Web application proxy на прикладі публікації exchange 2018 (частина 4)

На сьогодні, план дій такий:

  1. Конфігурація служб федерації Active Directory
  2. Конфігурація доменних служб Active Directory
  3. Конфігурація Exchange Server
  4. Підбиття підсумків

У ADFS розрізняють два важливих поняття: постачальник аутентифікації (Claims Provider Trust) і постачальник ресурсів (Relying Party Trusts)

Claims Provider Trust - це організація, яка створює і управляє обліковими записами ресурсів. Прикладом можуть послужити ті ж самі служби ADDS. або інші LDAP сховища.

Relying Party Trusts - надає доступ до ресурсів і управляє цим доступом. Наприклад це може бути стороннє веб додаток розташоване поза межах організації але налаштоване на взаємодію з постачальником аутентифікації.

У різній літературі, іноді обидва поняття називають островами. Залежно від завдання, яку будуть вирішувати служби федерації, острови можуть знаходиться в різних організаціях або в рамках однієї. Завдання ж ADFS якраз і буде складатися в об'єднанні цих островів.

Повернемося в рамки нашого поточного завдання. Для Claims Provider Trust будуть використовуватися доменні служби Active Directory. а в якості Claims Provider Trust я створю нового постачальника послуг для Exchnage сервера.

Для цього на сервері з встановленими службами ADFS. в моєму демо-стенді це сервер srv-adfs.office365.local, перейдемо в консоль AD FS Management.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Далі, в Trustrelationship виберемо Add Non-Claims-Aware Relying Party trust. як показано на скріншоті.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Як ім'я, я вибрав Exchange.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

На наступному кроці ми не будемо налаштовувати мульти-факторну аутентифікацію.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Як приклад, я створю правило яке буде діяти на основі атрибута SID групи об'єктів Active Directory.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

В якості групи будуть використовуватися група domain users.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Web application proxy на прикладі публікації exchange 2013 (частина 4)

З боку ADDS, нам потрібно налаштувати делегування на облікового запису комп'ютера сервера WAP. Даний крок нам необхідний, так як постачальник ресурсів для Exchnage Server буде використовувати вбудовану перевірку автентичності Windows в процесі аутентифікації. Для цього з Server Manager запустимо оснащення Active Directory Users and Computers.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

В оснащенні виберемо властивості облікового запису комп'ютера WAP сервера.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

У вкладці Delegation. виставляємо радіобокс навпаки Trust this computer for delegation to specified services only а далі Use any authentication protocol.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Далі, як показано на скріншоті, потрібно вибрати доменну обліковий запис комп'ютера Exchnage сервера.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

В якості служби, буде використовуватися HTTP.

Web application proxy на прикладі публікації exchange 2013 (частина 4)

Після закінчення делегування, вікно повинно мати такий вигляд

Web application proxy на прикладі публікації exchange 2013 (частина 4)

На стороні Exchange Server нам потрібно лише змінити методи аутентифікації на веб каталогах OWA і ECP з FBA на вбудовану перевірку автентичності Windows.

Для цього в Exchnage admin center перейдемо до пункту servers

Web application proxy на прикладі публікації exchange 2013 (частина 4)

І виставимо відповідні налаштування на веб каталогах після чого слід перезапустити IIS сервер.

Web application proxy на прикладі публікації exchange 2013 (частина 4)
Web application proxy на прикладі публікації exchange 2013 (частина 4)

Share this:

About Alexander Tkachenko

  • ви писали: Повернемося в рамки нашого поточного завдання. Для Claims Provider Trust будуть використовуватися доменні служби Active Directory, а в якості Claims Provider Trust я створю нового постачальника послуг для Exchnage сервера.
    у другому випадку Relying Party Trusts

    Добридень!
    Звідки взявся SRV-WAP в AD, якщо він знаходиться поза домену?

    Схожі статті