Mecanismos de autenticación para HTTP
Última modificación del tema: 2005-05-24
El servidor de aplicaciones para el usuario trata la autenticación de dos maneras: el propio servidor de aplicaciones para el usuario autentica el usuario (utilizando autenticación básica o basada en formularios) o reenvía la solicitud de forma anónima al servidor de servicios de fondo. De cualquiera de las maneras, el servidor de servicios de fondo también realiza la autenticación.
Nota
La autenticación anónima en el servidor de aplicaciones para el usuario es necesaria cuando éste está ubicado en una red perimetral y no puede utilizar Llamadas a procedimientos remotos. Este escenario no es el recomendado, ya que el servidor de aplicaciones para el usuario no puede bloquear el acceso de los usuarios. Para obtener más información acerca de la autenticación de paso a través, consulte "Autenticación de paso a través" más adelante en este tema.
Importante
Es muy recomendable que utilice la autenticación dual mediante la cual los servidores de aplicaciones para el usuario y de servicio de fondo se configuran para que autentiquen usuarios. Para obtener más información, consulte "Autenticación dual" más adelante en este tema.
Autenticación dual
De forma predeterminada, en los servidores de aplicaciones para el usuario y servicios de fondo se utiliza la autenticación dual. En la autenticación dual, tanto los servidores de aplicaciones para el usuario como los de servicios de fondo se configuran para que autentiquen los usuarios. Siempre que sea posible, debe configurar los servidores de aplicaciones para el usuario para que realicen la autenticación. Si no puede habilitar la autenticación en el servidor de aplicaciones para el usuario, el inicio de sesión implícito no funciona y no se puede equilibrar la carga de las solicitudes de carpetas públicas. Para obtener acceso puede utilizar el inicio de sesión explícito, independientemente de cómo esté configurada la autenticación.
Nota
Exchange se basa en IIS para autenticar las solicitudes HTTP. IIS envía RPC a los servidores de directorio para realizar la autenticación. Si no están permitidas las RPC entre el servidor de aplicaciones para el usuario y el servidor de directorio, debe utilizar la autenticación de paso a través. Para obtener más información acerca de cómo habilitar la autenticación de paso a través y los riesgos que conlleva, consulte "Autenticación de paso a través" más adelante en este tema.
Autenticación de paso a través
En la autenticación de paso a través, el servidor de aplicaciones para el usuario se configura con autenticación anónima de manera que no pida al usuario un encabezado de autorización. El servidor de aplicaciones para el usuario reenvía la solicitud del usuario al servidor de servicios de fondo, que pide autenticación al usuario. La solicitud de autenticación del servidor de servicios de fondo y la respuesta del usuario se enrutan sin cambios a través del servidor de aplicaciones para el usuario.
Nota
Con la autenticación de paso a través, las solicitudes HTTP anónimas van directamente al servidor de servicios de fondo cuando se autentican. Utilice la autenticación de paso a través sólo si es absolutamente necesario. La estrategia recomendada es colocar un servidor de seguridad avanzado en la red perimetral y el servidor de aplicaciones para el usuario detrás del servidor de seguridad interno, de manera que tenga acceso RPC a la red interna. Si desea colocar el servidor de aplicaciones para el usuario en la red perimetral, puede ser más seguro permitir las RPC que permitir que las solicitudes anónimas lleguen a los servidores de servicios de fondo, porque la autenticación de paso a través permite que las solicitudes de cualquier origen, válido o no, se envíen a los servidores de servicios de fondo. Para obtener más información, consulte Situaciones para la implementación de una topología de aplicaciones para el usuario y servicios de fondo.
Cuando se utiliza la autenticación de paso a través, el servidor de aplicaciones para el usuario no puede equilibrar la carga de las solicitudes de carpetas públicas porque no tiene un testigo de autenticación sobre el cual ejecutar el algoritmo de operaciones hash. Además, el inicio de sesión implícito no funcionará. Para iniciar una sesión, los usuarios deben introducir la dirección URL completa incluido su nombre de usuario.
Métodos de autenticación
Hay varios métodos de autenticación para la arquitectura de servidores de aplicaciones para el usuario y servicios de fondo en función de la versión de Exchange que esté utilizando. Además, la autenticación entre el cliente y el servidor de aplicaciones para el usuario tiene diferentes opciones, a diferencia de la autenticación entre los servidores de aplicaciones para el usuario y de servicios de fondo. En las siguientes secciones se describen los dos métodos de autenticación.
Autenticación de cliente a servidor de aplicaciones para el usuario
Nota
Los servidores de aplicaciones para el usuario no admiten la autenticación de Windows integrada (que incluye autenticación NTLM y Kerberos) ni la autenticación de acceso implícita HTTP 1.1.
Autenticación básica
La autenticación básica es un mecanismo simple de autenticación definido por la especificación HTTP que codifica ligeramente el nombre del usuario y la contraseña antes de enviarlos al servidor. Para lograr una seguridad real de la contraseña en una topología de aplicaciones para el usuario y servicios de fondo, debe usar cifrado SSL entre el cliente y el servidor de aplicaciones para el usuario.
Nota
Exchange 2000 Server y Exchange Server 2003 admiten la autenticación básica.
La autenticación básica no admite el inicio de sesión único. El inicio de sesión único se da cuando un usuario inicia una sesión en un equipo con Windows, el usuario se autentica en un dominio y, después, tiene acceso a todos los recursos y aplicaciones del dominio sin volver a escribir sus credenciales. Microsoft Internet Explorer versiones 4.0 y posteriores permiten el inicio de sesión único para aplicaciones Web, incluido Outlook Web Access, si el servidor al que se tiene acceso tiene habilitada la autenticación de Windows integrada. Debido a que los servidores de aplicaciones para el usuario no admiten autenticación de Windows integrada, cuando los usuarios entran en aplicaciones HTTP, el servidor de aplicaciones para el usuario les pide autenticación y deben volver a escribir sus credenciales, aunque utilizaran Windows para iniciar la sesión. Sin embargo, los usuarios sólo tienen que escribir sus credenciales una vez por cada sesión del explorador, porque se almacenan en la caché durante el proceso del mismo.
Importante
Si utiliza un quiosco, tenga en cuenta que almacenar en la caché las credenciales puede suponer un riesgo para la seguridad si no puede cerrar el explorador y terminar el proceso del mismo entre cada sesión. Este riesgo existe porque las credenciales de un usuario permanecen en la caché cuando el siguiente usuario tiene acceso al quiosco. Para habilitar el uso de Outlook Web Access en un quiosco, asegúrese de que puede cerrar el explorador entre sesiones y terminar los procesos del explorador. En caso contrario, considere la posibilidad de utilizar un producto de otro fabricante que incorpore una autenticación de dos factores, en la que el usuario deba presentar un testigo físico con una contraseña para utilizar Outlook Web Access en el quiosco.
Autenticación basada en formularios
Nota
La autenticación basada en formulario sólo es admitida por Exchange Server 2003. Sin embargo, puede utilizar un servidor de aplicaciones para el usuario de Exchange2003 Server con un servidor de servicios de fondo de Exchange2000 Server y beneficiarse de la autenticación basada en formularios.
La autenticación basada en formularios utiliza una cookie para identificar el usuario cuando éste ha realizado el inicio de sesión inicial. El seguimiento del uso de esta cookie permite a Exchange terminar las sesiones inactivas. Sin embargo, el nombre y contraseña del usuario inicial aún se transmite como texto sin cifrar, de manera similar a la autenticación básica. Por este motivo se debe utilizar SSL con la autenticación basada en formularios. Para obtener información acerca de cómo configurar la autenticación basada en formularios, consulte la sección "Configuración de la autenticación basada en formularios para Exchange Server 2003" en Configuración del servidor de aplicaciones para el usuario para presuponer un dominio predeterminado.
Autenticación de aplicaciones para el usuario y servicios de fondo
El servidor de aplicaciones para el usuario debe enviar las credenciales del usuario al servidor de servicios de fondo junto con las solicitudes Web de manera que el servidor de servicios de fondo pueda permitir el acceso a los datos.
Autenticación integrada
Los servidores de aplicaciones para el usuario de Exchange 2003 utilizarán la autenticación Kerberos para proteger las credenciales del usuario entre los servidores de aplicaciones para el usuario y de servicios de fondo. Si se producen un error en la autenticación Kerberos, se registrará un suceso de advertencia y el servidor de aplicaciones para el usuario intentará la autenticación NTLM. Si se produce un error de NTLM, se registrará un error y se utilizará la autenticación básica.
Para que el servidor de aplicaciones para el usuario utilice la autenticación integrada, los servidores virtuales de servicios de fondo deben configurarse para que permitan la autenticación integrada (lo que son de forma predeterminada).
Nota
Tanto los servidores de servicios de fondo de Exchange 2003 como de Exchange 2000 admitirán la autenticación integrada de un servidor de aplicaciones para el usuario de Exchange 2003.
Autenticación básica
El servidor de aplicaciones para el usuario envía las credenciales de autenticación básica a los servidores de servicios de fondo. Para proteger esta información, es muy recomendable que se utilice IPSec entre los servidores de aplicaciones para el usuario y servicios de fondo.
Nota
Tanto los servidores de aplicaciones para el usuario de Exchange 2000 como los de Exchange 2003 admiten la autenticación básica entre los servidores de aplicaciones para el usuario y de servicios de fondo.
Información de inicio de sesión del usuario
Cuando se autentica en un servidor de aplicaciones para el usuario, de forma predeterminada, el usuario debe escribir su nombre de usuario con el siguiente formato: dominio\nombreusuario. El servidor de aplicaciones para el usuario se puede configurar para que asuma un dominio predeterminado de manera que los usuarios no tengan que recordar su dominio.
Una opción adicional de autenticación es configurar un nombre principal de usuario (UPN) para los usuarios. Normalmente, se establece que el UPN del usuario sea el mismo que su dirección de correo electrónico. Esto permite a los usuarios escribir su dirección de correo electrónico o UPN como nombre de usuario. Para obtener más información, consulte Configuración de servidores de aplicaciones para el usuario de Exchange.