografati con il nuovo certificato. La figura seguente illustra come utilizzare la procedura guidata della federazione per configurare questo passaggio.

Transizioni di certificato

Per ulteriori informazioni sulla transizione a un nuovo certificato, vedere Gestisci la federazione.

Nota

Questo processo di transizione del certificato viene utilizzato solo dalla federazione. Se si utilizza lo stesso certificato per altre funzionalità di Exchange 2010 per cui sono necessari i certificati, è necessario considerare i requisiti delle funzionalità quando si intende ottenere, installare o passare a un nuovo certificato.

Inizio pagina

 ©2010 Microsoft Corporation. Tutti i diritti riservati.