Creazione di una relazione di trust federativa

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

Una relazione di trust federativa stabilisce una relazione trust tra un'organizzazione di Microsoft Exchange Server 2010 e Microsoft Federation Gateway.

Per informazioni sulle altre attività di gestione relative alla federazione, vedere Gestione della federazione.

Prerequisiti

• Il dominio utilizzato per stabilire una relazione di trust federativa deve essere risolvibile da Internet. Pertanto, è necessario che il dominio sia registrato con un registrar e che la zona DNS per il dominio sia ospitata su un server DNS accessibile da Internet. Se l'organizzazione riceve un messaggio di posta elettronica da Internet per il dominio, tali requisiti sono già soddisfatti.

• Entrambe le organizzazioni di Exchange in una relazione di delega federata devono utilizzare la stessa istanza Microsoft Federation Gateway per le relative relazioni di trust federative. Questo requisito si applica quando si configura una delega federata tra due organizzazioni locali di Exchange oppure tra un'organizzazione locale di Exchange e un'organizzazione di Exchange ospitata da Microsoft Online Services oppure da Microsoft Live@edu.

  Quando si crea una relazione di trust federativa con Microsoft Federation Gateway per l'organizzazione Exchange, per la relazione di trust federativa verrà utilizzata l'istanza business o consumer di Microsoft Federation Gateway.

  Le organizzazioni di Exchange seguenti utilizzano l'istanza business di Microsoft Federation Gateway per impostazione predefinita:

  • Organizzazioni con Exchange 2010 Service Pack 2 (SP2) che utilizzano certificati autofirmati per una relazione di trust federativa

  • Le organizzazioni di Exchange ospitate da Microsoft Online Services, quali Exchange Online service offerto in Microsoft Business Productivity Online Standard Suite

  Le organizzazioni di Exchange seguenti utilizzano l'istanza consumer di Microsoft Federation Gateway per impostazione predefinita:

  • La versione di produzione (RTM) delle organizzazioni di Exchange 2010 utilizzano i certificati rilasciati da autorità di certificazione di terze parti

  • Organizzazioni di Exchange ospitate da Microsoft Live@edu

  È consigliabile che tutte le organizzazioni di Exchange utilizzino l'istanza business di Microsoft Federation Gateway per le relazioni di trust federative Prima di configurare la delega federata tra due organizzazioni, è necessario verificare quale istanza di Microsoft Federation Gateway sta utilizzando ciascuna organizzazione Exchange per ciascuna relazione di trust federativa. Per determinare quale istanza di Microsoft Federation Gateway una organizzazione Exchange sta utilizzando per una relazione di trust federativa, eseguire il seguente comando Shell.

  Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
  

  Con l'istanza business viene restituito un valore di <uri:federation:MicrosoftOnline> per il parametro TokenIssuerURIs.

  Con l'istanza consumer viene restituito un valore di <uri:WindowsLiveID> per il parametro TokenIssuerURIs.

  Per configurare una delega federata con una organizzazione Exchange che possiede già una relazione di trust federativa che utilizza l'istanza business del Microsoft Federation Gateway, seguire i passi indicati in Creazione di una relazione di trust federativa tramite EMC o in Creazione di una relazione di trust federativa tramite Shell in questo argomento. Questi sono tutti i passaggi necessari per creare relazioni di trust federative che possono essere utilizzate per abilitare la delega federata tra due organizzazioni di Exchange 2010 SP2.

  Per configurare la delega federata tra l'organizzazione di Exchange 2010 SP2 e un'organizzazione di Exchange con una relazione di trust federativa esistente che utilizza l'istanza consumer di Microsoft Federation Gateway, selezionare uno dei metodi seguenti:

  • Metodo consigliato   Nell'organizzazione di Exchange che utilizza l'istanza consumer di Microsoft Federation Gateway è opportuno installare Exchange 2010 SP2. Dopo aver installato SP2 è opportuno rimuovere i domini federati e le relazioni di trust federative esistenti per poi ricrearli con EMC. Una volta ricreate le relazioni di trust federative, viene utilizzata l'istanza business di Microsoft Federation Gateway. È anche necessario provare tutte le relazioni esistenti tra organizzazioni per verificare che funzionino correttamente. Per la procedura dettagliata relativa alla rimozione di relazioni di trust federative, vedere Rimozione di una relazione di trust federativa.

  • Metodo alternativo   Per creare una relazione di trust federativa utilizzando l'istanza consumer di Microsoft Federation Gateway, per l'organizzazione di Exchange 2010 SP2 è possibile utilizzare la procedura Utilizzo di Shell per creare una relazione di trust federativa che utilizzi l'istanza consumer di Microsoft Federation Gateway. Questo metodo dovrebbe essere utilizzato soltanto se è necessario abilitare la delega federata con un'altra organizzazione di Exchange nella quale non è possibile installare Exchange 2010 SP2.

Operazione desiderata

• Creazione di una relazione di trust federativa tramite EMC

• Creazione di una relazione di trust federativa tramite Shell

• Utilizzo di Shell per creare una relazione di trust federativa che utilizzi l'istanza consumer di Microsoft Federation Gateway

Creazione di una relazione di trust federativa tramite EMC

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Relazioni di trust federative" nell'argomento Autorizzazioni infrastruttura Shell e Exchange.

1. Nell'albero della console, fare clic su Configurazione organizzazione.

2. Nel riquadro azioni, fare clic su Nuova relazione di trust federativa.

3. Nella pagina Nuova relazione di trust federativa fare clic su Nuovo. Viene creato automaticamente un certificato autofirmato per la relazione di trust federativa con Microsoft Federation Gateway che viene distribuito ai server Exchange dell'organizzazione. Il nome predefinito della nuova relazione di trust federativa è Microsoft Federation Gateway.

4. Nella pagina di completamento esaminare quanto segue, quindi fare clic su Fine per chiudere la procedura guidata:

   • Lo stato Completato indica che la procedura guidata è stata completata correttamente.

   • Lo stato Non riuscito indica che l'attività non è stata completata. Se l'attività non riesce, controllare il riepilogo per trovare una spiegazione, quindi fare clic su Indietro per apportare eventuali modifiche alla configurazione.

Creazione di una relazione di trust federativa tramite Shell

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Relazioni di trust federative" nell'argomento Autorizzazioni infrastruttura Shell e Exchange.

1. In questo esempio viene creato un identificatore univoco chiave del soggetto da utilizzare con il certificato.

   $ski = [System.Guid]::NewGuid().ToString("N")
   

2. In questo esempio viene creato un certificato autofirmato per la relazione di trust federativa con Microsoft Federation Gateway.

   New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

3. In questo esempio viene recuperato il certificato autofirmato e viene creata la relazione di trust federativa "Microsoft Federation Gateway". In questo modo il certificato autofirmato verrà distribuito automaticamente nei server Exchange dell'organizzazione.

   Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
   

Per ulteriori informazioni sulla sintassi e sui parametri, vedere l'argomento seguente:

• New-ExchangeCertificate

• Get-ExchangeCertificate

• New-FederationTrust

Utilizzo di Shell per creare una relazione di trust federativa che utilizzi l'istanza consumer di Microsoft Federation Gateway

È necessario disporre delle autorizzazioni prima di poter eseguire questa procedura. Per visualizzare quali autorizzazioni sono necessarie, vedere "Relazioni di trust federative" nell'argomento Autorizzazioni infrastruttura Shell e Exchange.

Prerequisito

Per creare una relazione di trust federativa che utilizzi l'istanza consumer di Microsoft Federation Gateway, è necessario un certificato X.509 valido che soddisfi i requisiti per le relazioni di trust federative. Il certificato deve essere rilasciato da un'autorità di certificazione (CA) attendibile da Microsoft Federation Gateway. Tale certificato verrà distribuito automaticamente a tutti i server Accesso client e Trasporto Hub accessibili dall'attività di trust federativa. Per ulteriori dettagli, vedere Autorità di certificazione radice disponibile nell'elenco locale per le relazioni di trust federative.

1. In questo esempio si ottiene un elenco di certificati e delle relative identificazioni personali.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
   

   Where è un alias per il cmdlet Where-Object. Può, anche, essere sostituito dall'alias ? (punto interrogativo). Per ottenere un elenco di tutti gli alias disponibili in Shell, eseguire il cmdlet Get-Alias.

   Se è disponibile solo un certificato non autofirmato sul server, è possibile semplificare tale attività combinando i comandi previsti dal presente passaggio e da quello successivo. È possibile eseguire la pipeline dei risultati ricavati dal cmdlet Get-ExchangeCertificate sul cmdlet New-FederationTrust, come indicato in questo esempio.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
   

2. In questo esempio viene creata la relazione di trust federativa Microsoft Federation Gateway.

   New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
   

   Importante

   Una volta creata una relazione di trust federativa, il passaggio successivo nella configurazione della delega federata è quello di creare un record TXT separato nella zona DNS (Domain Name System) per il sottodominio della delega federata e per ogni dominio proxy SMTP o di posta elettronica principale per i quali si desidera la federazione. Poiché è stata creata una relazione di trust federativa che utilizza l'istanza consumer di Microsoft Federation Gateway, è necessario seguire i passaggi evidenziati nella versione Exchange 2010 RTM dell'argomento Creazione di un record TXT per la federazione. Una volta che il record TXT è disponibile in DNS, completare la configurazione della federazione utilizzando la procedura guidata Gestisci federazione in EMC o il cmdlet Set-FederatedOrganizationIdentifier cmdlet in Shell.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ExchangeCertificate o New-FederationTrust.

Altre attività

Una volta creata una relazione di trust federativa, può essere opportuno utilizzare:

• Creazione di un record TXT per la federazione

• Creazione di una relazione dell'organizzazione

• Creazione di un criterio di condivisione

 ©2010 Microsoft Corporation. Tutti i diritti riservati.