创建联合身份验证信任

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2016-11-28

联合身份验证信任在 Microsoft Exchange Server 2010 组织和 Microsoft 联合身份验证网关（英文）之间建立信任关系。

注意：
创建联合身份验证信任是在 Exchange 组织中设置联合委派的若干步骤之一。若要查看所有步骤，请参阅配置联合委派。

若要了解与联合相关的其他管理任务，请查看管理联合。

先决条件

• 应当从 Internet 解析用于建立联合信任的域。这就要求通过域注册商注册该域，而且该域的域名系统 (DNS) 区域必须驻留在可从 Internet 访问的 DNS 服务器上。如果组织接收域的 Internet 电子邮件，则表明已符合这些要求。

• 具有联合委派关系的两个 Exchange 组织必须对其联合身份验证信任使用相同的 Microsoft 联合身份验证网关实例。在两个内部部署 Exchange 组织之间，或在一个内部部署 Exchange 组织和一个由 Microsoft Online Services（英文）或 Microsoft Live@edu 托管的 Exchange 组织之间配置联合委派时，适用此要求。

  在为 Exchange 组织创建与 Microsoft 联合身份验证网关的联合身份验证信任时，该联合身份验证信任会使用 Microsoft 联合身份验证网关的业务实例或消费者实例。

  默认情况下，以下 Exchange 组织会使用 Microsoft 联合身份验证网关的业务实例：

  • 对联合身份验证信任使用自签名证书的 Exchange 2010 Service Pack 2 (SP2) 组织

  • Microsoft Online Services 托管的 Exchange 组织，如 Microsoft Business Productivity Online Standard Suite 中提供的 Exchange 联机服务

  默认情况下，以下 Exchange 组织使用 Microsoft 联合身份验证网关的消费者实例：

  • 使用第三方证书颁发机构颁发的证书的正式发布 (RTM) 版本的 Exchange 2010 组织

  • Microsoft Live@edu 托管的 Exchange 组织

  我们建议所有 Exchange 组织都对联合身份验证信任使用 Microsoft 联合身份验证网关的业务实例。在两个组织之间配置联合委派之前，需要验证每个 Exchange 组织用于任何现有联合身份验证信任的 Microsoft 联合身份验证网关实例。若要确定 Exchange 组织用于现有联合身份验证信任的 Microsoft 联合身份验证网关实例，请运行以下命令行管理程序命令。

  Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
  

  业务实例的 TokenIssuerURIs 参数将返回值 <uri:federation:MicrosoftOnline>。

  消费者实例的 TokenIssuerURIs 参数将返回值 <uri:WindowsLiveID>。

  若要对具有使用 Microsoft 联合身份验证网关业务实例的现有联合身份验证信任的 Exchange 组织配置联合委派，请按照本主题中的使用 EMC 创建联合信任或使用命令行管理程序创建联合信任步骤执行。您只需执行这些步骤便可创建可以用于在两个 Exchange 2010 SP2 组织之间启用联合委派的联合身份验证信任。

  若要在 Exchange 2010 SP2 组织和现有联合身份验证信任使用 Microsoft 联合身份验证网关消费者实例的 Exchange 组织之间配置联合委派，请从以下方法中进行选择：

  • 推荐方法   使用 Microsoft 联合身份验证网关消费者实例的 Exchange 组织应安装 Exchange 2010 SP2。安装 SP2 后，应删除现有联盟域和联合身份验证信任并使用 EMC 重新创建。重新创建联合身份验证信任时，将使用 Microsoft 联合身份验证网关的业务实例。您还应测试所有现有组织关系，以验证这些关系是否正常工作。有关如何删除联合身份验证信任的详细信息，请参阅删除联合信任。

  • 备选方法   若要创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任，Exchange 2010 SP2 组织可以使用使用命令行管理程序创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任的过程。仅当您需要与其他无法安装 Exchange SP2 的 Exchange 2010 组织启用联合委派时才应使用此方法。

希望执行何种操作？

• 使用 EMC 创建联合信任

• 使用命令行管理程序创建联合信任

• 使用命令行管理程序创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任

使用 EMC 创建联合信任

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证信任”条目。

1. 在控制台树中，单击“组织配置”。

2. 在操作窗格中，单击“新建联合信任”。

3. 在“新建联合身份验证信任”页上，单击“新建”。这会自动为与 Microsoft 联合身份验证网关之间建立的联合身份验证信任创建自签名证书，并将自签名证书部署到组织中的 Exchange 服务器。新联合身份验证信任的默认名称是“Microsoft 联合身份验证网关”。

4. 在“完成”页上，检查下列内容，然后单击“完成”关闭向导：

   • **“已完成”**状态表示向导已成功完成任务。

   • “失败”状态表示任务未完成。如果任务失败，请查看摘要获得相应说明，然后单击“上一步”进行配置更改。

注意：
新联合身份验证信任出现在“联合身份验证信任”选项卡上。

注意：
要完成联合身份验证配置，对于要用作帐户命名空间的域以及要在 Microsoft 联合身份验证网关上添加为联盟域的任何其他域，必须在 DNS 中添加文本 (TXT) 记录。TXT 记录在 DNS 中可用后，使用 EMC 中的管理联合身份验证向导或命令行管理程序中的 Set-FederatedOrganizationIdentifier cmdlet 完成联合身份验证信任配置。有关详细信息，请参阅为联盟创建 TXT 记录或管理联合。

使用命令行管理程序创建联合信任

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证信任”条目。

1. 本示例创建与证书一起使用的唯一主题密钥标识符。

   $ski = [System.Guid]::NewGuid().ToString("N")
   

2. 本示例为与 Microsoft 联合身份验证网关之间的联合身份验证信任创建自签名证书。

   New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

3. 本示例检索自签名证书并创建联合身份验证信任“Microsoft 联合身份验证网关”。这会自动将自签名证书部署到组织中的 Exchange 服务器。

   Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
   

有关语法和参数的详细信息，请参阅下列主题：

• New-ExchangeCertificate

• Get-ExchangeCertificate

• New-FederationTrust

使用命令行管理程序创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任

您必须先获得权限，然后才能执行此过程。若要查看所需的权限，请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证信任”条目。

注意：
不能使用 EMC 创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任。

先决条件

若要创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任，需要具有符合联合身份验证信任要求的有效 X.509 证书。该证书必须由 Microsoft 联合网关信任的证书颁发机构 (CA) 颁发。此证书将自动部署到可由联合身份验证信任任务访问的所有客户端访问服务器和集线器传输服务器。有关更多详细信息，请参阅联合身份验证信任的受信任根证书颁发机构。

1. 本示例获取证书和证书指纹的列表。

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
   

   Where 是 Where-Object cmdlet 的别名。它还可以替换为别名 ?（问号）。若要获取命令行管理程序中的所有可用别名的列表，请运行 Get-Alias cmdlet。

   如果服务器上仅有一个非自签名的证书，则可以通过组合此步骤和下一步骤中的命令来简化此任务。可以将 Get-ExchangeCertificate cmdlet 的运行结果通过管道传递到 New-FederationTrust cmdlet，如以下示例中所示。

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
   

2. 本示例创建联合身份验证信任 Microsoft 联合身份验证网关。

   New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
   

   重要说明：
   创建联合身份验证信任后，配置联合委派的下一步骤是在 DNS 区域中为联合委派子域以及要联合的每个主电子邮件或 SMTP 代理域创建单独的 TXT 记录。由于您已创建使用 Microsoft 联合身份验证网关消费者实例的联合身份验证信任，因此必须按照 Exchange 2010 RTM 版本的为联盟创建 TXT 记录主题中列出的步骤进行操作。TXT 记录在 DNS 中可用后，使用 EMC 中的“管理联合身份验证”向导或命令行管理程序中的 Set-FederatedOrganizationIdentifier cmdlet 完成联合身份验证信任配置。

有关语法和参数的详细信息，请参阅 Get-ExchangeCertificate 和 New-FederationTrust。

其他任务

在创建联合信任之后，您可能还需要：

• 为联盟创建 TXT 记录

• 创建组织关系

• 创建共享策略

 © 2010 Microsoft Corporation。保留所有权利。