Federation Trust
راه اندازی Federation Trust، سبب می شود تا کاربران در دو یا چند سازمان مختلف که دارای Exchange Server هستند، بتوانند اطلاعات مربوط به Free/Busy بودن Calendar خود را به اشتراک بگذارند.
در این راهکار، در هر سازمان، یک Client Access Service، با پلاتفرم احراز هویت مایکروسافت که Azure Active Directory نامیده می شود و یک سرویس رایگان است، Trust برقرار می کند. در واقع این سرویس مایکروسافت که Microsoft Federation Gateway (MFG) نیز نامیده می شود، به عنوان واسطه عمل می کند و اطلاعات را میان دو یا چند سازمان، مبادله می کند.
نکته: البته MFG، یک سرویس واسطه به منظور برقراری ارتباط میان Organization ها ارائه می دهد اما کاربران را به صورت جداگانه احراز هویت نمی کند. و یا هیچ اطلاعاتی از User Account از هر Organization را ذخیره نمی نماید.
پیش نیاز های راه اندازی Federation Trust:
۱- Feature های EWS (Exchange Web Services و Autodiscover باید توسط یک Revers Proxy نظیر TMG، بر روی اینترنت Publish شوند.
* در مورد این Feature ها و نحوه Publish آنها در بخش جداگانه ای بصورت تفصیلی، بحث خواهد شد.
۲- WSSecurity بر روی Virtual Directory های EWS و Autodiscover، فعال باشد. برای بررسی این موضوع از cmdlet های زیر استفاده می کنیم:
Get-ClientAccessServer | Get-WebServicesVirtualDirectory |select *auth*
CertificateAuthentication :
InternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
ExternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
LiveIdNegotiateAuthentication :
WSSecurityAuthentication : True
LiveIdBasicAuthentication : False
BasicAuthentication : False
DigestAuthentication : False
WindowsAuthentication : True
OAuthAuthentication : True
AdfsAuthentication : False
Get-ClientAccessServer | Get-AutodiscoverVirtualDirectory |select *auth*
InternalAuthenticationMethods : {Basic, OAuth}
ExternalAuthenticationMethods : {Basic, OAuth}
LiveIdNegotiateAuthentication : False
WSSecurityAuthentication : False
LiveIdBasicAuthentication : False
BasicAuthentication : True
DigestAuthentication : False
WindowsAuthentication : False
OAuthAuthentication : True
AdfsAuthentication : False
همانگونه که ملاحظه می شود، در مثال فوق، WSSecurity برای Autodiscover Virtual Directory فعال نیست. برای فعال کردن آن، از cmdlet زیر استفاده می شود:
Get-ClientAccessServer | Get-AutodiscoverVirtualDirectory | Set-AutodiscoverVirtualDirectory -WSSecurityAuthentication $true
و IIS را Restart می کنیم.
راه اندازی Federation Trust:
به این منظور در EAC، در قسمت Organization Feature، قسمت Sharing TAB بر روی Enable کلیک می کنیم.
هنگامی که Federation Trust، فعال (Enable) می شود:
-
یک Self-Sign Certificate برای استفاده در Federation Trust ایجاد می گردد.
-
فرمان New-FederationTrust به منظور ایجاد Federation Trust با استفاده از Certificate ایجاد شده، اجرا می گردد.
پس از Enable نمودن Federation Trust، دو قسمت Organization Sharing و Individual Sharing در Sharing TAB ایجاد می گردد.
پیکربندی Federation Trust:
در قسمت Federation Trust، با کلیک نمودن بر روی Modify، صفحه Sharing-Enabled Domains باز می شود. در مرحله اول (Select an accepted domain)، باید Share Domain اصلی برای Federation Trust انتخاب شود. این Domain معمولا” SMTP Domain اصلی در Forest می باشد.
نام این Domain با افزودن FYDIBOHF25SPDLT، برای ایجاد Organization Identifier (OrgID)، بکار می رود. بطور مثال اگر نام این Domain به صورت Contoso.Com باشد، یک رشته به صورت:
FYDIBOHF25SPDLT.Contoso.Com
به عنوان OrgID که شناسه Exchange Organization آن سازمان است، برای Federation Trust، ایجاد می گردد.
اثبات مالکیت Domain:
برای اثبات مالکیت Domain به MFG، باید یک TXT Record در Public DNS سازمان، ساخته شود. این TXT Record، بدون نام است و محتوای آن به صورت اتوماتیک، هنگام انتخاب Accepted Domain، ایجاد می گردد.
پس از ایجاد TXT Record در Public DNS، اکنون برای ارسال درخواست به MFG، بر روی Update کلیک می کنیم. پس از انجام Update، مجددا” به صفحه Sharing-enabled Domains باز میگردیم و در صورت وجود بیش از یک Domain، در قسمت Add Additional Domains، می توانیم Sub Domain های مورد نظر را وارد کنیم.
یادآوری: برای هریک از Sub Domain ها نیز باید قبل از کلیک کردن دکمه Update، مطابق آنچه که گفته شد، TXT Record مربوطه را ایجاد نمود.
پیکربندی Organization Relationship:
EAC —> Organization —-> Sharing TAB —–> Organization Sharing
در این قسمت بر روی + کلیک می کنیم تا صفحه Organization Relationship باز شود. در قسمت Relationship name، نام مورد نظر خود را وارد می کنیم. در قسمت Domain to Share With، نام Domain های سازمان دیگری را که آنها هم به MFG مایکروسافت Trust کرده اند و می خواهیم اطلاعات Free/Busy را با آنها به اشتراک بگذاریم، وارد می کنیم. در قسمت Enable Calendar Free/Busy information sharing، سطح Sharing مورد نظر را تعیین می کنیم. در قسمت Share Calendar Free/Busy information for، کاربرانی را تعیین می کنیم که اجازه این Sharing را داشته باشند.
نکته: اگر بخواهیم تنظیمات بیشتری را در این زمینه داشته باشیم (از قبیل Enable یا Disable نمودن MailTips و…)، باید از EMS استفاده کنیم.
پیکربندی Sharing Policy:
Sharing Policy ها بر روی User Mailbox ها اعمال می شود و به آنها اجازه می دهد تا اطلاعات Free/Busy و Contact های خود را با کاربران دیگر در یک Federate Organization خارجی به اشتراک بگذارند.
EAC—-> Organization —–> Sharing TAB —–> Individual Sharing
برای ایجاد یک Sharing Policy، بر روی + کلیک می کنیم تا صفحه Sharing policy باز شود. سپس در قسمت Policy Name، نام مورد نظر خود را وارد می کنیم و سپس در قسمت:
Define Sharing rules for this policy
Rule یا Rule های مورد نظر را ایجاد می کنیم. همچنین با زدن چک مارک Make this policy my default sharing policy، می توان تعیین کرد که Policy ایجاد شده، Default Policy باشد.
برای ایجاد یک Sharing Rule برای یک Sharing Policy، بر روی + کلیک می کنیم تا صفحه Sharing rule باز شود و تنظیمات مربوطه را انجام می دهیم. در این قسمت می توان تعیین کرد که تنظیمات Sharing برای هر Domain خارجی، چگونه باشد.
نکته: Default Sharing Policy بر روی تمامی کاربران اعمال می شود. اما اگر یک Sharing Policy جدید ایجاد کنیم، باید آن را به کاربر یا کاربران مورد نظر، اعمال کنیم. برای این کار در:
EAC —–> Recipients —–> Mailbox TAB
Mailbox کاربر مورد نظر را Edit می کنیم. در قسمت Mailbox Features، قسمت Sharing Policy، در منوی این قسمت، Sharing Policy مورد نظر را اعمال می کنیم.
اگر بخواهیم این policy را برای چند کاربر اعمال کنیم، دکمه CTRL را نگاه داشته، کاربران مورد نظر را انتخاب می کنیم سپس در قسمت Detail Pane، قسمت Bulk Editing، گزینه More Options را انتخاب نموده و در قسمت Sharing Policy، بر روی Update کلیک می کنیم و Sharing Policy مورد نظر را اعمال می کنیم
App TAB:
EAC —–> Organization —–> App TAB
برنامه های کاربردی که در این قسمت قرار دارند، بر روی Outlook کاربران اعمال می گردند و سبب می شود تا کاربران قادر باشند در outlook خود کارهای بیشتری را انجام دهند. در این قسمت می توان App های مخصوص Outlook را از Office Store، دریافت (Download) و نصب کرد.
