Présentation de la fédération
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2010-01-26
Les professionnels de l’information ont souvent besoin de collaborer avec des destinataires externes tels que des fournisseurs, des partenaires et des clients et de partager les informations sur leurs disponibilités, leur calendrier ou leurs contacts. Microsoft Exchange Server 2010 simplifie le partage des informations avec des destinataires externes. La fédération offre l’infrastructure fiable sous-jacente permettant le partage simplifié et sécurisé des informations dans les organisations Exchange et dans les organisations inter-sites.
Dans Exchange 2010, la fédération est utilisée pour le partage fédéré, ce qui simplifie le partage des informations sur les disponibilités, les calendriers et les contacts avec des destinataires d’organisations externes fédérées. Pour plus d’informations sur le partage fédéré, voir Présentation du partage fédéré.
Souhaitez-vous rechercher les tâches de gestion relatives à la fédération ? Voir Gestion de la fédération.
Contenu de cette rubrique
Microsoft Federation Gateway
Approbation de fédération
Identificateur d’organisation fédérée
Configuration requise pour les certificats en vue de la fédération
Transition vers un nouveau certificat
Microsoft Federation Gateway
Exchange 2010 utilise Microsoft Federation Gateway, service d’identité qui s’exécute dans le nuage (sur Internet et au-delà de votre domaine de réseau d’entreprise) en tant que courtier d’approbation. Les organisations Exchange souhaitant se servir de la fédération établissent une approbation de fédération avec Microsoft Federation Gateway, l’autorisant à devenir un partenaire de fédération pour l’organisation Exchange. L’approbation permet aux utilisateurs authentifiés par Active Directory (connus sous le nom de fournisseurs d’identité) d’obtenir des jetons de délégation SAML (Security Assertion Markup Language) de Microsoft Federation Gateway. Ces jetons permettent aux utilisateurs d’une organisation fédérée d’être approuvés par une autre organisation fédérée. Microsoft Federation Gateway agissant comme courtier d’approbation, les organisations ne sont pas obligées d’établir plusieurs relations individuelles d’approbation avec d’autres organisations. Les utilisateurs peuvent accéder aux ressources externes à l’aide de l’authentification unique. Pour plus d’informations, voir la page Microsoft Federation Gateway.
.gif "Approbations de fédération et partage fédéré")
Retour au début
Approbation de fédération
Pour utiliser la fédération Exchange 2010, vous devez établir une approbation de fédération entre votre organisation Exchange 2010 et Microsoft Federation Gateway en échangeant le certificat de votre organisation avec Microsoft Federation Gateway et en récupérant les métadonnées de certificat et de fédération de Microsoft Federation Gateway. Vous pouvez établir une approbation de fédération à l’aide de l’Assistant Nouvelle approbation de fédération dans la console de gestion Exchange ou de la cmdlet New-FederationTrust dans l’environnement de ligne de commande Exchange Management Shell. Le certificat est utilisé pour la signature et le chiffrement des jetons. Pour plus d’informations sur la configuration requise pour les certificats, consultez la section Configuration requise pour les certificats en vue de la fédération plus loin dans cette rubrique.
Pour plus d’informations sur la création d’une approbation de fédération, consultez la section Créer une approbation de fédération.
Lorsque vous créez une approbation de fédération avec Microsoft Federation Gateway, un identificateur d’application est généré pour votre organisation Exchange et fourni dans les résultats de l’Assistant Nouvelle approbation de fédération ou de la cmdletNew-FederationTrust. Cet identificateur est utilisé par Microsoft Federation Gateway pour identifier votre organisation Exchange. Il est également utilisé par l’organisation Exchange pour apporter la preuve de la possession des domaines enregistrés fédérés. Cela se produit par la création d’un enregistrement de ressource TXT dans la zone DNS (Domain Name System) pour chaque domaine fédéré.
.gif "Dd335047.important(fr-fr,EXCHG.140).gif") Important : |
|---|
| Pour fédérer un domaine accepté, vous devez ajouter le domaine à l’identificateur de l’organisation fédérée. Avant cela, vous devez créer l’enregistrement TXT avec l’identificateur d’application créé pour votre organisation lors de l’établissement de l’approbation de fédération. Vous devez procéder ainsi pour chaque domaine accepté que vous souhaitez ajouter à l’identificateur de l’organisation en tant que domaine fédéré. |
Pour plus d’informations sur la création de l’enregistrement de ressource DNS, consultez la section Créer un enregistrement TXT pour une fédération.
Retour au début
Identificateur d’organisation fédérée
L’identificateur d’organisation fédérée détermine les domaines acceptés faisant autorité configurés dans l’organisation Exchange qui sont activés pour la fédération. Seuls les destinataires ayant des adresses de messagerie avec des domaines acceptés configurés dans l’identificateur d’organisation sont reconnus par Microsoft Federation Gateway et peuvent utiliser des fonctionnalités telles que le partage fédéré. Lorsque vous configurez l’identificateur d’organisation, un espace de noms de compte est créé avec Microsoft Federation Gateway à l’aide du premier domaine accepté qui lui est ajouté. Il est conseillé d’utiliser le nom de domaine principal de l’organisation, qui est le nom de domaine utilisé pour générer les adresses de messagerie pour la plupart des utilisateurs, comme espace de noms de compte.
Vous pouvez ajouter ou supprimer des domaines acceptés supplémentaires à tout moment, et le domaine utilisé pour l’espace de noms de compte peut être modifié, si nécessaire. Vous pouvez activer ou désactiver l’identificateur d’organisation pour activer ou désactiver toutes les fonctionnalités de fédération pour l’organisation Exchange en une seule étape.
Pour plus d’informations sur la configuration de l’identificateur d’organisation fédérée, voir Gérer la fédération.
Après avoir créé une approbation de fédération avec Microsoft Federation Gateway, créez des enregistrements TXT pour tous les domaines acceptés à utiliser pour la fédération. Configurez ensuite l’identificateur d’organisation avec les domaines acceptés.
Retour au début
Configuration requise pour les certificats en vue de la fédération
Pour établir une approbation de fédération, vous devez obtenir et installer un certificat X.509 sur le serveur Exchange 2010 utilisé pour créer l’approbation. Le certificat est utilisé uniquement pour signer et chiffrer les jetons de délégation. Le certificat doit répondre aux exigences suivantes :
- Autorité de certification approuvée Le certificat doit être signé par une autorité de certification approuvée. Pour obtenir la liste des autorités de certification approuvées, voir Autorités de certification racine de confiance pour les approbations de fédération.
- Identificateur de clé de l’objet Le certificat doit posséder un champ d’identificateur de clé de l’objet. La plupart des certificats X.509 émis par les autorités de certification commerciale ont un identificateur de clé de l’objet.
- Fournisseur de services de chiffrement CryptoAPI Le certificat doit utiliser un fournisseur de services de chiffrement CryptoAPI. Les certificats qui utilisent les fournisseurs CNG (Cryptography Next Generation) ne sont pas pris en charge pour la fédération. Si vous vous servez d’Exchange pour créer une demande de certificat, un fournisseur CryptoAPI est utilisé. Pour plus d’informations, voir la page relative au chiffrement.
- Algorithme de signature RSA Le certificat doit utiliser RSA comme algorithme de signature.
- Clé privée exportable La clé privée utilisée pour générer le certificat doit être exportable. Vous pouvez préciser que la clé privée d’un certificat est exportable lorsque vous créez la demande de certificat à l’aide de l’Assistant Nouveau certificat dans la console de gestion Exchange ou de la cmdlet New-ExchangeCertificate dans l’environnement de ligne de commande Exchange Management Shell.
- Certificat actuel Le certificat doit être en cours. Vous ne pouvez pas utiliser de certificat expiré ou révoqué pour créer une approbation de fédération.
- Utilisation améliorée de la clé Le certificat doit inclure le type d’utilisation améliorée de la clé (EKU) Authentification du client (1.3.6.1.5.5.7.3.2). Ce type d’utilisation est destiné à prouver votre identité à un ordinateur distant. Si vous utilisez les outils d’Exchange pour générer la demande de certificat, ce type d’utilisation est inclus par défaut.
Étant donné que le certificat n’est pas utilisé pour l’authentification, il n’y a aucune exigence en matière de nom d’objet ou d’autre nom d’objet. Vous pouvez utiliser un certificat dont le nom d’objet est identique au nom d’hôte, au nom de domaine ou à tout autre nom. Un seul certificat est nécessaire pour l’approbation de la fédération. Exchange distribue automatiquement le certificat à d’autres serveurs Exchange 2010 de l’organisation.
Retour au début
Transition vers un nouveau certificat
Le certificat utilisé pour créer l’approbation de fédération est désigné comme certificat actuel. Vous pouvez avoir besoin d’installer et d’utiliser un nouveau certificat périodiquement, par exemple, lorsque le certificat actuel expire, ou avoir besoin de changer le certificat pour répondre aux exigences commerciales ou de sécurité de l’organisation. Pour garantir un basculement transparent vers un nouveau certificat, vous devez installer le nouveau certificat sur votre serveur Exchange 2010 et configurer l’approbation de fédération pour le désigner comme certificat suivant. Exchange 2010 distribue automatiquement le certificat suivant à d’autres serveurs Exchange 2010 de l’organisation. Selon votre topologie Active Directory, la distribution du certificat peut prendre un certain temps. Vous pouvez vérifier le statut du certificat à l’aide de l’Assistant Gestion de fédération dans la console de gestion Exchange ou de la cmdlet Test-FederationTrustCertificate dans l’environnement de ligne de commande Exchange Management Shell.
Une fois que vous avez vérifié le statut de distribution du certificat, vous pouvez configurer l’approbation pour basculer vers le certificat suivant. Lorsque cela se produit, le certificat actuel est désigné comme certificat précédent et le certificat suivant est désigné comme certificat actuel. Le nouveau certificat actuel est publié dans Microsoft Federation Gateway et les jetons échangés avec Microsoft Federation Gateway sont chiffrés avec le nouveau certificat. La transition est illustrée dans la figure suivante.
Transitions de certificat
.gif "Passage au certificat suivant")
Pour plus d’informations sur la transition vers un nouveau certificat, consultez la rubrique Gérer la fédération.
.gif "Dd335047.note(fr-fr,EXCHG.140).gif") Remarque : |
|---|
| Ce mécanisme de transition est uniquement utilisé par la fédération. Si vous utilisez le même certificat pour d’autres fonctions d’Exchange 2010 qui font appel à des certificats, vous devez prendre en compte les exigences de ces fonctionnalités lorsque vous envisagez d’obtenir, d’installer ou de basculer vers un nouveau certificat. |
Retour au début