Criar uma Confiança de Federação

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-11-28

Uma confiança de federação estabelece uma relação de confiança entre uma organização do Microsoft Exchange Server 2010 e o Microsoft Federation Gateway.

Dica

Criar uma confiança de federação é uma das várias etapas da configuração da delegação federada na sua organização do Exchange. Para examinar todas as etapas, consulte Configurar a Delegação Federada.

Procurando outras tarefas de gerenciamento relacionadas à federação? Consulte Gerenciando Federação.

Pré-requisitos

  • O domínio utilizado para estabelecer uma confiança de federação deve ser determinado a partir da Internet. Isso requer que o domínio seja registrado em um registrador de domínios e que a zona DNS do domínio seja hospedada em um servidor DNS acessível pela Internet. Se a organização recebe emails da Internet no domínio, você já possui os requisitos necessários.

  • Ambas as organizações do Exchange em uma relação de delegação federada devem usar a mesma instância do Microsoft Federation Gateway para suas confianças de federação. Essa exigência se aplica ao configurar a delegação federada entre duas organizações locais do Exchange ou entre uma organização local do Exchange e uma organização do Exchange hospedada pelo Microsoft Online Services ou pelo Microsoft Live@edu.

    Quando você cria uma confiança de federação com o Microsoft Federation Gateway para sua organização do Exchange, a confiança de federação usa a instância de negócios ou a de consumidor do Microsoft Federation Gateway.

    As seguintes organizações do Exchange usam a instância de negócios do Microsoft Federation Gateway por padrão:

    • Organizações do Exchange 2010 Service Pack 2 (SP1) que usam certificados autoassinados para uma confiança de federação

    • Organizações do Exchange hospedadas pelo Microsoft Online Services, como o serviço Exchange Online oferecido no Microsoft Business Productivity Online Standard Suite

    As seguintes organizações do Exchange usam a instância de consumidor do Microsoft Federation Gateway por padrão:

    • Versão RTM das organizações do Exchange 2010 que usam certificados emitidos por autoridades de certificação terceirizadas

    • Organizações do Exchange hospedadas pelo Microsoft Live@edu

    Recomenda-se que todas as organizações do Exchange usem a instância de negócios do Microsoft Federation Gateway para confianças de federação. Antes de configurar a delegação federada entre as duas organizações, é necessário verificar qual instância do Microsoft Federation Gateway cada organização do Exchange está usando para qualquer confiança de federação existente. Para determinar qual instância do Microsoft Federation Gateway uma organização do Exchange está usando para uma confiança de federação existente, execute o seguinte comando do Shell:

    Get-FederationInformation -DomainName <the hosted Exchange domain namespace>

    A instância de negócios retorna um valor de <uri:federation:MicrosoftOnline> para o parâmetro TokenIssuerURIs.

    A instância de consumidor retorna um valor de <uri:WindowsLiveID> para o parâmetro TokenIssuerURIs.

    Para configurar a delegação federada com uma organização do Exchange que possui uma confiança de federação existente que utiliza a instância de negócios do Microsoft Federation Gateway, siga as etapas apresentadas em Usar o EMC para criar uma confiança de federação ou em Usar o Shell para criar uma confiança de federação neste tópico. Essas etapas incluem tudo que é necessário fazer para criar confianças de federação que possam ser usadas para habilitar a delegação federada entre duas organizações do Exchange 2010 SP1.

    Para configurar uma delegação federada entre sua organização do Exchange 2010 SP2 e uma organização do Exchange que possui uma confiança de federação existente que utiliza a instância de consumidor do Microsoft Federation Gateway, selecione os seguintes métodos:

    • Método recomendado   A organização do Exchange que usa a instância de consumidor do Microsoft Federation Gateway deve instalar o Exchange 2010 SP2. Após instalar o SP2, os domínios federados e confianças de federação existentes devem ser removidos e recriados usando o EMC. Quando as confianças de federação forem recriadas, a instância de negócios do Microsoft Federation Gateway será usada. Também é necessário testar todas as relações existentes da organização para verificar se estão funcionando corretamente. Para detalhes sobre como remover confianças de federação, consulte Remover uma Confiança de Federação.

    • Método alternativo   Para criar uma confiança de federação usando a instância de consumidor do Microsoft Federation Gateway, a organização do Exchange 2010 SP2 pode usar o procedimento Usar o Shell para criar uma confiança de federação que use a instância de consumidor do Microsoft Federation Gateway. Esse método deve ser usado apenas quando for necessário habilitar a delegação federada com outra organização do Exchange que não pode instalar o Exchange 2010 SP2.

O que Você Deseja Fazer?

  • Usar o EMC para criar uma confiança de federação

  • Usar o Shell para criar uma confiança de federação

  • Usar o Shell para criar uma confiança de federação que use a instância de consumidor do Microsoft Federation Gateway

Usar o EMC para criar uma confiança de federação

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Relações de confiança de federação" no tópico Permissões de Infraestrutura do Exchange e do Shell.

  1. Na árvore do console, clique em Configuração da Organização.

  2. No painel de ações, clique em Nova Confiança de Federação.

  3. Na página Nova Confiança de Federação, clique em Novo. Isso cria automaticamente um certificado auto-assinado para a confiança de federação com o Microsoft Federation Gateway e implanta o certificado auto-assinado para os servidores do Exchange em sua organização. O nome padrão da nova confiança de federação é Microsoft Federation Gateway.

  4. Na página Conclusão, confira os seguintes itens e clique em Concluir para fechar o assistente:

    • O status Concluído indica que o assistente concluiu a tarefa com sucesso.

    • O status Falha indica que a tarefa não foi concluída. Se ocorrer falha na tarefa, analise o resumo para uma explicação e clique em Voltar para fazer quaisquer alterações na configuração.

Dica

A nova confiança de federação aparece na guia Confiança de Federação.

Dica

Para concluir a configuração de federação, você deve adicionar um registro de texto (TXT) no DNS para o domínio que deseja usar como namespace da conta e para qualquer outro domínio que deseja adicionar como domínio federado no Microsoft Federation Gateway. Depois que os registros TXT estiverem disponíveis no DNS, conclua a configuração de confiança de federação usando o assistente para Gerenciar a Federação no EMC ou o cmdlet Set-FederatedOrganizationIdentifier no Shell. Para mais detalhes, consulte Criar um registro TXT para federação ou Gerenciando Federação.

Usar o Shell para criar uma confiança de federação

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Relações de confiança de federação" no tópico Permissões de Infraestrutura do Exchange e do Shell.

  1. Este exemplo cria um identificador-chave de assunto exclusivo a ser usado com o certificado.

    $ski = [System.Guid]::NewGuid().ToString("N")

  2. Este exemplo cria um certificado autoassinado para a confiança de federação com o Microsoft Federation Gateway.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

  3. Este exemplo recupera o certificado autoassinado e cria a confiança de federação "Microsoft Federation Gateway". Isso implantará automaticamente o certificado autoassinado para os servidores do Exchange em sua organização.

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"

Para obter informações detalhadas sobre sintaxes e parâmetros, consulte os seguintes tópicos:

Usar o Shell para criar uma confiança de federação que use a instância de consumidor do Microsoft Federation Gateway

Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Relações de confiança de federação" no tópico Permissões de Infraestrutura do Exchange e do Shell.

Dica

Não é possível usar o Shell para criar uma confiança de federação que use a instância de consumidor do Microsoft Federation Gateway.

Pré-requisito

Para criar uma confiança de federação que use a instância de consumidor do Microsoft Federation Gateway, é necessário um certificado X.509 válido que atenda às especificações para confianças de federação. O certificado deve ser emitido por uma autoridade de certificação (CA) confiável para o Microsoft Federation Gateway. Esse certificado será implantado automaticamente em todos os servidores de Acesso para Cliente e Transporte de Hub acessíveis à tarefa de confiança de federação. Para mais detalhes, consulte Autoridades de certificação raiz confiáveis para confianças de federação.

  1. Este exemplo obtém uma lista de certificados e suas impressões digitais.

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List

    Where é um alias para o cmdlet Where-Object. Também é possível substituí-lo pelo alias ? (ponto de interrogação). Para obter uma lista de todos os aliases disponíveis no Shell, execute o cmdlet Get-Alias.

    Se houver apenas um certificado não autoassinado no servidor, é possível simplificar essa tarefa combinando comandos desta e da próxima etapas. Você pode canalizar os resultados do cmdlet Get-ExchangeCertificate para o cmdlet New-FederationTrust, conforme mostrado neste exemplo.

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService

  2. Este exemplo cria a confiança de federação Microsoft Federation Gateway.

    New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService

    Importante

    Após criar uma confiança de federação, a próxima etapa na configuração da delegação de federação é criar um registro de texto (TXT) separado na zona DNS para o subdomínio de delegação federado e para cada domínio de proxy SMTP ou de email principal que você deseja federar. Como você criou uma confiança de federação que usa a instância de consumidor do Microsoft Federation Gateway, você deve seguir as etapas indicadas no Exchange 2010 RTM do tópico Cria um Registro de TXT para uma Federação. Depois que os registros TXT estiverem disponíveis no DNS, conclua a configuração de confiança de federação usando o assistente para Gerenciar a Federação no EMC ou o cmdlet Set-FederatedOrganizationIdentifier no Shell.

Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ExchangeCertificate ou New-FederationTrust.

Outras Tarefas

Após criar uma confiança de federação, você também poderá:

 © 2010 Microsoft Corporation. Todos os direitos reservados.