如何搭配使用 Active Directory Federation Services 與 Outlook Web Access for Exchange 2007

適用對象： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

主題上次修改時間： 2007-07-19

本主題說明如何使用 Exchange 管理主控台或 Exchange 管理命令介面來設定 Microsoft Office Outlook Web Access 驗證，以與 Active Directory Federation Services (ADFS) 搭配使用。ADFS 可以將在單一安全性或企業範圍內可用的單一登入功能延伸到網際網路對向應用程式。使用 SSO，您的客戶、協力廠商及供應商就可以在存取 Web 型應用程式 (如 Outlook Web Access) 時擁有簡化的使用者經驗。

關於 Outlook Web Access 及 ADFS

使用 ADFS 執行驗證時，Outlook Web Access 只可以用來存取 Exchange 2007 信箱。即使透過 Exchange 2007 Client Access Server 建立與信箱的連線，ADFS 也不支援使用 Outlook Web Access 來存取 Exchange 2000 或 Exchange 2003 信箱。

在 ADFS 中，「計時登出 (Timed Logoff)」(也稱為「工作階段到期」) 不會與 Outlook Web Access 交互操作。您必須關閉 ADFS 中的計時登出，才能搭配使用 ADFS 與 Outlook Web Access。

ADFS 支援 Windows NT Token 型應用程式及宣告感知 (Claims-Aware) 應用程式。Outlook Web Access 是 Windows NT Token 型應用程式。當您設定 Outlook Web Access 應用 ADFS 時，請確定遵循 Token 型應用程式的指示。

若要搭配使用 ADFS 與 Outlook Web Access，則必須設定 Outlook Web Access 接受匿名存取。

請注意：
Outlook Web Access 除非是透過需要驗證 (例如透過 ADFS) 的連線進行存取，否則不應該設定為接受匿名存取。因為設定 Outlook Web Access 接受匿名存取可能會造成安全性危機，所以當您設定 Outlook Web Access 及網際網路資訊服務 (IIS) 接受匿名存取時，會接收到警告，通知您關閉了所有驗證方法。

若要深入了解 ADFS 及如何準備 Outlook Web Access 的 ADFS 部署，請參閱 Active Directory Federation Services (英文) 及部署同盟應用程式 (英文)。

開始之前

若要執行下列程序，則使用的帳戶必須已委派 Exchange 系統管理員角色及目標伺服器本機 Administrators 群組的成員資格。

如需管理 Exchange Server 2007 所需之權限、委派角色以及權利的相關資訊，請參閱權限考量 (英文)。

程序

使用 Exchange 管理主控台將 Outlook Web Access 設定為沒有驗證方法

1. 在 Exchange 管理主控台中按一下 [伺服器組態]，再按一下 [用戶端存取]。

   注意

   若要讓 Outlook Web Access 接受匿名存取，則必須停用所有形式的驗證。

2. 在 [Outlook Web Access] 索引標籤上，開啟要設定來使用匿名存取的虛擬目錄內容。

3. 按一下 [驗證] 索引標籤。

4. 選取 [使用一或多個標準驗證方法]。

5. 不要選取驗證方法。如果已選取任何驗證方法，則請按一下核取方塊清除驗證方法。

6. 按一下 [確定]。

7. 您會接收到警告通知您尚未選擇驗證方法，並指示您使用 Exchange 管理命令介面設定驗證方法。請按一下 [確定] 關閉警告。

8. 開啟 [命令提示字元] 視窗，並輸入 iisreset/noforce 命令，重新啟動 IIS。

使用 Exchange 管理命令介面將 Outlook Web Access 設定為沒有驗證方法

1. 在主控您必須設定之 Outlook Web Access 虛擬目錄的 Client Access Server 上，開啟 Exchange 管理命令介面。

   注意

   若要讓 Outlook Web Access 接受匿名存取，則必須停用所有形式的驗證。

2. 若要停用 /owa 虛擬目錄及 Default Web Site 站台上的表單型驗證，請執行下列命令。

   Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false
   

3. 若要停用 /owa 虛擬目錄及 Default Web Site 站台上所有形式的標準驗證，請執行下列命令。

   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
   Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
   

4. 停用最後一個作用中驗證方法時，會接收到警告通知您未指定虛擬目錄的任何驗證方法，並告知您使用 Set-OwaVirtualDirectory 指令程式指定驗證方法。請略過這個警告。

5. 開啟 [命令提示字元] 視窗，並輸入 iisreset/noforce 命令，重新啟動 IIS。

使用 Exchange 管理主控台或 Exchange 管理命令介面停用 Outlook Web Access 虛擬目錄之所有形式的驗證之後，必須使用網際網路資訊服務 (IIS) 管理員啟用 IIS 中該虛擬目錄的匿名存取。

使用 IIS 管理員啟用虛擬目錄的匿名存取

1. 開啟 [IIS 管理員]。

2. 瀏覽到在前面的步驟中已停用所有驗證方法的網站及虛擬目錄。在預設組態中，這個目錄會是 Web Sites\Default Web site\owa。

3. 開啟虛擬目錄的內容，然後按一下 [目錄安全性] 索引標籤。

4. 在 [驗證及存取控制] 下，按一下 [編輯] 按鈕。

5. 選取 [啟用匿名存取]。

6. 按兩次 [確定] 儲存變更。您可能會收到「繼承覆寫」警告。請按一下 [確定] 關閉警告。

7. 開啟 [命令提示字元] 視窗，並輸入 iisreset/noforce 命令，重新啟動 IIS。

如需語法及參數的相關資訊，請參閱 Set-OwaVirtualDirectory。

相關資訊

如需 Outlook Web Access 驗證方法的相關資訊，請參閱：

• 設定 Outlook Web Access 的表單型驗證
• 設定 Outlook Web Access 的標準驗證方法