Configuración de la autenticación basada en formularios para Outlook Web App
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2015-03-09
La autenticación basada en formularios ofrece una página de inicio de sesión para Exchange Server 2010 Outlook Web App , que usa una cookie para almacenar las credenciales de inicio de sesión cifrado de un usuario en el explorador de Internet. Al realizar un seguimiento de esta cookie, el servidor de Exchange puede monitorizar la actividad de las sesiones de Outlook Web App en equipos públicos y privados. Si una sesión se encuentra inactiva durante un tiempo excesivo, el servidor bloquea el acceso hasta que el usuario vuelve a realizar la autenticación.
Contenido
Utilización de cookies para controlar el acceso
Cómo determinar la actividad del usuario
Configuración de la solicitud de inicio de sesión que se usa para la autenticación basada en formularios
Descripción del cifrado para el inicio de sesión de usuario desde equipos públicos y privados
Usar SSL para ayudar a proteger Outlook Web App
Utilización de cookies para controlar el acceso
La primera vez que se envían el nombre de usuario y la contraseña al servidor de acceso de cliente para autenticar una sesión de Outlook Web App, se crea una cookie cifrada que se usa para realizar un seguimiento de la actividad del usuario. Cuando el usuario cierra el explorador de Internet o hace clic en Cerrar sesión para cerrar la sesión de Outlook Web App, la cookie se borra. El nombre de usuario y la contraseña se envían al servidor de acceso de cliente solo para que inicie sesión el usuario inicial. Después de que se completa el inicio de sesión inicial, solamente se usa la cookie para la autenticación entre el equipo cliente y el servidor de acceso de cliente.
Configuración del valor para el tiempo de espera de cookie en equipos públicos
De forma predeterminada, cuando un usuario selecciona la opción Es un equipo público o compartido en la página de inicio de sesión de Outlook Web App, la cookie del equipo expira automáticamente y se cierra la sesión del usuario cuando no se haya utilizado Outlook Web App durante 15 minutos.
El tiempo de espera automático resulta de gran utilidad porque contribuye a proteger la cuenta de un usuario frente a un acceso no autorizado. Para satisfacer las necesidades de seguridad de la organización, se pueden configurar los valores de tiempo de espera de inactividad en el servidor de acceso de cliente de Exchange.
Aunque el tiempo de espera automático reduzca el riesgo de que se produzcan accesos no autorizados, no elimina la posibilidad de que un usuario no autorizado pueda tener acceso a una cuenta de Outlook Web App si se ha dejado abierta una sesión en un equipo público. Por tanto, es muy importante que informe a los usuarios para que tomen precauciones y eviten riesgos. Por ejemplo, adviértales que cierren la sesión de Outlook Web App y el explorador web cuando hayan terminado de usar Outlook Web App.
Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos públicos, consulte Establecer el valor de tiempo de espera de cookie de equipo público de autenticación basada en formularios.
Configuración del valor de tiempo de espera de cookie en equipos privados
Cuando un usuario selecciona la opción Es un equipo privado en la página de inicio de sesión de Outlook Web App, el servidor de Exchange permite un mayor período de inactividad antes de que finalice automáticamente la sesión de Outlook Web App. El valor predeterminado para el tiempo de espera en una sesión privada es de ocho horas. Debido a la relación entre el tiempo de reciclado de las claves de cifrado y el tiempo de espera de usuario configurado en el servidor, el valor predeterminado de tiempo de espera real para una sesión privada puede ser entre ocho y doce horas. Para obtener más información, consulte Descripción del cifrado para el inicio de sesión de usuario desde equipos públicos y privados. La opción de tiempo de espera de cookie en un equipo privado está destinada a beneficiar a los usuarios de Outlook Web App que están utilizando su propio equipo o un equipo de una red corporativa.
Es importante informar a los usuarios sobre los riesgos asociados con la selección de la opción Es un equipo privado. Un usuario debe seleccionar la opción equipo privado solamente en el caso de que el usuario sea el único que utilice el equipo y que el equipo cumpla con las directivas de seguridad de la organización.
Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos privados, consulte Establecer el valor de tiempo de espera de cookie de equipo privado de autenticación basada en formularios.
Volver al principio
Cómo determinar la actividad del usuario
Después de que una sesión de Outlook Web App haya estado inactiva durante un período determinado, el servidor de acceso de cliente ya no dispone de la clave de descifrado para leer la cookie y, por lo tanto, se le denegará el acceso al usuario hasta que vuelva a realizar la autenticación.
Para determinar la actividad del usuario, Exchange 2010 utiliza la siguiente información:
La interacción entre el equipo del cliente y el servidor de acceso de cliente que es iniciada por el usuario se considera una actividad. Por ejemplo, si un usuario abre, envía o guarda un elemento, cambia carpetas o módulos, o actualiza la vista o la ventana del explorador web, Exchange 2010 lo considera una actividad.
Nota
No se considera una actividad la interacción entre el equipo del cliente y el servidor que se genera automáticamente por el servidor de acceso de cliente. Por ejemplo, las nuevas notificaciones de correo electrónico y los recordatorios que genera el servidor de acceso de cliente en una sesión de Outlook Web App no se consideran una actividad.
En Outlook Web App, cualquier actividad del usuario, incluso la introducción de texto en un mensaje de correo electrónico o en una convocatoria de reunión, se considera una actividad. En la versión ligera de Outlook Web App, cualquier actividad del usuario que no sea introducir texto se considera una actividad.
Configuración de la solicitud de inicio de sesión que se usa para la autenticación basada en formularios
En lugar de una ventana emergente, la autenticación basada en formularios crea una página de inicio de sesión para Outlook Web App. Puede configurar la solicitud de inicio de sesión para la autenticación basada en formularios mediante la consola de administración de Exchange o el Shell de administración de Exchange. Los cambios de configuración que se realizan solo cambian el texto de la solicitud de inicio de sesión. Estos no cambian el formato de inicio de sesión del usuario. Por ejemplo, puede configurar la página de inicio de sesión para la autenticación basada en formularios a fin de solicitar a los usuarios que proporcionen su información de inicio de sesión con el formato dominio\nombre de usuario. Sin embargo, un usuario también puede especificar su nombre principal del usuario (UPN) y el inicio de sesión será correcto.
En la página de inicio de sesión de Outlook Web App, la autenticación basada en formularios puede usar los siguientes tipos de solicitudes de inicio de sesión. Seleccione la solicitud que a los usuarios les resulte más sencilla de entender y usar.
Dominio completo El dominio y el nombre de usuario con el formato dominio\nombre de usuario. Por ejemplo, Contoso\Kweku.
Nombre principal El UPN. El UPN está formado por dos partes: el prefijo del UPN, que es el nombre de la cuenta de usuario, y el sufijo del UPN, que es el nombre del dominio DNS. El prefijo y el sufijo se unen mediante el signo arroba (@) para formar el UPN completo. Por ejemplo, Kweku@contoso.com. Los usuarios pueden tener acceso a Outlook Web App escribiendo la dirección de correo electrónico principal o el nombre principal del usuario.
Nombre de usuario Solo el nombre de usuario. No se incluye el nombre de dominio. Por ejemplo, Kweku. Este formato de inicio de sesión solamente funciona si se ha configurado el nombre de dominio.
Nota
De ser necesario, se puede cambiar el formato que debe usar el usuario para iniciar sesión en Outlook Web App configurando Active Directory e Internet Information Services (IIS). El uso de Active Directory y de Internet Information Services (IIS) para configurar los formatos de nombre de usuario que los usuarios pueden usar para autenticarse es independiente de la solicitud de autenticación basada en formularios de Outlook Web App, mencionada anteriormente.
Volver al principio
Descripción del cifrado para el inicio de sesión de usuario desde equipos públicos y privados
El cifrado de las credenciales de inicio de sesión de usuario para el inicio de sesión en Outlook Web App públicos y privados implica un conjunto de seis códigos de autenticación de mensajes cifrados mediante hash (HMAC). Los HMAC son claves de 160 bits que se generan en el servidor de acceso de cliente. Los HMAC mejoran la seguridad de inicio de sesión combinando algoritmos cifrados mediante hash con funciones de cifrado para cifrar las credenciales de inicio de sesión de usuario. El cifrado y descifrado de una cookie es realizado por el mismo servidor de acceso de cliente. El servidor de acceso de cliente que ha generado la clave de autenticación es el único que dispone de la clave para descifrar esa cookie.
Cuando se usa la autenticación basada en formularios, el servidor de acceso de cliente recorre un conjunto de tres claves para cada tipo de inicio de sesión, público y privado, a un ritmo establecido. Esto se conoce como tiempo de reciclado. El tiempo de reciclado para una clave es la mitad del valor de tiempo de espera para el inicio de la sesión. Por ejemplo, cuando el valor de tiempo de espera para un inicio de sesión público está configurado en 15 minutos, el tiempo de reciclado de una clave pública es de 7,5 minutos.
Las seis claves de inicio de sesión son creadas por el servidor de acceso de cliente cuando se inician los directorios virtuales de Outlook Web App. Tres de ellas se usan para inicios de sesión en equipos públicos y las otras tres son para inicios de sesión en equipos privados. Cuando un usuario inicia sesión, la clave actual para el tipo de inicio de sesión se usa para cifrar la información de autenticación de usuario en una cookie.
Cuando haya transcurrido el tiempo de reciclado, el servidor de acceso de cliente pasa a la siguiente clave. Una vez que se usaron las tres claves para un tipo de inicio de sesión, el servidor de acceso de cliente borra la clave más antigua y crea una nueva. El servidor de acceso de cliente mantiene disponibles tres claves para cada tipo de inicio de sesión: la clave actual y las dos claves más recientes. El reciclado de claves continúa siempre que Outlook Web App se esté ejecutando en el servidor de acceso de cliente. Se utilizan las mismas claves para todos los usuarios.
Se aceptará cualquier cookie que haya sido cifrada mediante una clave activa. Cuando el servidor de acceso de cliente recibe una solicitud de actividad de usuario, la cookie de esa solicitud se sustituye por una nueva cookie que ha sido cifrada con la clave nueva. Una sesión de usuario expira cuando la cookie asociada a ella está cifrada con una clave antigua que ha sido descartada.
Debido a la relación entre el tiempo de reciclado de las claves de cifrado y el tiempo de espera de usuario configurado en el servidor, el período de tiempo de espera real para un usuario se puede situar entre el tiempo de espera configurado y el tiempo de espera configurado más la mitad de ese valor. Por ejemplo, si el tiempo de espera configurado es de 30 minutos, el tiempo de espera real de cualquier sesión de usuario puede ser de entre 30 y 45 minutos.
La siguiente tabla proporciona información acerca del tiempo de espera de la cookie y del tiempo de reciclado de la clave de autenticación en función de un inicio de sesión de usuario desde un equipo público o privado.
Tiempo de espera predeterminado de cookie y tiempo de reciclado de clave de autenticación para cada tipo de inicio de sesión de usuario
| Inicio de sesión | Valor de tiempo de espera de cookie | Tiempo de reciclado para clave de autenticación si se usa el valor predeterminado de tiempo de espera |
|---|---|---|
Público |
De un minuto a 30 días. El valor predeterminado es 15 minutos. |
7,5 minutos |
Privado |
De un minuto a 30 días. El tiempo predeterminado es de 8 horas. |
4 horas |
Nota
Se puede configurar el valor de tiempo de espera de cookie en minutos utilizando el registro. El tiempo de reciclado de la clave de autenticación es, al menos, un tercio y no más de la mitad del valor de tiempo de espera de la cookie.
Volver al principio
Usar SSL para ayudar a proteger Outlook Web App
De forma predeterminada, el cifrado SSL (Capa de sockets seguros) está activado cuando se instala la función de servidor Acceso de cliente. Si no se usa SSL, el nombre de usuario y la contraseña se enviarán en texto sin cifrar en el primer inicio de sesión. Cuando se usa SSL, éste cifra todas las comunicaciones entre el equipo cliente y el servidor de acceso de cliente y ayuda a evitar que la información confidencial, como los nombres de usuario, contraseñas y mensajes de correo electrónico, sea vista por terceros.
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.