本文將介紹如何將Exchange與ADFS集成,從而實現對於Exchange的SSO。
目錄:
實戰:ADFS3.0單點登錄系列-自定義ADFS樣式
實戰:ADFS3.0單點登錄系列-問題匯總
一 WAP
WAP,全稱Web Application Proxy,即Web應用程序代理,本文將使用WAP來對Exchange進行發布,並使用ADFS進行身份認證。以下為MSND對WAP的解釋:
Web 應用程序代理是Windows Server® 2012 R2一個新的遠程訪問角色服務,Web 應用程序代理 為 web 應用程序在公司網絡內部,以允許用戶從公司網絡外部訪問這些任意設備上提供反向代理功能。Web 應用程序代理 預身份驗證訪問 web 應用程序使用 Active Directory 聯合身份驗證服務 (AD FS), ,並同時充當 AD FS 代理。
提供對應用程序訪問權限
Web 應用程序代理 為組織提供的功能提供給位於組織外部的最終用戶在組織內部的服務器上運行的應用程序的選擇性訪問。 使應用程序在外部可用的過程稱為發布。 與傳統的 VPN 解決方案,當您發布到應用程序時不同 Web 應用程序代理 最終用戶可以訪問僅向您發布的應用程序。 但是, Web 應用程序代理 還可以部署與 VPN 一起作為您的組織中的遠程訪問部署的一部分。
發布應用程序
通過 Web 應用程序代理發布,最終用戶可以從其自己的設備訪問組織的應用程序,這樣,用戶不再局限於使用公司便攜式計算機來完成其工作,而還可以使用他們的家庭計算機、平板電腦或智能手機。 此外,最終用戶不需要在其設備來訪問已發布的應用程序上安裝任何其他軟件。 可以在裝有標准瀏覽器的客戶端、Office 客戶端或使用 OAuth 的豐富客戶端(例如 Windows 應用商店應用)上使用 Web 應用程序代理。Web 應用程序代理充當通過它發布的任何應用程序的反向代理,因此,最終用戶獲得的體驗就如同他們的設備與應用程序直接連接。
訪問應用程序
Web 應用程序代理 始終必須與部署 AD FS。 這使您可以利用的功能 AD FS, ,如單一登錄 (SSO)。 這使用戶輸入其憑據一次並在后續場合中,它們將不需要輸入其憑據。 支持 SSO Web 應用程序代理 的后端服務器的使用基於聲明的身份驗證; 例如 SharePoint 基於聲明的應用程序和集成 Windows 身份驗證使用 Kerberos 約束委派。 集成的 Windows 身份驗證基於應用程序可以按定義 AD FS 作為可以在應用程序的請求中定義豐富會強制執行的身份驗證和授權策略的信賴方信任。
二 WAP安裝與配置
1.前置條件准備
1)服務器加域
2)安裝帶有私鑰的ADFS證書,也就是之前教程制作的通配符證書,但是導出的時候要將私鑰一並導出,並安裝到WAP服務器的“個人”
2.在WAP服務器安裝WAP功能
打開添加角色和功能向導,選擇“遠程訪問”
選擇Web應用程序代理,同時安裝Web應用程序代理所需要的其他功能,等待安裝完成
點擊打開“Web應用程序代理向導”,對WAP進行配置
填寫ADFS認證服務相關信息(之前教程中創建的ADFS服務)
選擇前面安裝到“個人”的ADFS帶有私鑰的證書
完成安裝
三 ADFS服務器對Exchange的配置
打開ADFS管理單元,單擊右側的添加信賴方信任
然后會啟動到添加信賴方信任向導,目的很簡單就是需要為我們的Exchange OWA配置信任信息,從而讓ADFS信任Exchange,並知道Exchange OWA需要什么樣的認證和授權
在選擇數據源頁面,我們選擇手動輸入有關信賴方的數據
在指定顯示名稱頁面,填入我們要發布的Web應用程序名稱
然后為其配置使用AD FS配置文件
並選擇合適的令牌證書
在配置URL頁選擇啟用對 WS-Federation被動協議的支持,並在下面填入OWA的地址(注意這里的地址結尾不能有“/”,否則會出現錯誤)
在詢問是否使用多重身份驗證頁選擇使用多重身份驗證設置
在配置多重身份驗證頁保持默認
在選擇頒發授權規則頁,選擇允許所有用戶
完成添加信賴方信任,並打開聲明規則向導
點擊添加規則
在選擇規則模板頁,選擇使用自定義規則發送聲明
然后在配置規則頁,按照以下設置:
聲明名稱:
ActiveDirectoryUserSID
自定義規則:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
再聲明第二個規則:
規則名稱:
ActiveDirectoryUPN
自定義規則:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
再添加規則第三個規則
聲明名稱:
ActiveDirectoryGroupSID
自定義規則:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid"), query = ";tokenGroups(SID);{0}", param = c.Value);
完成之后,我們在頒發轉換規則頁應該看到三個規則
重復上述步驟,添加ECP的信賴方信任,最終結果如下
四 使用WAP發布Exchange
在WAP服務器上打開WAP管理控制台,選擇WAP,然后在右側單擊發布
然后在預身份驗證的頁面,選擇AD聯合身份驗證服務
然后在信賴方頁面選擇我們事先建立好的Exchange OWA即Oultook Web App
然后在發布設置頁面,進行相應的名稱、外部URL、外部證書、后端URL的設置,注意URL必須以“/”結尾
在確認頁面,確認我們的配置后,單擊發布,並等待發布完成
然后我們按照同樣的步驟來發布Exchange ECP
五 配置Exchange
在Exchange服務器,打開Exchange ManageMent Shell工具,並執行如下命令
設置adfs認證地址和證書指紋
$uris = @(" https://sso-ex.tt.com/owa","https:// sso-ex.tt.com /ecp")(這里分別為owa和ecp的地址)
Set-OrganizationConfig -AdfsIssuer "https://sts.tt.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint “FB59F2F75F5CBA882876D61673D8E0F6063DF977”(指紋為ADFS令牌簽名證書指紋)
設置認證方式為adfs
ECP
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
OWA
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
六 驗證
在瀏覽器輸入EXchangeOWA或ECP的地址,出現ADFS登錄界面,輸入憑據進行登錄
七 錯誤排查
如果出現如下錯誤,則是因為證書沒有正確配置導致,導出令牌簽名證書並導入到exchange服務器的受信任的根證書頒發機構中即可
特別注意:在adfs配置過程中,信賴方被動協議URL中不能以/結尾
錯誤寫法:https://mail.mydomain.com/owa/
正確寫法:https://mail.mydomain.com/owa