管理联合身份验证

  • 项目

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

使用管理联合身份验证向导管理用于联合身份验证信任的证书、刷新 Microsoft 联合身份验证网关证书和元数据、添加或更改联合身份验证的组织联系人以及对 Exchange 组织禁用或启用联合身份验证。除了 EMC 中的该向导外,还可使用命令行管理程序管理联合身份验证信任。

若要了解与联合相关的其他管理任务,请查看管理联合

先决条件

在使用“管理联合身份验证”向导或相应的 cmdlet 修改联合身份验证信任、联合身份验证组织标识符或联盟域之前,我们建议您了解联合身份验证的工作原理和修改联合身份验证配置的影响。有关详细信息,请参阅了解联合身份验证

希望执行何种操作?

  • 使用 EMC 管理联合身份验证

  • 使用命令行管理程序管理联合身份验证

使用 EMC 管理联合身份验证

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证信任”条目。

注释注意:
管理联合身份验证向导是管理联合身份验证信任和与其关联的联盟组织标识符的综合方法。该向导包括多个任务。

  1. 在控制台树中,导航到“组织配置”。

  2. 在结果窗格中,单击“联合身份验证信任”选项卡,然后选择要管理的联合身份验证信任。默认情况下,将信任命名为 Microsoft 联合身份验证网关。

  3. 在操作窗格中,单击“管理联合”。

  4. 在“管理联合身份验证证书”页上,将显示用于联合身份验证信任的证书的信息。这包括有关当前证书、下一个证书以及上一个证书的信息。当前证书是用于联合身份验证信任的活动证书。下一个证书是当前证书过期或需要替换时要使用的替换证书。上一个证书是在将当前证书用于联合身份验证信任之前所使用的证书。您可以执行以下操作:

    • 属性 从“属性名称”列中选择当前、下一个或上一个证书,然后单击“属性”查看该证书的属性。

    • 编辑   从“属性名称”列中选择“下一个证书”,然后单击“编辑”选择另一个证书作为下一个证书。

    • 显示分发状态   单击此按钮可显示 Exchange 组织中的证书分发状态。

    • 联系 Microsoft 联合身份验证网关获取其证书和联合身份验证元数据   默认情况下,此复选框已选中。使用此选项时,Exchange 将从 Microsoft 联合身份验证网关检索证书和联合身份验证元数据。如果您不想执行此刷新,请清除该复选框。

    • 回滚证书将下一个证书标记为当前证书   选中此复选框将联合身份验证信任配置为使用下一个证书作为当前证书。

      重要重要说明:
      将联合身份验证信任配置为使用下一个证书之前,您必须确保已在所有 Microsoft Exchange Server 2010 服务器上安装了该证书。要检查证书状态,单击“显示分发状态”。证书的分发状态将显示在“分发状态”列中。扩展列宽可显示该列中的所有文本。

  5. 在“管理联盟域”页面上,您可以执行下列操作:

    • 添加 单击此按钮可将某域添加为联盟域。“选择接受域”对话框将显示 Exchange 2010 组织中的所有接受域。

      注释注意:
      若要将接受域添加到此列表,请使用 New-AcceptedDomain cmdlet。

    • 删除图标   从“域”列中选择某个域,然后单击此按钮可将该域删除。

    • 组织联系人的电子邮件地址 使用此框可输入要进行联合身份验证的指定组织联系人的电子邮件地址。

    • 启用联合身份验证 选中此复选框可启用联合身份验证。清除此复选框可禁用 Exchange 组织的联合身份验证。

    注释注意:
    配置域是在 Exchange 2010 组织中设置联合委派的若干步骤之一。若要查看所有步骤,请参阅配置联合委派

  6. 在“管理联合身份验证”页上,查看“配置摘要”,然后单击“管理”执行更改。

  7. 在“完成”页上,检查下列内容,然后单击“完成”关闭向导:

    • **“已完成”**状态表示向导已成功完成任务。

    • “失败”状态表示任务未完成。如果任务失败,请查看摘要获得相应说明,然后单击“上一步”进行配置更改。

使用命令行管理程序管理联合身份验证

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅Exchange 和命令行管理程序基础结构权限主题中的“联合身份验证信任”条目。

查看联合身份验证证书

本示例将显示联合身份验证信任 MyFederationTrust 所使用的上一个、当前和下一个证书。

Get-FederationTrust -Identity MyFederationTrust | Select Org*certificate

有关详细的语法和参数信息,请参阅 Get-FederationTrust

检查联合身份验证证书状态

本示例将显示组织中所有集线器传输和客户端访问服务器上的联合身份验证证书的状态。

Test-FederationTrustCertificate

有关详细的语法和参数信息,请参阅 Test-FederationTrustCertificate

配置联合身份验证信任以使用某证书作为下一个证书

本示例将配置联合身份验证信任 MyFederationTrust,以将具有所提供指纹的证书用作下一个证书。将证书部署到组织中所有 Exchange 服务器上之后,可以使用 PublishCertificate 开关配置信任,以将此证书用作当前证书。

Set-FederationTrust -Identity MyFederationTrust -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17

有关详细的语法和参数信息,请参阅 Set-FederationTrust

配置联合信任,以将下一个证书用作当前证书

本示例将联合身份验证信任 MyFederationTrust 配置为将下一个证书用作当前证书,并将其发布到 Microsoft 联合身份验证网关。

Set-FederationTrust "MyFederationTrust" -PublishFederationCertificate
小心警告:
在将联合身份验证信任配置为将下一个证书用作当前联合身份验证证书之前,请确保已在组织中的所有 Exchange 服务器上部署了该证书。使用 Test-FederationTrustCertificate cmdlet 或管理联合身份验证向导可检查该证书的部署状态。

有关语法和参数的详细信息,请参阅 Set-FederationTrust

刷新 Microsoft 联合身份验证网关中的联合身份验证元数据和证书

本示例将刷新联合身份验证信任 MyFederationTrust 的 Microsoft 联合身份验证网关的联合身份验证元数据和证书。

Set-FederationTrust MyFederationTrust -RefreshMetadata

有关语法和参数的详细信息,请参阅 Set-FederationTrust

查看联盟组织标识符和联盟域

本示例将显示 Exchange 组织的联盟组织标识符和相关信息,包括联盟域和状态。

Get-FederatedOrganizationIdentifier

有关详细的语法和参数信息,请参阅 Get-FederatedOrganizationIdentifier

添加某个域作为联盟域

本示例将域 contoso.co.uk 添加为联盟域。此域必须作为接受域存在于 Exchange 组织中。

Add-FederatedDomain contoso.co.uk

有关详细的语法和参数信息,请参阅 Add-FederatedDomain

删除联盟域

本示例将域 contoso.co.uk 作为联盟域删除。

Remove-FederatedDomain contoso.co.uk

有关详细的语法和参数信息,请参阅 Remove-FederatedDomain

为 Exchange 组织启用联合身份验证

本示例将启用 Exchange 组织的联合身份验证。

Set-FederatedOrganizationIdentifier -Enabled $true

有关详细的语法和参数信息,请参阅 Set-FederatedOrganizationIdentifier

为 Exchange 组织禁用联合身份验证

本示例将禁用 Exchange 组织的联合身份验证。

Set-FederatedOrganizationIdentifier -Enabled $false

有关语法和参数的详细信息,请参阅 Set-FederatedOrganizationIdentifier

 © 2010 Microsoft Corporation。保留所有权利。