This is an old revision of the document!
Создание отношений доверия для Exchange
После развёртывания роли ADFS, описанном в статье Установка роли ADFS, мы можем создать отношения доверия и подключить ADFS в качестве способа аутентификации в Exchange.
Создание отношений доверия
Дальнейшие действия мы будем производить в разделе Relying Party Trusts в консоли ADFS. Для создания полноценных отношений доверия все действия повторяются в данном случае ДВАЖДЫ: для OWA и для ECP (админка Exchange).
1. Выполняем Add Relying Party Trust и выбираем Claims Aware.
2. Выбираем опцию ввести вручную детали отношений доверия.
3. Выбираем отображаемое имя отношений (делаем понятные имена для OWA и ECP).
4. На этапе сертификата ничего не выбираем и пропускаем этот шаг.
5. Далее выбираем опцию Enable support for the WS-Federation Passive protocol и указываем полный URL OWA/ECP, ВКЛЮЧАЯ слеш.
6. Нажимаем next на шаге Configure identifiers.
7. На этапе выбора политики - отмечаем Permit everyone.
8. В пункте Ready to add trust - также кликаем next.
Политика подачи запросов
Теперь необходимо отредактировать политику подачи запросов. Данные действия также выполняются ДВАЖДЫ - для OWA и для ECP. Кликаем на отношение доверия и выбираем Edit claim insurance policy.
Нам необходимо создать два правила. Вот их пример.
Правило с именем: ActiveDirectoryUserSID.
Слдержание правила:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
Правило с именем: ActiveDirectoryUPN.
Содержание правила:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
Конфигурирование ADFS на стороне Exchange
Предполагаю, что сертификат подписи ADFS был импортирован в Exchange, как описано в материале Установка роли ADFS. В этом случае нам необходимо получить отпечаток данного сертификата. Сделаем это следующим образом:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject | sls ADFS