配置 Outlook Web App 与 Active Directory 联合服务配合工作
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-10-14
您可以使用 EMC 或命令行管理程序,将 Outlook Web App 身份验证配置为与 Active Directory 联合身份验证服务 (ADFS) 配合工作。ADFS 扩展了使用由面向 Internet 的应用程序的单一安全边界或企业边界提供的单一登录功能的能力。通过使用单一登录,您的客户、合作伙伴和供应商可以在访问基于 Web 的应用程序(如 Outlook Web App)时获得完善的用户体验。
ADFS 中的“计时注销”(也称为“会话过期”)不会与 Outlook Web App 互操作。必须关闭 ADFS 中的计时注销才能将 ADFS 与 Outlook Web App 一起使用。
ADFS 支持基于 Windows NT 令牌的应用程序和声明感知应用程序。Outlook Web App 是一个基于 Windows NT 令牌的应用程序。配置 Outlook Web App 的 ADFS 时,请确保按照基于令牌的应用程序的说明进行操作。
若要将 ADFS 用于 Outlook Web App,必须将 Outlook Web App 配置为接受匿名访问。
警告
除非正在通过要求身份验证的连接(如通过 ADFS)访问 Outlook Web App,否则不应将其配置为接受匿名访问。因为将 Outlook Web App 配置为接受匿名访问存在潜在的安全风险,所以在将 Outlook Web App 和 Internet Information Services (IIS) 配置为接受匿名访问时,您会收到表示已关闭所有身份验证方法的警告。
使用 EMC 或命令行管理程序在 Outlook Web App 虚拟目录上禁用所有形式的身份验证后,必须使用 IIS 管理器在 IIS 中启用对该虚拟目录的匿名访问。
有关 ADFS 和如何准备 Outlook Web App 的 ADFS 部署的详细信息,请参阅 Active Directory Federation Services(Active Directory 联合身份验证服务) 和 Deploying Federated Applications(部署联合应用程序)。
是否正在寻找与 Outlook Web App 安全相关的其他管理任务?请查看管理 Outlook Web App 安全性。
使用 EMC 将 Outlook Web App 配置为不使用身份验证方法
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“Outlook Web App 虚拟目录”条目。
在控制台树中,导航到“服务器配置”>“客户端访问”****。
单击承载 Outlook Web App 虚拟目录的服务器。
备注
若要使 Outlook Web App 接受匿名访问,必须禁用所有形式的身份验证。
在“Outlook Web App”选项卡上,打开要配置为使用匿名访问的虚拟目录的属性,然后单击“身份验证”****选项卡。
选择“使用一个或多个标准身份验证方法”。
不要选择身份验证方法。如果选择了任意身份验证方法,则单击相应复选框清除此方法。
单击“确定”****。
您会收到一条警告,指示您尚未选择身份验证方法,并指导您使用命令行管理程序设置一个身份验证方法。单击“确定”关闭警告。
打开命令提示符窗口并键入命令 iisreset/noforce,以重新启动 IIS。
使用命令行管理程序将 Outlook Web App 配置为不使用任何身份验证方法
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“Outlook Web App 邮箱策略”条目。
在承载必须配置的 Outlook Web App 虚拟目录的客户端访问服务器上,打开命令行管理程序,并使用以下示例禁用主动身份验证。
备注
若要使 Outlook Web App 接受匿名访问,必须禁用所有形式的身份验证。
此示例在 /owa 虚拟目录和名为 Default Web Site 的站点上禁用基于表单的身份验证。
Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false此示例在 /owa 虚拟目录和名为 Default Web Site 的站点上禁用所有形式的标准身份验证。
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false禁用最后一个主动身份验证方法后,您会收到一条警告,表示没有为虚拟目录指定身份验证方法,并指示您使用 Set-OwaVirtualDirectory cmdlet 指定一种身份验证方法。忽略此警告。
打开命令提示符窗口并键入命令 iisreset/noforce,以重新启动 IIS。
有关语法和参数的详细信息,请参阅 Set-OwaVirtualDirectory。
使用 IIS 管理器启用对虚拟目录的匿名访问
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“IIS Manager”条目。
- 打开 IIS 管理器。
- 导航到在上述步骤中为其禁用了所有身份验证方法的网站和虚拟目录。在默认配置中,此目录位于 Web Sites\Default Web site\owa。
- 打开虚拟目录的属性,然后单击“目录安全性”选项卡。
- 在“身份验证和访问控制”****下,单击“编辑”。
- 选择“启用匿名访问”****。
- 单击两次“确定”保存更改。您可能会收到一条继承覆盖的警告。单击“确定”****关闭警告。
- 打开命令提示符窗口并键入命令 iisreset/noforce,以重新启动 IIS。