Crear una confianza de federación

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

Una confianza de federación establece una relación de confianza entre una organización de Microsoft Exchange Server 2010 y Microsoft Federation Gateway

Nota

Crear una confianza de federación es uno de los varios pasos que se deben seguir para establecer una delegación federada en la organización de Exchange. Para revisar todos los pasos, consulte Configuración de la delegación federada.

¿Está buscando otras tareas de administración relacionadas con la federación? Consulte Administración de federación.

Requisitos previos

  • El dominio utilizado para establecer una confianza de federación debe poder resolverse desde Internet. Esto requiere que el dominio se registre en un registrador de dominios y que la zona DNS del dominio se hospede en un servidor DNS al que se pueda obtener acceso desde Internet. Si la organización recibe correo electrónico de Internet para el dominio, ya se cumplen estos requisitos.

  • Las dos organizaciones de Exchange de una relación de delegación federada deben usar la misma versión de Microsoft Federation Gateway para sus confianzas de federación. Este requisito se aplica al configurar una delegación federada entre dos organizaciones locales de Exchange o entre una organización local de Exchange y una organización de Exchange hospedada por Microsoft Online Services o Microsoft Live@edu.

    Al crear una confianza de federación con Microsoft Federation Gateway para la organización de Exchange, la confianza de federación usará la versión de Microsoft Federation Gateway del usuario o de la empresa.

    Las organizaciones de Exchange indicadas a continuación usan de forma predeterminada la versión de Microsoft Federation Gateway de la empresa:

    • Las organizaciones de Exchange 2010 Service Pack 2 (SP2) que usan certificados autofirmados para una confianza de federación

    • Las organizaciones de Exchange hospedadas por Microsoft Online Services, tales como el servicio en línea de Exchange ofrecido en Microsoft Business Productivity Online Standard Suite

    Las organizaciones de Exchange indicadas a continuación usan de forma predeterminada la versión de Microsoft Federation Gateway del usuario:

    • La versión RTM de organizaciones de Exchange 2010 que usan certificados emitidos por otras entidades emisoras de certificados

    • Organizaciones de Exchange hospedadas por Microsoft Live@edu

    Se recomienda que todas las organizaciones de Exchange usen la versión de Microsoft Federation Gateway de la empresa para las confianzas de federación. Antes de configurar la delegación federada entre las dos organizaciones, debe comprobar qué instancia de Microsoft Federation Gateway está usando cada organización de Exchange para ver si hay confianza de federación. Para determinar qué instancia de Microsoft Federation Gateway está usando una organización de Exchange para confianza de federación, ejecute el siguiente comando de Shell.

    Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
    

    La versión de la empresa devuelve un valor <uri:federation:MicrosoftOnline> para el parámetro TokenIssuerURIs.

    La versión del usuario devuelve un valor <uri:WindowsLiveID> para el parámetro TokenIssuerURIs.

    Para configurar la delegación federada con una organización de Exchange que tiene un certificado de confianza de federación que usa la instancia de negocios de Microsoft Federation Gateway, siga los pasos indicados en Usar EMC para crear una confianza de federación o Usar el Shell para crear una confianza de federación en este tema. Estos pasos son todo lo que necesita realizar para crear confianza de federación que se puede usar para habilitar la delegación federada entre dos organizaciones de Exchange 2010 SP2.

    Para configurar una delegación federada entre la organización de Exchange 2010 SP2 y una organización de Exchange que tenga una confianza de federación y use la versión de Microsoft Federation Gateway del usuario, seleccione uno de los métodos siguientes:

    • Método recomendado   La organización de Exchange que usa la versión de Microsoft Federation Gateway del usuario debe instalar Exchange 2010 SP2. Una vez instalado SP2, los dominios federados y las confianzas de federación existentes deben quitarse y volver a crearse mediante EMC. Al volver a crear las confianzas de federación, se usará la versión de Microsoft Federation Gateway de la empresa. También debe probar todas las relaciones existentes de la organización para comprobar que funcionan adecuadamente. Para obtener instrucciones detalladas para quitar confianza de federación, consulte Quitar las confianzas de federación.

    • Método alternativo   Para crear una confianza de federación mediante la versión de Microsoft Federation Gateway del usuario, la organización de Exchange 2010 SP2 puede seguir este procedimiento Usar el Shell para crear una confianza de federación que usa la versión de Microsoft Federation Gateway del usuario. Este método debe usarse únicamente si necesita habilitar una delegación federada con otra organización de Exchange que no puede instalar Exchange 2010 SP2.

¿Qué desea hacer?

  • Usar EMC para crear una confianza de federación

  • Usar el Shell para crear una confianza de federación

  • Usar el Shell para crear una confianza de federación que usa la versión de Microsoft Federation Gateway del usuario

Usar EMC para crear una confianza de federación

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Confianza de federación" en el temaPermisos de Exchange y de infraestructura de Shell.

  1. En el árbol de la consola, haga clic en Configuración de la organización.

  2. En el panel de acciones, haga clic en Nueva confianza de federación.

  3. En la página Nueva confianza de federación, haga clic en Nuevo. Se crea un certificado autofirmado automáticamente para la confianza de federación con Microsoft Federation Gateway y se implementa en los servidores de Exchange de su organización El nombre predeterminado de la nueva confianza de federación es Microsoft Federation Gateway.

  4. En la página Finalización, revise lo siguiente y haga clic en Finalizar para cerrar el asistente:

    • El estado Finalizado indica que el asistente finalizó la tarea correctamente.

    • El estado Error indica que la tarea no se pudo completar. Si la tarea da como resultado un error, revise el resumen para buscar una explicación y, a continuación, haga clic en Atrás para realizar los cambios de configuración necesarios.

Nota

La nueva confianza de federación aparece en la ficha Federación de confianza.

Nota

Para completar la configuración de la federación, agregue un registro de texto (TXT) en DNS para el dominio que desea usar como espacio de nombre de cuentas y para cualquier otro dominio que desee agregar como dominio federado en Microsoft Federation Gateway. Una vez los registros TXT estén disponibles en DNS, complete la configuración de confianza de federación mediante el Asistente para administrar federaciones en el EMC o el cmdlet Set-FederatedOrganizationIdentifier en el Shell. Para obtener información detallada, consulte Crear un registro TXT para la federación o Administración de federación.

Usar el Shell para crear una confianza de federación

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Confianza de federación" en el temaPermisos de Exchange y de infraestructura de Shell.

  1. En este ejemplo se crea un identificador de clave de asunto exclusivo para usarse con el certificado.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. En este ejemplo se crea un certificado autofirmado para la confianza de federación con Microsoft Federation Gateway.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. En este ejemplo se recupera un certificado autofirmado y se crea la confianza de federación "Microsoft Federation Gateway". El certificado autofirmado se implementa automáticamente para los servidores de Exchange de su organización.

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
    

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte los siguientes temas:

Usar el Shell para crear una confianza de federación que usa la versión de Microsoft Federation Gateway del usuario

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el Entrada "Confianza de federación" en el temaPermisos de Exchange y de infraestructura de Shell.

Nota

No puede usar EMC para crear una confianza de federación que use la versión de Microsoft Federation Gateway del usuario.

Requisito previo

Para crear una confianza de federación que use la versión de Microsoft Federation Gateway del usuario, debe contar con un certificado X.509 válido que cumpla los requisitos para las confianzas de federación. El certificado debe ser emitido por una Entidad de certificación (CA) de confianza de Microsoft Federation Gateway. Este certificado se implementará de manera automática en todos los servidores de acceso de cliente y de transporte de concentradores a los que puede tener acceso la tarea de confianza de federación. Para obtener más información, consulte Autoridades de certificación raíz de confianza para confianzas de federación.

  1. En este ejemplo se obtiene una lista de certificados y las huellas digitales pertinentes.

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
    

    Where es un alias para el cmdlet Where-Object. También puede reemplazarse por el alias ? (signo de interrogación). Para obtener una lista de todos los alias disponibles en el Shell, ejecute el cmdlet Get-Alias.

    Si existe solamente un certificado no autofirmado en el servidor, puede combinar los comandos de este paso y del siguiente con el fin de simplificar esta tarea. Puede canalizar los resultados del cmdlet Get-ExchangeCertificate al cmdlet New-FederationTrust, como se muestra en el ejemplo.

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
    
  2. En este ejemplo se crea la confianza de federación Microsoft Federation Gateway.

    New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
    

    Importante

    Después de crear una confianza de federación, el paso siguiente en la configuración de una delegación de federación es crear un registro TXT por separado en la zona DNS para el subdominio de delegación federada y para cada correo electrónico principal o dominio del proxy SMTP que quiera federar. Como ha creado confianza de federación que usa la instancia del usuario de Microsoft Federation Gateway, debe seguir los pasos descritos en la versión RTM de Exchange 2010 del tema Crear un registro TXT para federación. Una vez los registros TXT estén disponibles en DNS, complete la configuración de confianza de federación mediante el Asistente para administrar federaciones en el EMC o el cmdlet Set-FederatedOrganizationIdentifier en el Shell.

Para obtener más información acerca de la sintaxis y los parámetros, consulte Get-ExchangeCertificate o New-FederationTrust.

Otras tareas

Después de crear una confianza de federación, es posible que también desee realizar las siguientes tareas:

 © 2010 Microsoft Corporation. Reservados todos los derechos.