Noções Básicas Sobre Federação

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

Os trabalhadores de informações frequentemente precisam colaborar com destinatários externos, fornecedores, parceiros e clientes e compartilhar sua disponibilidade (o que também é conhecido como disponibilidade de calendário) e informações de contato. A federação no Microsoft Exchange Server 2010 ajuda nesses esforços de colaboração. Federação à infraestrutura confiável subjacente que oferece suporte à delegação federada, um método fácil para os usuários compartilharem informações de calendário e contato com destinatários de outras organizações federadas. Para saber mais sobre delegação federada, consulte Noções básicas sobre Delegação Federada.

Procurando tarefas de gerenciamento relacionadas a federação? Veja Gerenciando Federação.

Sumário

Microsoft Federation Gateway

Confiança de Federação

Identificador de organização federada

Exemplo de federação

Requisitos de certificado para federação

Transição para um novo certificado

Microsoft Federation Gateway

O Microsoft Federation Gateway, um serviço gratuito baseado na nuvem oferecido pela Microsoft, atua como agente de confiança entre a sua organização local do Exchange 2010 e outras organizações do Exchange 2010 federadas. Se quiser configurar a federação na sua organização do Exchange, você deverá estabelecer uma confiança de federação única com o Microsoft Federation Gateway, para que possa se tornar um parceiro de federação com a sua organização. Com essa confiança estabelecida, os usuários autenticados pelo Active Directory (conhecidos como provedores de identidade) recebem tokens de delegação SAML do Microsoft Federation Gateway. Os tokens de delegação permitem que os usuários de uma organização federada sejam considerados confiáveis por outra organização federada. Com o Microsoft Federation Gateway atuando como o agente de confiança, as organizações não são obrigadas a estabelecer vários relacionamentos de confiança individuais com outras organizações, e os usuários podem acessar recursos externos usando uma experiência de logon único (SSO). Para obter mais informações, consulte Entendendo o Microsoft Federation Gateway.

Voltar ao início

Confiança de Federação

Para usar os recursos de delegação federada do Exchange 2010, você deve estabelecer uma confiança de federação entre sua organização do Exchange 2010 e o Microsoft Federation Gateway. O estabelecimento de uma confiança de federação com o Microsoft Federation Gateway troca o certificado de segurança digital de sua organização com o Microsoft Federation Gateway e recupera o certificado e os metadados de federação do Microsoft Federation Gateway. É possível estabelecer uma confiança de federação usando o assistente Nova Confiança de Federação no Console de Gerenciamento do Exchange (EMC) ou no cmdlet New-FederationTrust no Shell de Gerenciamento do Exchange. Um certificado autoassinado é automaticamente criado pelo assistente Nova Confiança de Federação é usado para assinar e criptografar tokens de delegação que permitam que os usuários sejam considerados confiáveis por organizações federadas externas. Para obter detalhes sobre os requisitos de certificado, consulte Requisitos de certificado para federação mais adiante neste tópico.

Para detalhes sobre como criar uma confiança de federação, consulte Criar uma Confiança de Federação.

Quando você cria uma confiança de federação com o Microsoft Federation Gateway, um identificador de aplicativo (AppID) é gerado automaticamente para sua organização do Exchange e fornecido na saída do assistente Nova Confiança de Federação ou no cmdlet New-FederationTrust. O AppID é usado pelo Microsoft Federation Gateway para identificar exclusivamente a sua organização do Exchange. É também usado pela organização do Exchange para fornecer prova de que a sua organização possui o domínio para uso com o Microsoft Federation Gateway. Isso é feito com a criação de um registro de texto (TXT) na zona DNS de cada domínio federado.

Para detalhes sobre como criar um registro TXT, consulte Criar um registro TXT para federação.

Voltar ao início

Identificador de organização federada

O identificador de organização federada (OrgID) define qual dos domínios autoritativos aceitos configurados em sua organização estão habilitados para federação. Somente os destinatários com endereços de email com domínios aceitos configurados no OrgID são reconhecidos pelo Microsoft Federation Gateway e podem usar recursos de delegação federada. Ao criar uma nova confiança de federação, um OrgID é criado automaticamente com o Microsoft Federation Gateway. Esse OrgID é uma combinação de uma cadeia de caracteres predefinida e o primeiro domínio aceito selecionado para federação no assistente. Por exemplo no assistente Gerenciar Federação, se você especificar o domínio federado contoso.com como domínio SMTP primário de sua organização, o namespace de conta FYDIBOHF25SPDLT.contoso.com será criado automaticamente como o OrgID da confiança de federação.

O subdomínio não precisa ser um domínio aceito em sua organização do Exchange e não exige um registro TXT de prova de propriedade de DNS (sistema de nomes de domínio). O único requisito é de que os domínios aceitos selecionados para federação limitem-se a um máximo de 32 caracteres. Além disso, se o assistente Gerenciar Configuração Híbrida for usado para criar uma confiança de federação associada à configuração de uma implantação híbrida entre sua organização local e uma organização do Exchange Online, o OrgID da confiança federada também é configurado automaticamente com o namespace automatizado. A única finalidade desse subdomínio é servir como o namespace federado para que o Microsoft Federation Gateway mantenha identificadores exclusivos para destinatários que solicitam tokens de delegação SAML. Para obter mais informações sobre tokens SAML, consulte Tokens e Declarações SAML

Você pode adicionar ou remover domínios aceitos a qualquer momento. Para habilitar ou desabilitar todos os recursos de federação de sua organização, basta habilitar ou desabilitar o OrgID.

Para mais informações sobre a configuração de OrgID federado, consulte os seguintes tópicos:

• Gerenciar Federação

• Configurar a Delegação Federada

Voltar ao início

Exemplo de federação

Duas organizações do Exchange, Contoso, Ltd. e Fabrikam, Inc., querem que seus usuários consigam compartilhar informações de disponibilidade entre eles. Cada organização cria uma confiança de federação com o Microsoft Federation Gateway e configura seu namespace de conta para incluir o domínio usado para o domínio de endereço de email do usuário.

Os funcionários da Contoso usam um dos seguintes domínios de endereço de email: contoso.com, contoso.co.uk ou contoso.ca. Os funcionários da Fabrikam usam um dos seguintes domínios de endereço de email: fabrikam.com, fabrikam.org ou fabrikam.net. Ambas as organizações verificam se todos os domínios de email aceitos estão incluídos no namespace de conta de sua confiança de federação com o Microsoft Federation Gateway. Em vez de solicitar uma configuração complexa de confiança de floresta ou domínio do Active Directory entre as duas organizações, essas duas organizações configuram um relacionamento de organização entre elas para permitir o compartilhamento de informações de disponibilidade.

A seguinte figura mostra a configuração de federação entre Contoso, Ltd. e Fabrikam, Inc.

Exemplo de delegação federada

Requisitos de certificado para federação

Para estabelecer uma confiança de federação com o Microsoft Federation Gateway, um certificado autoassinado ou um certificado X.509 assinado por uma autoridade de certificação (CA) deverá ser criado e instalado no servidor do Exchange 2010 usado para criar a confiança. Recomendamos usar um certificado autoassinado, que pode ser criado e instalado automaticamente com o uso do assistente de Nova Confiança de Federação no EMC. O certificado é usado somente para assinar e criptografar tokens de delegação usados para delegação federada. Apenas um certificado é necessário para a confiança de federação. O Exchange 2010 automaticamente distribui o certificado a outros servidores Exchange 2010 na organização.

Se quiser usar um certificado X.509 assinado por um CA externo, o certificado deverá atender aos seguintes requisitos:

• CA confiável   Se possível, o certificado SSL X.509 deve ser emitido por um CA de confiança do Windows Live. No entanto, você pode usar certificados emitidos pelos CAs que atualmente não estejam certificados pela Microsoft. Para uma lista atual de CAs de confiança, consulte Autoridades de certificação raiz confiáveis para confianças de federação.

• Identificador de chave do requerente   O certificado deve ter um campo de identificador de chave do requerente. A maioria doa certificados X.509 emitidos por CAs comerciais tem esse identificador.

• Provedor de serviços de criptografia (CSP) CryptoAPI O certificado deve usar um CSP CryptoAPI. Certificados que usam Cryptography API: os provedores de Próxima Geração (CNG) não são suportados para federação. Se usar o Exchange para criar uma solicitação de certificado, um provedor CryptoAPI será usado. Para obter mais informações, consulte Cryptography API: Next Generation.

• Algoritmo de assinatura RSA O certificado deve usar RSA como o algoritmo de assinatura.

• Chave privada exportável   A chave privada usada para gerar o certificado deve ser exportável. Você pode especificar que a chave privada seja exportável ao criar a solicitação de certificado usando o assistente Novo Certificado do Exchange no EMC ou no cmdlet New-ExchangeCertificate no Shell.

• Certificado atual   O certificado deve ser atual. Não é possível usar um certificado expirado ou revogado para criar uma confiança de federação.

• Uso avançado de chave   O certificado deve incluir o tipo de uso avançado de chave (EKU) Autenticação de Cliente (1.3.6.1.5.5.7.3.2). Esse tipo de uso é feito para provar sua identidade a um computador remoto. Se você usar EMC ou o Shell para gerar uma solicitação de certificado, esse tipo de uso será incluído por padrão.

Voltar ao início

Transição para um novo certificado

O certificado usado para criar a confiança de federação é designado como o certificado atual. Entretanto, pode ser preciso instalar e usar um novo certificado para a confiança de federação periodicamente. Por exemplo, poderá haver a necessidade de usar um novo certificado se o certificado atual expirar ou para atender a um novo requisito comercial ou de segurança. Para garantir uma transição perfeita para um novo certificado, você precisa instalar o novo certificado no seu servidor Exchange 2010 e configurar a confiança de federação para designá-la como o próximo certificado. O Exchange 2010 automaticamente distribui o próximo certificado a outros servidores Exchange 2010 na organização. Dependendo de sua topologia do Active Directory, a distribuição do certificado pode levar um tempo. Você pode verificar o status do certificado usando o assistente Gerenciar Federação no EMC ou o cmdlet Test-FederationTrustCertificate no Shell.

Após verificar o status de distribuição do certificado, você pode configurar a confiança para usar o próximo certificado. Após a troca de certificados, o certificado atual é designado como o certificado anterior, e o próximo certificado é designado como o certificado atual. O novo certificado é publicado no Microsoft Federation Gateway, e todos os tokens novos trocados com o Microsoft Federation Gateway são criptografados com o uso do novo certificado. A figura a seguir mostra como é possível usar o assistente Gerenciar Federação para configurar essa transição.

Transições de certificado

Para mais informações sobre como fazer a transição para um novo certificado, consulte Gerenciar Federação.

Voltar ao início

 © 2010 Microsoft Corporation. Todos os direitos reservados.