实战：ADFS3.0单点登录系列-集成Exchange

本文将介绍如何将Exchange与ADFS集成，从而实现对于Exchange的SSO。

实战：ADFS3.0单点登录系列-自定义ADFS样式

实战：ADFS3.0单点登录系列-问题汇总

一 WAP

　　WAP，全称Web Application Proxy,即Web应用程序代理，本文将使用WAP来对Exchange进行发布，并使用ADFS进行身份认证。以下为MSND对WAP的解释：

Web 应用程序代理是Windows Server® 2012 R2一个新的远程访问角色服务，Web 应用程序代理为 web 应用程序在公司网络内部，以允许用户从公司网络外部访问这些任意设备上提供反向代理功能。Web 应用程序代理预身份验证访问 web 应用程序使用 Active Directory 联合身份验证服务 (AD FS), ，并同时充当 AD FS 代理。

提供对应用程序访问权限

　　Web 应用程序代理为组织提供的功能提供给位于组织外部的最终用户在组织内部的服务器上运行的应用程序的选择性访问。使应用程序在外部可用的过程称为发布。与传统的 VPN 解决方案，当您发布到应用程序时不同 Web 应用程序代理最终用户可以访问仅向您发布的应用程序。但是， Web 应用程序代理还可以部署与 VPN 一起作为您的组织中的远程访问部署的一部分。

发布应用程序

　　通过 Web 应用程序代理发布，最终用户可以从其自己的设备访问组织的应用程序，这样，用户不再局限于使用公司便携式计算机来完成其工作，而还可以使用他们的家庭计算机、平板电脑或智能手机。此外，最终用户不需要在其设备来访问已发布的应用程序上安装任何其他软件。可以在装有标准浏览器的客户端、Office 客户端或使用 OAuth 的丰富客户端（例如 Windows 应用商店应用）上使用 Web 应用程序代理。Web 应用程序代理充当通过它发布的任何应用程序的反向代理，因此，最终用户获得的体验就如同他们的设备与应用程序直接连接。

访问应用程序

　　Web 应用程序代理始终必须与部署 AD FS。这使您可以利用的功能 AD FS, ，如单一登录 (SSO)。这使用户输入其凭据一次并在后续场合中，它们将不需要输入其凭据。支持 SSO Web 应用程序代理的后端服务器的使用基于声明的身份验证; 例如 SharePoint 基于声明的应用程序和集成 Windows 身份验证使用 Kerberos 约束委派。集成的 Windows 身份验证基于应用程序可以按定义 AD FS 作为可以在应用程序的请求中定义丰富会强制执行的身份验证和授权策略的信赖方信任。

二 WAP安装与配置

1.前置条件准备

　　1）服务器加域

　　2）安装带有私钥的ADFS证书，也就是之前教程制作的通配符证书，但是导出的时候要将私钥一并导出，并安装到WAP服务器的“个人”

2.在WAP服务器安装WAP功能

打开添加角色和功能向导，选择“远程访问”

选择Web应用程序代理，同时安装Web应用程序代理所需要的其他功能，等待安装完成

点击打开“Web应用程序代理向导”，对WAP进行配置

填写ADFS认证服务相关信息（之前教程中创建的ADFS服务）

选择前面安装到“个人”的ADFS带有私钥的证书

完成安装

三 ADFS服务器对Exchange的配置

打开ADFS管理单元，单击右侧的添加信赖方信任

然后会启动到添加信赖方信任向导，目的很简单就是需要为我们的Exchange OWA配置信任信息，从而让ADFS信任Exchange，并知道Exchange OWA需要什么样的认证和授权

在选择数据源页面，我们选择手动输入有关信赖方的数据

在指定显示名称页面，填入我们要发布的Web应用程序名称

然后为其配置使用AD FS配置文件

并选择合适的令牌证书

在配置URL页选择启用对 WS-Federation被动协议的支持，并在下面填入OWA的地址（注意这里的地址结尾不能有“/”，否则会出现错误）

在询问是否使用多重身份验证页选择使用多重身份验证设置

在配置多重身份验证页保持默认

在选择颁发授权规则页，选择允许所有用户

完成添加信赖方信任，并打开声明规则向导

点击添加规则

在选择规则模板页，选择使用自定义规则发送声明

然后在配置规则页，按照以下设置：

声明名称：

ActiveDirectoryUserSID

自定义规则：

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

再声明第二个规则：

规则名称：

ActiveDirectoryUPN

自定义规则：

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

再添加规则第三个规则

声明名称：

ActiveDirectoryGroupSID

自定义规则：

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid"), query = ";tokenGroups(SID);{0}", param = c.Value);

完成之后，我们在颁发转换规则页应该看到三个规则

重复上述步骤，添加ECP的信赖方信任，最终结果如下

四使用WAP发布Exchange

在WAP服务器上打开WAP管理控制台，选择WAP，然后在右侧单击发布

然后在预身份验证的页面，选择AD联合身份验证服务

然后在信赖方页面选择我们事先建立好的Exchange OWA即Oultook Web App

然后在发布设置页面，进行相应的名称、外部URL、外部证书、后端URL的设置，注意URL必须以“/”结尾

在确认页面，确认我们的配置后，单击发布，并等待发布完成

然后我们按照同样的步骤来发布Exchange ECP

五配置Exchange

在Exchange服务器，打开Exchange ManageMent Shell工具，并执行如下命令

设置adfs认证地址和证书指纹

$uris = @(" https://sso-ex.tt.com/owa","https:// sso-ex.tt.com /ecp")（这里分别为owa和ecp的地址）

Set-OrganizationConfig -AdfsIssuer "https://sts.tt.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint “FB59F2F75F5CBA882876D61673D8E0F6063DF977”（指纹为ADFS令牌签名证书指纹）

设置认证方式为adfs

ECP

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

OWA

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

六验证

在浏览器输入EXchangeOWA或ECP的地址，出现ADFS登录界面，输入凭据进行登录

七错误排查

如果出现如下错误，则是因为证书没有正确配置导致，导出令牌签名证书并导入到exchange服务器的受信任的根证书颁发机构中即可

特别注意：在adfs配置过程中，信赖方被动协议URL中不能以/结尾

错误写法：https://mail.mydomain.com/owa/

正确写法：https://mail.mydomain.com/owa