Federação

Aplica-se a: Exchange Server 2013

Pessoas que trabalham com informações frequentemente precisam colaborar com destinatários externos, fornecedores, parceiros e clientes e compartilhar suas informações de disponibilidade (o que também é conhecido como disponibilidade de calendário). A federação no Microsoft Exchange Server 2013 ajuda nesses esforços de colaboração. Federação se refere à infraestrutura de confiança subjacente que oferece suporte ao compartilhamento federado, um método fácil para os usuários compartilharem informações de calendário com destinatários de organizações federadas externas. Para saber mais sobre compartilhamento federado, consulte Compartilhamento.

Importante

Esse recurso do Exchange Server 2013 não é totalmente compatível com o Office 365 operado pelo 21Vianet na China e pode haver algumas limitações de recurso. Para obter mais informações, consulte Office 365 Operado pelo 21Vianet.

Terminologia principal

A lista a seguir define os principais componentes associados à federação no Exchange 2013.

  • AppID (identificador de aplicativo): um número exclusivo gerado pelo sistema de autenticação Microsoft Entra para identificar organizações do Exchange. O AppID é gerado automaticamente quando você cria uma confiança de federação com o sistema de autenticação Microsoft Entra.

  • Token de delegação: um token SAML (Security Assertion Markup Language) emitido pelo sistema de autenticação Microsoft Entra que permite que usuários de uma organização federada sejam confiáveis por outra organização federada. Um token de delegação contém o endereço de email do usuário, um identificador imutável e informações associadas à oferta para a qual o token foi emitido para ação.

  • organização federada externa: uma organização externa do Exchange que estabeleceu uma confiança de federação com o sistema de autenticação Microsoft Entra.

  • Compartilhamento federado: um grupo de recursos do Exchange que aproveitam uma confiança de federação com o sistema de autenticação Microsoft Entra para funcionar entre organizações do Exchange, incluindo implantações do Exchange entre locais. Juntos, esses recursos são usados para fazer solicitações autenticadas entre servidores em nome de usuários em várias organizações do Exchange.

  • domínio federado: um domínio autoritativo aceito que é adicionado ao OrgID (identificador de organização) de uma organização do Exchange.

  • cadeia de criptografia de prova de domínio: uma cadeia de caracteres criptograficamente segura usada por uma organização do Exchange para fornecer provas de que a organização possui o domínio usado com o sistema de autenticação Microsoft Entra. A cadeia de caracteres é gerada automaticamente ao se usar o assistente Habilitar a confiança de federação ou pode ser gerado usando-se o cmdlet Get-FederatedDomainProof.

  • política de compartilhamento federada: uma política de nível de organização que permite e controla o compartilhamento de informações de calendário estabelecidas pelo usuário para pessoas.

  • federação: um acordo baseado em confiança entre duas organizações do Exchange para alcançar uma finalidade comum. Com a federação, as duas organizações querem que asserções de autenticação de uma sejam reconhecidas pela outra.

  • confiança de federação: uma relação com o sistema de autenticação Microsoft Entra que define os seguintes componentes para sua organização do Exchange:

    • Namespace de conta

    • Identificador de aplicativo (AppID)

    • Identificador de organização (OrgID)

    • Domínios federados

    Para configurar o compartilhamento federado com outras organizações federadas do Exchange, um fundo de federação deve ser estabelecido com o sistema de autenticação Microsoft Entra.

  • organização não federada: organizações que não têm uma confiança de federação estabelecida com o sistema de autenticação Microsoft Entra.

  • Identificador de organização (OrgID): define qual dos domínios aceitos autoritativos configurados em uma organização está habilitado para federação. Somente os destinatários que têm endereços de email com domínios federados configurados no OrgID são reconhecidos pelo sistema de autenticação Microsoft Entra e podem usar recursos de compartilhamento federados. Esse OrgID é uma combinação de uma cadeia de caracteres predefinida e o primeiro domínio aceito selecionado para federação no assistente Habilitar confiança de federação. Por exemplo, se você especificar o domínio federado contoso.com como domínio SMTP primário de sua organização, o namespace de conta FYDIBOHF25SPDLT.contoso.com será criado automaticamente como o OrgID da confiança de federação.

  • relação de organização: uma relação um-para-um entre duas organizações federadas do Exchange que permite que os destinatários compartilhem informações gratuitas/ocupadas (disponibilidade de calendário). Uma relação de organização requer uma confiança de federação com o sistema de autenticação Microsoft Entra e substitui a necessidade de usar a floresta do Active Directory ou as confianças de domínio entre organizações do Exchange.

  • Microsoft Entra sistema de autenticação: um serviço de identidade livre baseado em nuvem que atua como o agente de confiança entre organizações federadas do Microsoft Exchange. Ele é o responsável por emitir tokens de delegação a destinatários do Exchange quando eles solicitam informações de destinatários em outras organizações federadas do Exchange. Para saber mais, consulte Microsoft Entra ID.

Microsoft Entra sistema de autenticação

O sistema de autenticação Microsoft Entra, um serviço baseado em nuvem gratuito oferecido pela Microsoft, atua como o agente de confiança entre sua organização local do Exchange 2013 e outras organizações federadas do Exchange 2010 e exchange 2013. Se você quiser configurar a federação em sua organização do Exchange, deverá estabelecer uma confiança de federação única com o sistema de autenticação Microsoft Entra, para que ele possa se tornar um parceiro de federação com sua organização. Com essa confiança em vigor, os usuários autenticados pelo Active Directory (conhecidos como provedores de identidade) são emitidos tokens de delegação SAML (Security Assert Markup Language) pelo sistema de autenticação Microsoft Entra. Os tokens de delegação permitem que os usuários de uma organização federada do Exchange sejam considerados confiáveis por outra organização federada do Exchange. Com o sistema de autenticação Microsoft Entra agindo como o agente de confiança, as organizações não são necessárias para estabelecer várias relações de confiança individuais com outras organizações, e os usuários podem acessar recursos externos usando uma experiência de SSO (logon único). Para obter mais informações, consulte Microsoft Entra ID.

Confiança de federação

Para usar recursos de compartilhamento federados do Exchange 2013, você deve estabelecer uma confiança de federação entre sua organização do Exchange 2013 e o sistema de autenticação Microsoft Entra. Estabelecer uma confiança de federação com o sistema de autenticação Microsoft Entra troca o certificado de segurança digital da sua organização com o sistema de autenticação Microsoft Entra e recupera o certificado do sistema de autenticação Microsoft Entra e metadados de federação. Você pode estabelecer uma confiança de federação usando o assistente de confiança habilitar federação no Centro de administração do Exchange (EAC) ou no cmdlet New-FederationTrust no Shell de Gerenciamento do Exchange. Um certificado autoassinado é criado automaticamente pelo assistente de confiança habilitar federação e é usado para assinar e criptografar tokens de delegação do sistema de autenticação Microsoft Entra que permitem que os usuários sejam confiáveis por organizações federadas externas. Para obter detalhes sobre os requisitos do certificado, consulte Requisitos de Certificado para Federação mais adiante neste tópico.

Quando você cria uma confiança de federação com o sistema de autenticação Microsoft Entra, um AppID (identificador de aplicativo) é gerado automaticamente para sua organização exchange e fornecido na saída do cmdlet Get-FederationTrust. O AppID é usado pelo sistema de autenticação Microsoft Entra para identificar exclusivamente sua organização do Exchange. Ele também é usado pela organização do Exchange para fornecer provas de que sua organização é dona do domínio para uso com o sistema de autenticação Microsoft Entra. Isso é feito com a criação de um registro de texto (TXT) na zona Sistema de Nomes de Domínios (DNS) de cada domínio federado.

Identificador de organização federada

O identificador de organização federada (OrgID) define qual dos domínios autoritativos aceitos configurados em sua organização estão habilitados para federação. Somente os destinatários que têm endereços de email com domínios aceitos configurados no OrgID são reconhecidos pelo sistema de autenticação Microsoft Entra e podem usar recursos de compartilhamento federados. Quando você cria uma nova confiança de federação, um OrgID é criado automaticamente com o sistema de autenticação Microsoft Entra. Esse OrgID é uma combinação de uma cadeia de caracteres predefinida e o domínio aceito selecionado como o domínio compartilhado principal no assistente. Por exemplo, no assistente Editar Domínios Habilitados para Compartilhamento, se você especificar o domínio federado contoso.com como domínio compartilhado principal de sua organização, o namespace de conta FYDIBOHF25SPDLT.contoso.com será criado automaticamente como o OrgID da confiança de federação para suas organização do Exchange.

Apesar de, normalmente, ser o domínio SMTP principal da organização do Exchange, esse domínio não precisa ser um domínio aceito em sua organização do Exchange e não exige um registro TXT de prova de propriedade de Sistema de Nomes de Domínio (DNS). O único requisito é de que os domínios aceitos selecionados para federação limitem-se a um máximo de 32 caracteres. A única finalidade desse subdomínio é servir como namespace federado para o sistema de autenticação Microsoft Entra para manter identificadores exclusivos para destinatários que solicitam tokens de delegação SAML. Para obter mais informações sobre tokens SAML, consulte Tokens e Declarações SAML

Você pode adicionar ou remover os domínios aceitos da confiança de federação, a qualquer momento. Para habilitar ou desabilitar todos os recursos de compartilhamento de federação da sua organização, tudo o que você tem a fazer é habilitar ou desabilitar o OrgID da confiança de federação.

Importante

Se você alterar o OrgID, os domínios aceitos ou o AppID usado para confiança de federação, todos os recursos de compartilhamento de federação serão afetados em sua organização. Isso também afeta as organizações do Exchange federadas externas, incluindo o Exchange Online e configurações de implantação híbrida. Recomendamos notificar todos os parceiros federados externos sobre todas as alterações efetuadas nessas configurações de confiança de federação.

Exemplo de federação

Duas organizações do Exchange, Contoso, Ltd. e Fabrikam, Inc., querem que seus usuários possam compartilhar informações gratuitas/ocupadas do calendário entre si. Cada organização cria uma confiança de federação com o sistema de autenticação Microsoft Entra e configura seu namespace de conta para incluir o domínio usado para o domínio de endereço de email do usuário.

Os funcionários da Contoso usam um dos seguintes domínios de endereço de email: contoso.com, contoso.co.uk ou contoso.ca. Os funcionários da Fabrikam usam um dos seguintes domínios de endereço de email: fabrikam.com, fabrikam.org ou fabrikam.net. Ambas as organizações garantem que todos os domínios de email aceitos sejam incluídos no namespace da conta para sua confiança de federação com o sistema de autenticação Microsoft Entra. Em vez de solicitar uma configuração complexa de confiança de floresta ou domínio do Active Directory entre as duas organizações, essas duas organizações configuram um relacionamento de organização entre elas para habilitar o compartilhamento de informações de disponibilidade de calendário.

A seguinte figura mostra a configuração de federação entre Contoso, Ltd. e Fabrikam, Inc.

Exemplo de compartilhamento federado

Confianças de Federação e Compartilhamento Federado.

Requisitos de certificado para federação

Para estabelecer uma confiança de federação com o sistema de autenticação Microsoft Entra, um certificado autoassinado ou um certificado X.509 assinado por uma autoridade de certificação (AC) deve ser criado e instalado no servidor do Exchange 2013 usado para criar a confiança. Recomendamos usar um certificado autoassinado, que pode ser criado e instalado automaticamente com o uso do assistente Habilitar confiança de federação no EAC. Esse certificado é usado apenas para assinar e criptografar tokens de delegação usados para compartilhamento federado, e somente um certificado é exigido para a confiança de federação. O Exchange 2013 distribui o certificado automaticamente a outros servidores do Exchange 2013 na organização.

Se quiser usar um certificado X.509 assinado por um CA externo, o certificado deverá atender aos seguintes requisitos:

  • AC confiável: se possível, o certificado SSL (Camada de Soquetes Seguros) X.509 deve ser emitido de uma AC confiável pelo Windows Live. No entanto, você pode usar certificados emitidos pelos CAs que atualmente não estejam certificados pela Microsoft. Para uma lista atual de CAs de confiança, consulte Autoridades de certificação raiz confiáveis para confianças de federação.

  • Identificador de chave de assunto: o certificado deve ter um campo de identificador de chave de assunto. A maioria doa certificados X.509 emitidos por CAs comerciais tem esse identificador.

  • Provedor de serviços criptográficos do CryptoAPI (CSP): o certificado deve usar um CSP do CryptoAPI. Certificados que usam Cryptography API: os provedores de Próxima Geração (CNG) não são suportados para federação. Se usar o Exchange para criar uma solicitação de certificado, um provedor CryptoAPI será usado. Para obter mais informações, consulte Cryptography API: Next Generation.

  • Algoritmo de assinatura RSA: o certificado deve usar o RSA como o algoritmo de assinatura.

  • Chave privada exportável: a chave privada usada para gerar o certificado deve ser exportável. Você pode especificar que a chave privada seja exportável, quando você criar a solicitação de certificado usando o assistente Novo certificado do Exchange no EAC ou no cmdlet New-ExchangeCertificate no Shell.

  • Certificado atual: o certificado deve ser atual. Não é possível usar um certificado expirado ou revogado para criar uma confiança de federação.

  • Uso aprimorado da chave: o certificado deve incluir o tipo EKU (uso avançado de chave) autenticação do cliente (1.3.6.1.5.5.7.3.2). Esse tipo de uso é feito para provar sua identidade a um computador remoto. Se você usar o EAC ou o Shell para gerar uma solicitação de certificado, esse tipo de uso será incluído por padrão.

Observação

Como o certificado não é usado para autenticação, ele não tem nenhum requisito de nome do requerente ou nome alternativo do requerente. Você pode usar um certificado com um nome de assunto que é o mesmo do nome de host, do nome de domínio ou de qualquer outro nome.

Fazer a transição para um novo certificado

O certificado usado para criar a confiança de federação é designado como o certificado atual. Entretanto, pode ser preciso instalar e usar um novo certificado para a confiança de federação periodicamente. Por exemplo, poderá haver a necessidade de usar um novo certificado se o certificado atual expirar ou para atender a um novo requisito comercial ou de segurança. Para garantir uma transição perfeita para um novo certificado, você precisa instalar o novo certificado no seu servidor Exchange 2013 e configurar a confiança de federação para designá-la como o próximo certificado. O Exchange 2013 automaticamente distribui o novo certificado a outros servidores Exchange 2013 na organização. Dependendo de sua topologia do Active Directory, a distribuição do certificado pode levar algum tempo. Você pode verificar o status do certificado, usando o cmdlet Test-FederationTrustCertificate no Shell.

Após verificar o status de distribuição do certificado, você pode configurar a confiança para usar o novo certificado. Após a troca de certificados, o certificado atual é designado como o certificado anterior, e o novo certificado é designado como o certificado atual. O novo certificado é publicado no sistema de autenticação Microsoft Entra e todos os novos tokens trocados com o sistema de autenticação Microsoft Entra são criptografados usando o novo certificado.

Observação

Esse processo de transição de certificado é usado apenas pela federação. Se você usar o mesmo certificado para outros recursos do Exchange 2013 que exijam certificados, será preciso levar os requisitos de recursos em consideração ao planejar a aquisição, a instalação ou a transição para um novo certificado.

Considerações de firewall para Federação

Os recursos de Federação exigem que os servidores de Caixa de Correio e Acesso para Cliente na sua organização tenham acesso de saída para a Internet via HTTPS. Você deve permitir o acesso HTTPS de saída (porta 443 para TCP) para todos os servidores de Caixa de Correio e Acesso para Cliente do Exchange 2013 na organização.

Para uma organização externa acessar as informações de disponibilidade da sua organização, é preciso publicar um servidor de Acesso para Cliente na Internet. Isso requer acesso HTTPS de entrada da Internet para o servidor de Acesso para Cliente. Os servidores de Acesso para Cliente nos sites do Active Directory que não tenham um servidor de Acesso para Cliente publicado na Internet podem usar os servidores de Acesso para Cliente em outros sites do Active Directory que possam ser acessados da Internet. Os servidores de Acesso para Cliente que não são publicados na Internet devem ter a URL externa do diretório virtual de serviços da Web definida com a URL que é visível para organizações externas.