Exchange与ADFS单点登录 PART 7：OWA/ECP使用ADFS身份验证

在前面的文章中，我们做了非常多的准备工作来使用ADFS进行联合身份的配置，比如我们可以使用ADFS来完成Exchange、Sharepoint等的认证，当然如果有兴趣，也可以把Windows Azure Package的认证也拿来让ADFS完成，更有兴趣，可以开发基于ADFS认证的Web应用，让ADFS做到名副其实活动目录联合身份认证服务。

好了，前面准备了这么多，那么今天我们就来使用WAP以ADFS身份认证的方式发布Exchange OWA，前提有两点：

1.我们已经完成了Exchange OWA信赖方信任和信任声明；

2.Exchange 2013必须升级到SP1；

满足以上两点，我们就开始吧，首先在WAP服务器上打开WAP管理控制台，选择WAP，然后在右侧单击发布；

然后在预身份验证的页面，选择AD联合身份验证服务；

然后在信赖方页面选择我们事先建立好的Exchange OWA即Oultook Web App；

然后在发布设置页面，进行相应的名称、外部URL、外部证书、后端URL的设置，这些设置都与之前的设置是一样的；

在确认页面，确认我们的配置后，单击发布；

如果没有问题，很快即可完成WAP发布；

然后我们按照同样的步骤来发布Exchange ECP；

ECP和OWA都发布后，我们在WAP的控制台应该可以看到两个已经发布的Web应用程序；

然后我们在ADFS服务器上，打开管理员Powershell，输入以下命令：

Get-AdfsCertificate -certificateType token-signing

然后将其复制，并使用$thumb = get-content 装入证书指纹，再到Exchange服务器打开EMS，执行以下两个cmdlet：

$uris = @(" https://mail.reindemo.com/owa","https://mail.reindemo.com/ecp")

Set-OrganizationConfig -AdfsIssuer "https://adfs.reindemo.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprints $thumb

完成之后，再执行以下两个命令，来启用Exchange OWA/ECP的ADFS身份验证：

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false OAuthAuthentication $false

完成之后使用iisreset 重新启动IIS，或通过以下cmdlet：

Restart-Service W3SVC,WAS -noforce

重启之后即可完成Exchange OWA/ECP启用ADFS身份验证的配置。到此我们的Exchange就已经通过ADFS验证的方式发布完成了。成功配置了之后，赶快打开Exchange OWA/ECP的URL试试看吧！