如果我们使用 SSO,是否可以通过 activesync 同步交换电子邮件?
Is it possible to sync exchange emails via activesync if we use SSO?
我正在使用 activesync 同步交换电子邮件,其中使用基本身份验证进行身份验证。我想知道是否可以将 activesync 与单点登录解决方案一起使用?
我假设您希望通过 SSO 实现一种方式,让您的用户可以使用移动电话,而无需每次在活动目录中更改密码时都调整密码。解决方案是使用“certificate-based authentication for Exchange ActiveSync”。通过这种方法,内部 CA 将为用户创建一个证书,该证书可在移动设备上用于根据您的 Exchange 环境对 ActiveSync 会话进行身份验证。只要证书有效,用户就可以在移动设备上使用该证书而不是密码。
请注意,这对 IT 部门(对于我的大多数客户)来说需要更高的工作量,因此他们中的大多数人开始使用 MDM 环境,该环境几乎可以自动将这些证书推送到已注册的设备。例如,AirWatch 可以做到这一点(但可能还有其他的,但我只能从 AirWatch 说起,因为它有 6 个客户在使用)。
另一个建议我们如何构建它:我们向 Exchange 环境添加了额外的 IP,然后配置了一个额外的 ActiveSync 端,并使用了经过身份验证的证书。然后我们可以测试整个解决方案,然后再切换用户。但是,如果您没有那么多用户,您可能会考虑 "big bang" 迁移。
在 ActiveSync 上实现 SSO 的唯一方法是使用基于证书的身份验证。 ActiveSync 不支持联合身份验证,因此不支持 SAML、OAuth……设置内部 CA 并不那么复杂,尤其是如果您使用 Microsoft 的 CA:ADCS。只需按照 BastianW 的 link 中的说明进行操作即可。
然后,您将需要像 AirWatch, MobileIron 这样的企业移动管理工具,...以与您的 CA 集成并将证书无缝分发给您的用户。
通过 BasicAuth 的简单 activesync 并不是真正的 "the way"。
例如:Airwatch 正在使用 "Mobile Email Management",它的工作方式类似于您网络的代理。以这种方式工作,您可以通过 AD / LDAP 等使用 SSO...
我强烈建议这样做。
我正在使用 activesync 同步交换电子邮件,其中使用基本身份验证进行身份验证。我想知道是否可以将 activesync 与单点登录解决方案一起使用?
我假设您希望通过 SSO 实现一种方式,让您的用户可以使用移动电话,而无需每次在活动目录中更改密码时都调整密码。解决方案是使用“certificate-based authentication for Exchange ActiveSync”。通过这种方法,内部 CA 将为用户创建一个证书,该证书可在移动设备上用于根据您的 Exchange 环境对 ActiveSync 会话进行身份验证。只要证书有效,用户就可以在移动设备上使用该证书而不是密码。
请注意,这对 IT 部门(对于我的大多数客户)来说需要更高的工作量,因此他们中的大多数人开始使用 MDM 环境,该环境几乎可以自动将这些证书推送到已注册的设备。例如,AirWatch 可以做到这一点(但可能还有其他的,但我只能从 AirWatch 说起,因为它有 6 个客户在使用)。
另一个建议我们如何构建它:我们向 Exchange 环境添加了额外的 IP,然后配置了一个额外的 ActiveSync 端,并使用了经过身份验证的证书。然后我们可以测试整个解决方案,然后再切换用户。但是,如果您没有那么多用户,您可能会考虑 "big bang" 迁移。
在 ActiveSync 上实现 SSO 的唯一方法是使用基于证书的身份验证。 ActiveSync 不支持联合身份验证,因此不支持 SAML、OAuth……设置内部 CA 并不那么复杂,尤其是如果您使用 Microsoft 的 CA:ADCS。只需按照 BastianW 的 link 中的说明进行操作即可。 然后,您将需要像 AirWatch, MobileIron 这样的企业移动管理工具,...以与您的 CA 集成并将证书无缝分发给您的用户。
通过 BasicAuth 的简单 activesync 并不是真正的 "the way"。
例如:Airwatch 正在使用 "Mobile Email Management",它的工作方式类似于您网络的代理。以这种方式工作,您可以通过 AD / LDAP 等使用 SSO...
我强烈建议这样做。