瞭解同盟
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
資訊工作者常常需要與外部收件者、廠商、合作夥伴與客戶合作,並共用其空閒/忙碌 (也就是所謂的行事曆可用性) 和連絡人資訊。Microsoft Exchange Server 2010 中的同盟有助於這些合作。同盟指的是支援同盟委派的基礎信任基礎結構,對使用者而言,這是與其他外部同盟組織中的收件者共用行事曆和連絡人資訊的簡易方法。若要深入了解同盟委派,請參閱了解同盟委派。
要尋找與同盟相關的管理工作嗎?請參閱管理同盟。
目錄
Microsoft Federation Gateway
同盟信任
同盟組織識別碼
同盟範例
同盟的憑證需求
轉換為新憑證
Microsoft Federation Gateway
Microsoft Federation Gateway 是 Microsoft 所提供的免費雲端式服務,做為內部部署 Exchange 2010 組織和其他同盟 Exchange 2010 組織之間的信任代理人。如果您想要在 Exchange 組織中設定同盟,必須與 Microsoft Federation Gateway 建立一次性同盟信任,讓它可以成為您組織的同盟夥伴。利用這種信任關係,Microsoft Federation Gateway 會將安全性聲明標記語言 (SAML) 委派 Token 發給由 Active Directory (所謂的身分識別供應商) 驗證的使用者,這些委派 Token 可讓某個同盟組織的使用者受到其他同盟組織的信任。使用當做信任代理人的 Microsoft Federation Gateway 時,不需要組織與其他組織建立多個個別信任關係,而且使用者可以使用單一登入 (SSO) 經驗存取外部資源。如需詳細資訊,請參閱瞭解 Microsoft Federation Gateway。
回到頁首
同盟信任
若要使用 Exchange 2010 同盟委派功能,您必須在 Exchange 2010 組織和 Microsoft Federation Gateway 之間建立同盟信任。與 Microsoft Federation Gateway 建立同盟信任會與 Microsoft Federation Gateway 交換您組織的數位安全性憑證,並擷取 Microsoft Federation Gateway 憑證和同盟中繼資料。您可以使用 Exchange 管理主控台 (EMC) 中的「新增同盟信任」精靈,或 Exchange 管理命令介面中的 New-FederationTrust 指令程式,來建立同盟信任。自我簽署的憑證是由新增同盟信任精靈自動建立,且用於簽署和加密可讓使用者受到外部同盟組織信任的委派 Token。如需有關憑證需求的詳細資訊,請參閱本主題稍後的同盟的憑證需求。
如需如何建立同盟信任的詳細資訊,請參閱建立同盟信任。
當您與 Microsoft Federation Gateway 建立同盟信任後,系統會自動為您的 Exchange 組織產生應用程式識別碼 (AppID),並在「新增同盟信任」精靈或 New-FederationTrust Cmdlet 的輸出中提供該識別碼。Microsoft Federation Gateway 會使用 AppID 來唯一識別您的 Exchange 組織, Exchange 組織也用它來提供您的組織擁有搭配 Microsoft Federation Gateway 使用之網域的證明。這是透過在每個同盟網域的網域名稱系統 (DNS) 區域中建立文字 (TXT) 記錄所完成。
如需如何建立 TXT 記錄的詳細資訊,請參閱建立同盟的 TXT 記錄。
回到頁首
同盟組織識別碼
同盟組織識別碼 (OrgID) 會定義要為同盟啟用哪一個在組織中設定的授權公認網域。Microsoft Federation Gateway 只會識別其電子郵件地址具有在 OrgID 中設定的公認網域的收件者,也只有這類使用者能夠使用同盟共用功能。當您建立新的同盟信任,系統會對 Microsoft Federation Gateway 自動建立 OrgID。此 OrgID 是預先定義字串與精靈中第一個選取的同盟公認網域的組合。例如,在「管理同盟」精靈中,如果您將同盟網域 [contoso.com] 指定為您組織的主要 SMTP 網域,則會自動建立[FYDIBOHF25SPDLT.contoso.com] 帳戶命名空間做為同盟信任的 OrgID。
這個子網域不必是 Exchange 組織的公認網域,也不需要網域名稱系統 (DNS) 的擁有權證明 TXT 記錄。唯一的需求是選取為同盟的公認網域最多只能有 32 個字元。此外,如果您使用「管理混合組態」精靈建立的同盟信任與您的內部部署組織和 Exchange Online 組織之間的混合部署組態相關聯,則此同盟信任的 OrgID 也會自動設定命名空間。此子網域的唯一用途是當做 Microsoft 同盟閘道的同盟命名空間,以便為要求 SAML 委派 Token 的收件者保留唯一的識別碼。如需 SAML Token 的詳細資訊,請參閱 SAML Token 和聲明
您隨時可以新增或刪除公認的網域。如果您要啟用或停用組織中的所有同盟功能,只要啟用或停用 OrgID 即可。
.gif "重要事項") 重要事項: |
|---|
| 如果您變更 OrgID、公認的網域或用於同盟的 AppID,組織中的所有同盟功能都會受到影響。這也會影響所有的外部同盟組織,包括 Office 365 以及混合部署組態。建議您通知所有外部同盟夥伴關於這些組態設定的所有變更。 |
如需設定同盟 OrgID 的詳細資訊,請參閱下列主題:
回到頁首
同盟範例
有兩個 Exchange 組織 (Contoso, Ltd. 和 Fabrikam, Inc.) 希望他們的使用者能夠與彼此公用空閒/忙碌資訊。每個組織都會與 Microsoft Federation Gateway 建立一個同盟信任,並設定其帳戶命名空間以包含用於其使用者電子郵件地址網域的網域。
Contoso 員工會使用下列其中一個電子郵件地址網域:contoso.com、contoso.co.uk 或 contoso.ca。Fabrikam 員工會使用下列其中一個電子郵件地址網域:fabrikam.com、fabrikam.org 或 fabrikam.net。兩個組織都要確認所有公認電子郵件網域都包含在與 Microsoft Federation Gateway 擁有同盟信任的帳戶命名空間中。兩個組織都會設定彼此之間的組織關係以啟用空閒/忙碌共用,而不需要複雜的 Active Directory 樹系或網域信任組態。
下圖說明 Contoso, Ltd. 和 Fabrikam, Inc. 之間的同盟組態
同盟委派範例
同盟的憑證需求
若要與 Microsoft Federation Gateway 建立同盟信任,必須建立自我簽署的憑證或由憑證授權單位 (CA) 簽署的 X.509 憑證,並安裝在用來建立信任的 Exchange 2010 伺服器。建議您使用自我簽署的憑證,這個憑證可以自動建立,並使用 EMC 中的「新增同盟信任」精靈進行安裝。此憑證僅用於簽署並加密用於同盟委派的委派 Token。同盟信任只需使用一個憑證。Exchange 2010 會自動將憑證散佈至組織中的其他 Exchange 2010 伺服器。
如果您要使用外部 CA 所簽署的 X.509 憑證,該憑證必須符合下列需求:
受信任的 CA 如果可能的話,X.509 安全通訊端層 (SSL) 憑證應由Windows Live 所信任的 CA 發出。不過,您能使用目前尚未獲 Microsoft 認證的 CA 所發出之憑證。如欲瞭解目前的受信任 CA 清單,請參閱 同盟信任之信任的根憑證授權。
主體金鑰識別碼 憑證必須有主體金鑰識別碼欄位。由商業 CA 發出的大多數 X.509 憑證都有這個識別碼。
CryptoAPI 密碼編譯服務提供者 (CSP) 憑證必須使用 CryptoAPI CSP。使用密碼編譯 API 的憑證:新一代 (CNG) 提供者不支援同盟。如果您使用 Exchange 建立憑證要求,則會使用 CryptoAPI 提供者。如需詳細資訊,請參閱密碼編譯 API:新一代。
RSA 簽章演算法 憑證必須使用 RSA 作為簽章演算法。
可匯出私密金鑰 用於產生憑證的私密金鑰必須可匯出。當您使用 EMC 中的「新增 Exchange 憑證」精靈,或命令介面中的 New-ExchangeCertificate Cmdlet 建立憑證要求時,您可以指定私密金鑰為可匯出。
目前的憑證 憑證必須是當今的。您無法使用過期或撤銷的憑證建立同盟信任。
增強金鑰使用方法 憑證必須包含增強金鑰使用方法 (EKU) 類型 [用戶端驗證 (1.3.6.1.5.5.7.3.2)]。此使用方法類型用來向遠端電腦證明您的身分識別。如果您使用 EMC 或命令介面產生憑證要求,則預設會包含此使用方法類型。
.gif "注意事項") 附註: |
|---|
| 因為憑證未用於驗證,所以沒有任何的主體名稱或主體別名需求。您可以使用其主體名稱與主機名稱、網域名稱或其他任何名稱相同的憑證。 |
回到頁首
轉換為新憑證
用於建立同盟信任的憑證可指定為目前憑證。不過,您可能需要定期為同盟信任安裝並使用新的憑證。例如,如果目前的憑證到期,您可能需要使用新的憑證,或者,您可能需要符合新的商務或安全性需求。為了確保能夠無縫轉換成新的憑證,您必須在您的 Exchange 2010 伺服器上安裝新的憑證,並設定同盟信任將新憑證指定為下一個憑證。Exchange 2010 會自動將下一個憑證散佈至組織中的其他 Exchange 2010 伺服器。散佈憑證可能需要一些時間,時間長短則取決於您的 Active Directory 拓撲。您可以使用 EMC 中的「管理同盟」精靈,或命令介面中的 Test-FederationTrustCertificate Cmdlet,來驗證憑證狀態。
在驗證憑證的散佈狀態後,您可以設定信任使用下一個憑證。切換憑證後,系統會將目前的憑證指定成上一個憑證,並將下一個憑證指定為目前憑證。新的憑證隨即發行至 Microsoft Federation Gateway,並使用新的憑證來加密與 Microsoft Federation Gateway 交換的所有新 Token。下圖說明如何使用「管理同盟」精靈設定此轉換。
憑證轉換
如需如何轉換成新憑證的詳細資訊,請參閱管理同盟。
| 附註: |
|---|
| 此憑證轉換程序僅由同盟使用。如果您為其他需要憑證的 Exchange 2010 功能使用相同的憑證,則當規劃取得、安裝或轉換成新憑證時,您必須將該功能需求納入考量。 |
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。