Federation Trust y Sharing Policies

It is secure trusted connection of separate organizations, which need to share their internal data (Calendar,Free/busy and contact information and others) without a need of establishing special Forests/Domains trust

Federation trust works based on free Microsoft cloud service Microsoft Federation Gateway. Microsoft Federation Gateway acts like middle authority, with which all Exchange organizations need to establish one time trust before those will be able to communicate with each-other

After one time trust is established, Microsoft Federation Gateway issues SAML tokens for users, which requests to get information about users from federated Exchange organization


Microsoft Federation Gateway: servicio Cloud gratis de Microsoft que actúa como un intermediario de confianza entre dos organizaciones de exchange federadas

En vez de configurar una confianza directa (Forest trust en AD), la federacion de Exchange se hace utilizando Microsoft Federeation Gateway

Antes de compartir datos entre organizaciones, cada organizacion debe realizar una “trust relationship” con “Microsoft Federation Gateway”

Despues de crear una “trust” con “Microsoft Federation Gateway”, el MFG emite un delegation token para cada usuario que Ad DS autentica, y con ese token los usuarios autenticados en AD DS puedeb acceder a los recursos compartidos de exchange dentro de la organizacion

Con Microsoft Federation Gateway actuando como “trust broker” las organizaciones no necesitan crear AD Forest Trust

Cuando establecemos una “Trust” con (Microsoft Fedetation Gateway” (MFG) nuestra organizacion intercambia certificados digitales con el MFG ademas de los metadata de federacion

01.- Crear la Federation Trust con MFG

Antes de federarnos con otra compañía, verificamos que instancia (bussines o customer) está usando cada organización de Exchange

  • Get-FederationInformation -DomainName <hosted Exchange domain namespace>

En el parámetro TokenIssuerURIs devuelve lo siguiente:

  • Business <urn:federation:MicrosoftOnline>)
  • Customer (<urn:WindowsLiveID>)


 

01.- Habilitar Federation Trust con Microsoft Federation Gateway

Se creara un certificado auto-firmado, que se usara para firmar y encriptar tokens desde el MFG que permite a los usuarios sean confiados por organizaciones externas federadas de exchange

Organization > Sharing > federation trust “enable”


 

Desde EAC nos creara automáticamente los certificados auto-firmados, lo cual Microsoft nos recomienda usar, además de esta forma (via EAC) no tenemos que crear los certificados como si lo tenemos que hacer si infigutamos con PowerShell la Federation


 

02.- añadir el sharing domain (nuestro dominio a federar)

Nos aparece habilitado más opciones. Ahora tenemos que añadir el dominio con el cual nos queremos federar (que también se tendrá que haber federado con MFG previamente). Pinchamos en modify


Ponemos el “Primary Share Domain” que queremos compartir, es decir nuestro dominio autoritativo. Este dominio se usara para para configurar el OrgID en el Federation Trust con MFG

También podremos añadir más dominio al Federation Trust para direccione de email que usaran usuarios en nuestra organización. Por ejemplo si tenemos un subdominio sales.adatum.com lo añadiríamos en el “Step2: add additional domains you wants to enable sharing”


En este punto si no tenemos el TXT en el DNS público, nos fallara

IMPORTANTE. También nos aparece lo que debemos poner en el registro TXT de nuestro DNS PUBLICO que es lo mismo que si hiciéramos Get-FederatedDomainProof –DomainName Adatum

 

3.- Añadimos el hash de certificado al TXT en el DNS Internet

Añadimos el certificado que nos salió en la ventana anterior o que podremos obtener con :

Get-FederatedDomainProof –DomainName Adatum



 

Si todo fuera bien nos aparecería nuestro OrgID


Podríamos ponerlo a mano, pero sin el TXT en DNS no hay nada que hacer


 

02.- Create an organization relationship


Tras haber creado el trust Federation con MFG, ahora hacemos la relación con la organización y defginimos que queremos compartir. Esta es una de las maneras, la otra es con Sharing Policies

  • Relationship name: el nombre que le daremos a la relación con la organización
  • Domains to share with: ponemos un federated subdomain par office 365 o la organización Exchange a la que le dejaremos ver nustros calendario.

    Si necesitamos poner multiples dominos externos, los separamos por comas; contoso.com, service.contoso.com

  • Enable calendar free/bysy information sharing: le damos el nivel acceso a nuestro calendario que vamos a permitir, si a todo el munod, o solo para una OU de nuetra organización

A nosotros nos da el error, ya que esto consulta en el MFG y ni nosotros lo tenemos bien, ni tampoco está la otra organización federada

 



 

 

 

 

 

 

 

Sharing Policies (Individual sharing)

Podemos controlar la delegación federada mediante “Sharing Policies” en vez de usar “organizational relationships”, pero eso sí, necesita crearse la Federation Trust con Microsoft Federaton Gateway

Se pueden aplicar a los mailboxes mediante Sharing policy para definir qué información se compartirá con usuarios externos

En vez de compartirse la información automáticamente, el usuario en la organización envía una invitación al usuario externo para compartir el calendario y contactos

Aunque la organización externa no tiene necesidad de tener una Federation Trust con MFG, deberíamos crear un Federation Trust de dos vías, es decir, que la otra organización la tenga también

Para poder aplicar permisos calendar y Sharing Permissions tenemos que ser miembro de estos roles

  • Get-RoleGroup “help desk” | Add-RoleGroupMember -Member bill

Con las Sharing Policies controlamos como los usuarios de nuestra organización comparte información de calendario con usuarios fuera de nuestra organización

Las Sharing Policies proporcionan información de calendario con distintos tipos de usuarios externos

  • usuarios federados de office 365, Exchange On-Premises de otra organización
  • Organizaciones externas no federadas
  • usuarios individuales

 

Por defecto hay una Sharing Policy para todos los dominios que tengamos federados y los anónimos (invita a los usuarios de internet ver la disponibilidad del calendario mediante un Link el cual requiere configurar esto

 




Vamos a crear una Sharing Policy


Le damos la información que queramos, tanto para todos los dominios como con alguno en concreto


04.- Crear un DNS record llamado Autodiscover

Este registro Autodiscover debe ser un alias (CNAME) apuntando al CAS que mira a Internet


05.- Configurar a los usuarios las Sharing policies

  • Set-Mailbox aidan -SharingPolicy “Adatum Sharing Policy”


 

Con Powershell

01.- Crear la federation Trust con MFG

Genera un SKI único y un certificado que usaremos para federarnos con MFG

  • $ski = [System.Guid]::NewGuid().ToString(“N”)
  • New-ExchangeCertificate -FriendlyName “Exchange Federated Sharing” -DomainName “adatum.com” -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

 

Creamos la federación con “Microsoft federation Gateway”, pero no es capaz de contactar aun con MFG

 

Añadir hash TXT

Para poder conectar como MFG debemos proporciona este dominio definiéndolo en el identiticador de federation Organization. Para ello debemos añadir HASHES como un registro TXT en nuestro DNS server.

Para obtener este hash ejecutamos el comando siguiente con el cual nos aparecerá el hashes (en dns records)


Añadimos el certificado



Una vez creada la “Trust Federation” con Microsoft Federation Gateway el odjeto AppID se crea automáticamente, el cual es un ID único que identifica a mi organización en MFG

  • Get-FederationTrust


02.- Crear una organization relationship

Obtenemos las relaciones con otra organización Exchange

 

Este ejemplo intenta descubrir información de la organización externa “contoso.com” (nosotros somos Adatum). Este es otro modo de crear la organization relationship, pero deberemos asegurarnos que nosotros ya hemos creado un OrgID (organization identifier) el cual debería haberse creado con la Federation Trust con MFG, podemos verlo también con Set-FederatedOrganizationIdentifier

 

 

03.- Crear Sharing Policies

 

Esto crea una Sharing Policy para dos dominios distintos; contoso y woodgrovebank

  •  

This example creates the sharing policy Anonymous for an Exchange organization with the Client Access server CAS01 and the Mailbox server MAIL01 with the sharing action configured for limited calendar availability information. This policy allows users in your Exchange organization to invite users with Internet access to view their calendar availability information by sending them a link. The policy is enabled.

 

  • Set-Mailbox aidan -SharingPolicy “Adatum Sharing Policy”

 

 

 

Permisos necsesarios

 

Be the first to comment

Leave a Reply