jpolisher's IT-wiki

User Tools

Site Tools

Trace: обновление_сертификата_adfs
создание_отношений_доверия_для_exchange

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
создание_отношений_доверия_для_exchange [2025/03/26 08:30] jpсоздание_отношений_доверия_для_exchange [2025/03/26 09:44] (current) jp
Line 3: Line 3:
 После развёртывания роли //ADFS//, описанном в статье [[Установка роли ADFS]], мы можем создать отношения доверия и подключить //ADFS// в качестве способа аутентификации в //Exchange//. После развёртывания роли //ADFS//, описанном в статье [[Установка роли ADFS]], мы можем создать отношения доверия и подключить //ADFS// в качестве способа аутентификации в //Exchange//.
  
-=== Создание отношений доверия ===+==== Создание отношений доверия ====
  
 Дальнейшие действия мы будем производить в разделе //Relying Party Trusts// в консоли //ADFS//. Для создания полноценных отношений доверия все действия повторяются в данном случае ДВАЖДЫ: для //OWA// и для //ECP// (админка //Exchange//).  Дальнейшие действия мы будем производить в разделе //Relying Party Trusts// в консоли //ADFS//. Для создания полноценных отношений доверия все действия повторяются в данном случае ДВАЖДЫ: для //OWA// и для //ECP// (админка //Exchange//). 
Line 59: Line 59:
 ;#; ;#;
  
-=== Политика подачи запросов ===+==== Политика подачи запросов ====
  
-Теперь необходимо отредактировать политику подачи запросов. +Теперь необходимо отредактировать политику подачи запросов. Данные действия также выполняются ДВАЖДЫ - для OWA и для ECP. Кликаем на отношение доверия и выбираем //Edit claim insurance policy//.  
 + 
 +;#; 
 +{{:ms:adfs_edit_claims_inssurance_policy.jpg?600|}} 
 +;#; 
 + 
 +Нам необходимо создать два правила. Вот их пример.  
 + 
 +;#; 
 +{{:ms:adfs_claim_insurance_policy_rules.jpg?600|}} 
 +;#; 
 + 
 +Правило с именем: //ActiveDirectoryUserSID//.  
 + 
 +Слдержание правила: 
 + 
 +<WRAP prewrap> 
 +<code> 
 +c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value); 
 +</code> 
 +</WRAP> 
 + 
 +Правило с именем: //ActiveDirectoryUPN//.  
 + 
 +Содержание правила:  
 + 
 +<WRAP prewrap> 
 +<code> 
 +c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value); 
 +</code> 
 +</WRAP> 
 + 
 +==== Конфигурирование ADFS на стороне Exchange ==== 
 + 
 +=== Конфигурирование настроек Exchange на уровне организации === 
 + 
 +Предполагаю, что сертификат подписи ADFS был импортирован в Exchange, как описано в материале [[Установка роли ADFS]]. В этом случае нам необходимо получить отпечаток данного сертификата. Сделаем это следующим образом на //Exchange//: 
 + 
 +   Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject | sls ADFS 
 +Получив отпечаток, сконфигурируем настройку //ADFS// на уровне организации: 
 + 
 +<WRAP prewrap> 
 +<code> 
 +Set-OrganizationConfig -AdfsIssuer https://adfs1.arasaka.local/adfs/ls/ -AdfsAudienceUris "https://exch1.arasaka.local/owa/","https://exch1.arasaka.local/ecp/" -AdfsSignCertificateThumbprint "0EFB56DD0FC460B9B310A08065667A67514FD0D8" 
 +</code> 
 +</WRAP> 
 + 
 +=== Конфигурирование настроек Exchange на уровне виртуальных директорий === 
 + 
 +:!: Конфигурировать виртуальные директории обязательно в данном порядке: сначала //ECP//, затем //OWA//. 
 + 
 +Конфигурируем ECP:  
 + 
 +<WRAP prewrap> 
 +<code> 
 +Set-EcpVirtualDirectory -Identity "exch1\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false 
 +</code> 
 +</WRAP> 
 + 
 +Точное название виртуальной директории ECP можно получить так: 
 + 
 +   Get-EcpVirtualDirectory 
 +Конфигурируем OWA:  
 + 
 +<WRAP prewrap> 
 +<code> 
 +Set-OwaVirtualDirectory -Identity "exch1\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false 
 +</code> 
 +</WRAP> 
 + 
 +Точное название виртуальной директории OWA можно получить так: 
 + 
 +   Get-OWAVirtualDirectory 
 +Теперь необходимо перезапустить //IIS// на сервере //Exchange//. Сделаем это так: 
 + 
 +   net stop w3svc /y 
 +   net start w3svc 
 +==== Как проверить, что всё ОК? ==== 
 + 
 +Заходим на //OWA// или //ECP//: https://exch1.arasaka.local/owa или https://exch1.arasaka.local/ecp 
 + 
 +Видим, что нас заредиректило на страницу авторизации ADFS.  
 + 
 +;#; 
 +{{:ms:arasaka_adfs_welcome.jpg?600|}} 
 +;#; 
 +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer PowerShell Exchange}}
создание_отношений_доверия_для_exchange.1742977838.txt.gz · Last modified: 2025/03/26 08:30 by jp