jpolisher's IT-wiki

User Tools

Site Tools

Trace:
создание_отношений_доверия_для_exchange

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
создание_отношений_доверия_для_exchange [2025/03/26 08:32] jpсоздание_отношений_доверия_для_exchange [2025/03/26 09:44] (current) jp
Line 3: Line 3:
 После развёртывания роли //ADFS//, описанном в статье [[Установка роли ADFS]], мы можем создать отношения доверия и подключить //ADFS// в качестве способа аутентификации в //Exchange//. После развёртывания роли //ADFS//, описанном в статье [[Установка роли ADFS]], мы можем создать отношения доверия и подключить //ADFS// в качестве способа аутентификации в //Exchange//.
  
-=== Создание отношений доверия ===+==== Создание отношений доверия ====
  
 Дальнейшие действия мы будем производить в разделе //Relying Party Trusts// в консоли //ADFS//. Для создания полноценных отношений доверия все действия повторяются в данном случае ДВАЖДЫ: для //OWA// и для //ECP// (админка //Exchange//).  Дальнейшие действия мы будем производить в разделе //Relying Party Trusts// в консоли //ADFS//. Для создания полноценных отношений доверия все действия повторяются в данном случае ДВАЖДЫ: для //OWA// и для //ECP// (админка //Exchange//). 
Line 59: Line 59:
 ;#; ;#;
  
-=== Политика подачи запросов ===+==== Политика подачи запросов ====
  
 Теперь необходимо отредактировать политику подачи запросов. Данные действия также выполняются ДВАЖДЫ - для OWA и для ECP. Кликаем на отношение доверия и выбираем //Edit claim insurance policy// Теперь необходимо отредактировать политику подачи запросов. Данные действия также выполняются ДВАЖДЫ - для OWA и для ECP. Кликаем на отношение доверия и выбираем //Edit claim insurance policy//
Line 67: Line 67:
 ;#; ;#;
  
 +Нам необходимо создать два правила. Вот их пример. 
 +
 +;#;
 +{{:ms:adfs_claim_insurance_policy_rules.jpg?600|}}
 +;#;
 +
 +Правило с именем: //ActiveDirectoryUserSID//
 +
 +Слдержание правила:
 +
 +<WRAP prewrap>
 +<code>
 +c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
 +</code>
 +</WRAP>
 +
 +Правило с именем: //ActiveDirectoryUPN//
 +
 +Содержание правила: 
 +
 +<WRAP prewrap>
 +<code>
 +c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
 +</code>
 +</WRAP>
 +
 +==== Конфигурирование ADFS на стороне Exchange ====
 +
 +=== Конфигурирование настроек Exchange на уровне организации ===
 +
 +Предполагаю, что сертификат подписи ADFS был импортирован в Exchange, как описано в материале [[Установка роли ADFS]]. В этом случае нам необходимо получить отпечаток данного сертификата. Сделаем это следующим образом на //Exchange//:
 +
 +   Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject | sls ADFS
 +Получив отпечаток, сконфигурируем настройку //ADFS// на уровне организации:
 +
 +<WRAP prewrap>
 +<code>
 +Set-OrganizationConfig -AdfsIssuer https://adfs1.arasaka.local/adfs/ls/ -AdfsAudienceUris "https://exch1.arasaka.local/owa/","https://exch1.arasaka.local/ecp/" -AdfsSignCertificateThumbprint "0EFB56DD0FC460B9B310A08065667A67514FD0D8"
 +</code>
 +</WRAP>
 +
 +=== Конфигурирование настроек Exchange на уровне виртуальных директорий ===
 +
 +:!: Конфигурировать виртуальные директории обязательно в данном порядке: сначала //ECP//, затем //OWA//.
 +
 +Конфигурируем ECP: 
 +
 +<WRAP prewrap>
 +<code>
 +Set-EcpVirtualDirectory -Identity "exch1\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
 +</code>
 +</WRAP>
 +
 +Точное название виртуальной директории ECP можно получить так:
 +
 +   Get-EcpVirtualDirectory
 +Конфигурируем OWA: 
 +
 +<WRAP prewrap>
 +<code>
 +Set-OwaVirtualDirectory -Identity "exch1\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
 +</code>
 +</WRAP>
 +
 +Точное название виртуальной директории OWA можно получить так:
 +
 +   Get-OWAVirtualDirectory
 +Теперь необходимо перезапустить //IIS// на сервере //Exchange//. Сделаем это так:
 +
 +   net stop w3svc /y
 +   net start w3svc
 +==== Как проверить, что всё ОК? ====
 +
 +Заходим на //OWA// или //ECP//: https://exch1.arasaka.local/owa или https://exch1.arasaka.local/ecp
 +
 +Видим, что нас заредиректило на страницу авторизации ADFS. 
 +
 +;#;
 +{{:ms:arasaka_adfs_welcome.jpg?600|}}
 +;#;
 +{{tag>ADFS Certificates PKI Microsoft Windows WindowsServer PowerShell Exchange}}
создание_отношений_доверия_для_exchange.1742977977.txt.gz · Last modified: 2025/03/26 08:32 by jp