Noções Básicas Sobre Federação
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-26
Os operadores de informações frequentemente precisam colaborar com destinatários externos, como fornecedores, parceiros e clientes, e compartilhar suas informações de disponibilidade (ocupado/livre), calendário ou contatos. Microsoft Exchange Server 2010 fornece compartilhamento fácil de informações com destinatários externos. A Federação oferece a infraestrutura de confiança subjacente para permitir o compartilhamento fácil e seguro de informações entre organizações do Exchange e em organizações entre locais.
No Exchange 2010, a federação é usada para compartilhamento federado, que permite fácil compartilhamento de informações de disponibilidade, calendário e contatos com destinatários em organizações federadas externas. Para mais informações sobre compartilhamento federado, consulte Noções Básicas Sobre Compartilhamento Federado.
Procurando tarefas de gerenciamento relacionadas a federação? Consulte Gerenciando Federação.
Sumário
Microsoft Federation Gateway
Confiança de Federação
Identificador de organização federada
Requisitos de certificado para federação
Transição para um novo certificado
Microsoft Federation Gateway
O Exchange 2010 usa o Microsoft Federation Gateway, um serviço de identidade executado na nuvem (na Internet e além do domínio da rede corporativa), como o agente de confiança. As organizações do Exchange que querem usar a federação estabelecem uma confiança de federação com o Microsoft Federation Gateway, permitindo que se torne um parceiro de federação para a organização do Exchange. A confiança permite que os usuários autenticados pelo Active Directory (conhecidos como provedores de identidade) tenham tokens de delegação SAML emitidos pelo Microsoft Federation Gateway. Esses tokens permitem que os usuários de uma organização federada sejam considerados confiáveis por outra organização federada. Com o Microsoft Federation Gateway atuando como o agente de confiança, as organizações não são obrigadas a estabelecer vários relacionamentos de confiança individuais com outras organizações. Os usuários podem acessar recursos externos usando uma experiência de logon único (SSO). Para obter mais informações, consulte Microsoft Federation Gateway (em inglês).
.gif "Relações de confiança de federação e compartilhamento federado")
Retornar ao início
Confiança de Federação
Para usar a federação do Exchange 2010, é preciso estabelecer uma confiança de federação entre sua organização do Exchange 2010 e o Microsoft Federation Gateway trocando o certificado de sua organização com o Microsoft Federation Gateway e recuperando os metadados de federação e certificado do Microsoft Federation Gateway. É possível estabelecer uma confiança de federação usando o assistente Nova Confiança de Federação no Console de Gerenciamento do Exchange (EMC) ou no cmdlet New-FederationTrust no Shell de Gerenciamento do Exchange. O certificado é usado para assinar e criptografar tokens. Para obter detalhes sobre os requisitos de certificado, consulte Requisitos de certificado para federação mais adiante neste tópico.
Para obter detalhes sobre como criar uma confiança de federação, consulte Criar uma Confiança de Federação.
Quando se cria uma confiança de federação com o Microsoft Federation Gateway, um identificador de aplicativo (AppID) é gerado para a sua organização do Exchange e fornecido na saída do assistente Nova Confiança de Federação ou do cmdlet New-FederationTrust. O AppID é usado pelo Microsoft Federation Gateway para identificar sua organização do Exchange. Ele é também usado pela organização do Exchange para fornecer prova de propriedade dos domínios registrados sendo federados. Isso é feito pela criação de um registro de recurso TXT na zona DNS de cada domínio federado.
Importante
Para federar um domínio aceito, é preciso adicionar o domínio ao identificador de organização federado. Antes de adicionar um domínio ao identificador de organização, é preciso criar o registro TXT com o AppID criado para a sua organização no estabelecimento da confiança de federação. Isso precisa ser feito para cada domínio aceito que deseja adicionar ao identificador de organização como um domínio federado.
Para obter detalhes sobre como criar o registro de recurso DNS, consulte Criar um registro TXT para federação.
Retornar ao início
Identificador de organização federada
O identificador de organização federada define quais dos domínios aceitos autoritativos configurados na organização do Exchange estão habilitados para federação. Somente os destinatários que tenham endereços de email com domínios aceitos no identificador de organização são reconhecidos pelo Microsoft Federation Gateway e podem usar recursos como o compartilhamento federado. Ao configurar o identificador de organização, um namespace de conta é criado com o Microsoft Federation Gateway usando o primeiro domínio aceito adicionado a ele. Recomendamos usar o nome de domínio principal da organização, que é o nome de domínio usado para gerar endereços de email para a maioria dos usuários, como o namespace de conta.
É possível adicionar ou remover domínios aceitos adicionais a qualquer momento, e o domínio usado para o namespace de conta poderá ser alterado se necessário. É possível desabilitar ou habilitar o identificador da organização para desabilitar ou habilitar todos os recursos de federação da organização do Exchange em uma única etapa.
Para obter mais informações sobre como configurar o identificador de organização federada, consulte Gerenciar Federação.
Após criar uma confiança de federação com o Microsoft Federation Gateway, crie registros TXT para todos os domínios aceitos que deseja usar para federação. Em seguida, configure o identificador de organização com os domínios aceitos.
Retornar ao início
Requisitos de certificado para federação
Para estabelecer uma confiança de federação, é preciso adquirir e instalar um certificado X.509 no servidor Exchange 2010 usado para criar a confiança. O certificado é usado somente para assinar e criptografar tokens de delegação. O certificado deve atender aos seguintes requisitos:
- Autoridade de certificação confiável O certificado deve ser assinado por uma autoridade de certificação (CA) confiável. Para uma lista de CAs confiáveis, consulte Autoridades de certificação raiz confiáveis para confianças de federação.
- Identificador de chave do requerente O certificado deve ter um campo de identificador de chave do requerente. A maioria dos certificados X.509 emitidos por autoridades de certificação comercial têm um identificador de chave do requerente.
- Provedor de serviços de criptografia (CSP) CryptoAPI O certificado deve usar um CSP CryptoAPI. Certificados que usam provedores CNG (Cryptography Next Generation) não são suportados para federação. Se usar o Exchange para criar uma solicitação de certificado, um provedor CryptoAPI será usado. Para mais informações, consulte Criptografia (em inglês).
- Algoritmo de assinatura RSA O certificado deve usar RSA como o algoritmo de assinatura.
- Chave privada exportável A chave privada usada para gerar o certificado deve ser exportável. É possível especificar a chave privada de um certificado exportável ao criar a solicitação de certificado usando o assistente Novo Certificado no EMC ou o cmdlet New-ExchangeCertificate no Shell.
- Certificado atual O certificado deve ser atual. Não é possível usar um certificado expirado ou revogado para criar uma confiança de federação.
- Uso avançado de chave O certificado deve incluir o tipo de uso avançado de chave (EKU) Autenticação de Cliente (1.3.6.1.5.5.7.3.2). Esse tipo de uso se destina a provar a sua identidade a um computador remoto. Se usar as ferramentas do Exchange para gerar a solicitação de certificado, esse tipo de uso será incluído por padrão.
Como o certificado não é usado para autenticação, ele não tem nenhum requisito de nome do requerente ou nome alternativo do requerente. Pode-se usar um certificado com um nome de requerente com o mesmo nome do nome de host, do nome de domínio ou qualquer outro nome. Apenas um certificado é necessário para a confiança de federação. O Exchange automaticamente distribui o certificado a outros servidores Exchange 2010 na organização.
Retornar ao início
Transição para um novo certificado
O certificado usado para criar a confiança de federação é designado como o certificado atual. Pode ser preciso instalar e usar um novo certificado periodicamente, por exemplo, quando o certificado atual expira ou quando é preciso trocar o certificado para atender aos requisitos comerciais ou de segurança da organização. Para garantir uma alternância perfeita para um novo certificado, é preciso instalar o novo certificado no servidor Exchange 2010 e configurar a confiança de federação para designá-la como o próximo certificado. O Exchange 2010 automaticamente distribui o próximo certificado a outros servidores Exchange 2010 na organização. Dependendo de sua topologia de Active Directory, a distribuição do certificado pode levar algum tempo. É possível verificar o status do certificado usando o assistente Gerenciar Federação no EMC ou o Test-FederationTrustCertificate no Shell.
Após verificar o status de distribuição do certificado, pode-se configurar a alternância da confiança para o próximo certificado. Quando isso ocorre, o certificado atual é designado como o anterior, e o próximo certificado é designado como o atual. O novo certificado atual é publicado no Microsoft Federation Gateway, e os tokens trocados com o Microsoft Federation Gateway são criptografados com o novo certificado. A transição é mostrada na figura a seguir.
Transições de certificado
.gif "Alternando para o próximo certificado")
Para obter mais informações sobre a transição para um novo certificado, consulte Gerenciar Federação.
Dica
Esse mecanismo de transição é usado somente pela federação. Se usar o mesmo certificado para outros recursos do Exchange 2010, deve-se levar os requisitos de recurso em consideração ao planejar a aquisição, a instalação ou a transição para um novo certificado.
Retornar ao início