Informazioni sulla federazione

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2010-01-26

Gli Information worker spesso devono collaborare con i destinatari esterni, quali fornitori, partner e clienti, e condividere le informazioni sulla disponibilità, il calendario o i contatti. Microsoft Exchange Server 2010 fornisce una condivisione semplice delle informazioni con i destinatari esterni. La federazione fornisce l'infrastruttura di trust sottostante per abilitare la condivisione semplice e sicura delle informazioni attraverso le organizzazioni Exchange e nelle organizzazioni tra uffici.

In Exchange 2010, la federazione viene utilizzata per la condivisione federata, che consente una facile condivisione delle informazioni sulla disponibilità, del calendario e dei contatti con i destinatari delle organizzazioni federative esterne. Per ulteriori informazioni sulla condivisione federata, vedere Informazioni sulla condivisione federata.

Per informazioni sulle attività di gestione relative alla federazione, vedere Gestione della federazione.

Sommario

Microsoft Federation Gateway

Relazione di trust federativa

Identificatore di organizzazione federativa

Requisiti di certificato per la federazione

Transizione a un nuovo certificato

Microsoft Federation Gateway

Exchange 2010 utilizza Microsoft Federation Gateway, una gestione delle identità eseguita su cloud (su Internet e oltre il dominio della rete aziendale), come trust broker. Le organizzazioni Exchange che desiderano utilizzare la federazione stabiliscono una relazione di trust federativa con Microsoft Federation Gateway, consentendole di diventare un partner federativo per l'organizzazione Exchange. Il trust consente agli utenti autenticati da Active Directory (noti come provider di identità) di ricevere i token di delega SAML (Security Assertion Markup Language) da Microsoft Federation Gateway. Questi token consentono agli utenti di un'organizzazione federativa di essere considerati attendibili da un'altra organizzazione federativa. Con Microsoft Federation Gateway come trust broker, le organizzazioni non sono tenute a stabilire più relazioni di trust singole con altre organizzazioni. Gli utenti possono accedere alle risorse esterne utilizzando un'esperienza di Single Sign-On (SSO). Per ulteriori informazioni, vedere Microsoft Federation Gateway.

Inizio pagina

Relazione di trust federativa

Per utilizzare la federazione di Exchange 2010, è necessario stabilire una relazione di trust federativa tra l'organizzazione Exchange 2010 e Microsoft Federation Gateway tramite lo scambio del certificato dell'organizzazione con Microsoft Federation Gateway e il recupero dei metadati di federazione e del certificato di Microsoft Federation Gateway. Una relazione di trust federativa può essere stabilita utilizzando la procedura guidata Nuova relazione di trust federativa in Exchange Management Console (EMC) o il cmdlet New-FederationTrust in Exchange Management Shell. Il certificato viene utilizzato per i token firmati e crittografati. Per i dettagli sui requisiti di certificato, vedere Requisiti di certificato per la federazione più avanti in questo argomento.

Per i dettagli sulla creazione di una relazione di trust federativa, vedere Creazione di una relazione di trust federativa.

Quando si crea una relazione di trust federativa con Microsoft Federation Gateway, un identificatore di applicazione (AppID) viene generato per l'organizzazione Exchange e fornito nell'output della procedura guidata Nuova relazione di trust federativa o nel cmdlet New-FederationTrust. L'AppID viene utilizzato da Microsoft Federation Gateway per identificare l'organizzazione Exchange. Viene utilizzato anche dall'organizzazione Exchange per fornire prova della proprietà dei domini registrati federati. Questa operazione viene eseguita tramite la creazione di un record di risorse TXT nella zona DNS (Domain Name System) di ogni dominio federato.

Per informazioni dettagliate sulla creazione del record di risorse DNS, vedere Creazione di un record TXT per la federazione.

Inizio pagina

Identificatore di organizzazione federativa

L'identificatore di organizzazione federativa definisce i domini accettati autorevoli configurati nell'organizzazione Exchange abilitati per la federazione. Solo i destinatari che dispongono di indirizzi di posta elettronica con domini accettati configurati nell'identificatore di organizzazione vengono riconosciuti da Microsoft Federation Gateway e possono utilizzare le funzionalità, come la condivisione federata. Quando si configura l'identificatore di organizzazione, Microsoft Federation Gateway crea uno spazio dei nomi account utilizzando il primo dominio accettato aggiunto. Come spazio dei nomi account, si consiglia di utilizzare il nome di dominio principale dell'organizzazione, costituito dal nome di dominio utilizzato per generare gli indirizzi di posta elettronica per la maggior parte degli utenti.

È possibile aggiungere o rimuovere in qualsiasi momento altri domini accettati e il dominio utilizzato per lo spazio dei nomi account può essere modificato, se necessario. È possibile abilitare o disabilitare l'identificatore di organizzazione per abilitare o disabilitare contemporaneamente tutte le funzionalità di federazione per l'organizzazione Exchange.

Per ulteriori informazioni sulla configurazione dell'identificatore di organizzazione federativa, vedere Gestisci la federazione.

Una volta creata una relazione di trust federativa con Microsoft Federation Gateway, creare i record TXT per tutti i domini accettati che si desidera utilizzare per la federazione. Quindi configurare l'identificatore di organizzazione per i domini accettati.

Inizio pagina

Requisiti di certificato per la federazione

Per stabilire una relazione di trust federativa, è necessario procurarsi e installare un certificato X.509 sul server Exchange 2010 utilizzato per creare il trust. Il certificato viene utilizzato solo per firmare e crittografare i token di delega. Il certificato deve soddisfare i seguenti requisiti:

• Autorità di certificazione attendibile   Il certificato deve essere firmato da un'autorità di certificazione (CA) attendibile. Per un elenco delle autorità di certificazione attendibili, vedere Autorità di certificazione radice disponibile nell'elenco locale per le relazioni di trust federative.
• Identificatore chiave del soggetto   Il certificato deve disporre del campo Identificatore chiave del soggetto. La maggior parte dei certificati X.509 rilasciati dalle autorità di certificazione commerciali dispone di un identificatore chiave del soggetto.
• Provider del servizio di crittografia (CSP) CryptoAPI   Il certificato deve utilizzare un CSP CryptoAPI. I certificati che utilizzano i provider CNG (Cryptography Next Generation) non sono supportati per la federazione. Se si utilizza Exchange per creare una richiesta di certificato, viene utilizzato un provider CryptoAPI. Per ulteriori informazioni, vedere Crittografia.
• Algoritmo di firma RSA   Il certificato deve utilizzare RSA come algoritmo di firma.
• Chiave privata esportabile   La chiave privata utilizzata per generare il certificato deve essere esportabile. È possibile specificare l'esportabilità della chiave privata di un certificato quando si crea la richiesta di certificato utilizzando la procedura guidata Nuovo certificato in EMC o il cmdlet New-ExchangeCertificate in Shell.
• Certificato corrente   Il certificato deve essere corrente. Per creare una relazione di trust federativa, non è possibile utilizzare un certificato scaduto o revocato.
• Utilizzo chiavi avanzato   Il certificato deve comprendere il tipo Utilizzo chiavi avanzato (EKU) Autenticazione client (1.3.6.1.5.5.7.3.2). Questo tipo di utilizzo costituisce la prova di identità per un computer remoto. Se si utilizzano gli strumenti di Exchange per generare la richiesta di certificato, questo tipo di utilizzo è compreso per impostazione predefinita.

Siccome non viene utilizzato per l'autenticazione, il certificato non dispone di alcun nome del soggetto né di alcun requisito per il nome alternativo del soggetto. È possibile utilizzare un certificato con un nome del soggetto equivalente al nome host, al nome di dominio o a qualsiasi altro nome. Per la relazione di trust federativa è richiesto un solo certificato. Exchange distribuisce automaticamente il certificato ad altri server Exchange 2010 dell'organizzazione.

Inizio pagina

Transizione a un nuovo certificato

Il certificato utilizzato per creare la relazione di trust federativa viene designato come certificato corrente. Potrebbe essere necessario installare e utilizzare periodicamente un nuovo certificato, ad esempio quando il certificato corrente scade o è necessario modificare il certificato per soddisfare i requisiti aziendali o di sicurezza dell'organizzazione. Per garantire un passaggio diretto a un nuovo certificato, è necessario installare il nuovo certificato sul server Exchange 2010 e configurare la relazione di trust federativa per designarlo come certificato successivo. Exchange 2010 distribuisce automaticamente il certificato successivo ad altri server Exchange 2010 dell'organizzazione. In base alla topologia di Active Directory, la distribuzione del certificato potrebbe richiedere alcuni minuti. È possibile verificare lo stato del certificato utilizzando la procedura guidata della federazione in EMC o il cmdlet Test-FederationTrustCertificate in Shell.

Una volta verificato lo stato di distribuzione del certificato, è possibile configurare il trust per passare al certificato successivo. Quando ciò accade, il certificato corrente viene designato come certificato precedente, mentre quello successivo viene designato come certificato corrente. Il nuovo certificato corrente viene pubblicato a Microsoft Federation Gateway e i token scambiati con Microsoft Federation Gateway vengono crittografati con il nuovo certificato. La transizione viene illustrata nella figura seguente.

Transizioni di certificato

Per ulteriori informazioni sulla transizione a un nuovo certificato, vedere Gestisci la federazione.

Inizio pagina