Cómo utilizar los Servicios de federación de Active Directory (ADFS) con Outlook Web Access para Exchange 2007

  • Artículo

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-07-19

En este tema se explica cómo utilizar la Consola de administración de Exchange o el Shell de administración de Exchange para configurar la autenticación de Microsoft Office Outlook Web Access con el fin de que funcione con Active Directory los Servicios de federación (ADFS). ADFS amplía la capacidad para utilizar la funcionalidad de inicio de sesión único, la cual se encuentra disponible en un límite de seguridad única o de empresa para aplicaciones expuestas a Internet. Al utilizar la configuración de inicio de sesión (SSO), los clientes, socios y proveedores podrán comprobar la eficacia en su uso cuando obtengan acceso a las aplicaciones basadas en web, como por ejemplo Outlook Web Access.

Acerca de Outlook Web Access y ADFS

Cuando se realiza la autenticación con ADFS, se puede utilizar Outlook Web Access únicamente para obtener acceso a los buzones de Exchange 2007. ADFS no es compatible con el acceso de Outlook Web Access a los buzones de Exchange 2000 o Exchange 2003, incluso cuando la conexión al buzón se efectúa a través de un servidor de acceso de cliente de Exchange 2007.

En ADFS, el cierre de sesión limitado, también conocido como vencimiento de la sesión, no interactúa con Outlook Web Access. Debe desactivar el cierre de sesión limitado en ADFS para poder utilizarlo con Outlook Web Access.

ADFS es compatible con aplicaciones basadas en testigo y aplicaciones para notificaciones de Windows NT. Outlook Web Access es una aplicación basada en testigo de Windows NT. Al configurar ADFS para Outlook Web Access, asegúrese de que sigue las instrucciones para aplicaciones basadas en testigo.

Para utilizar ADFS con Outlook Web Access, debe configurar Outlook Web Access de forma que acepte un acceso anónimo.

Precaución

Outlook Web Access no se debe configurar para que acepte un acceso anónimo a no ser que el acceso se obtenga a través de una conexión que requiera autenticación, como por ejemplo a través de ADFS. Debido a que la configuración de Outlook Web Access para que acepte un acceso anónimo constituye un riesgo de seguridad potencial, cuando configure Outlook Web Access e Internet Information Services (IIS) para que acepten un acceso anónimo, recibirá advertencias que indican que ha desactivado todos los métodos de autenticación.

Para obtener más información acerca de ADFS y sobre cómo preparar la implementación de ADFS para Outlook Web Access, consulte Servicios de federación de Active Directory y Implementación de aplicaciones federadas.

Antes de empezar

Para realizar los procedimientos siguientes, se debe delegar en la cuenta la función del servidor Administrador de Exchange y la pertenencia al grupo Administradores local para el servidor de destino.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange Server 2007, consulte Consideraciones sobre permisos.

Procedimiento

Para utilizar la Consola de administración de Exchange para configurar Outlook Web Access a fin de que no tenga ningún método de autenticación

  1. En la Consola de administración de Exchange, haga clic en Configuración del servidor y, a continuación, en Acceso de cliente.

    Nota

    Para habilitar Outlook Web Access con el fin de que acepte un acceso anónimo, debe deshabilitar todos los tipos de autenticación.

  2. En la ficha Outlook Web Access, abra las propiedades del directorio virtual que desee configurar para utilizar el acceso anónimo.

  3. Haga clic en la ficha Autenticación.

  4. Seleccione Utilizar uno de los métodos de autenticación estándar.

  5. No seleccione ningún método de autenticación. Si se encuentra seleccionado algún método de autenticación, haga clic en la casilla para anular la selección.

  6. Haga clic en Aceptar.

  7. Recibirá una advertencia donde se indica que no ha elegido ningún método de autenticación y recibirá instrucciones para que utilice el Shell de administración de Exchange para establecer un método de autenticación. Haga clic en Aceptar para cerrar la advertencia.

  8. Reinicie IIS abriendo una ventana de símbolo del sistema y escribiendo el comando iisreset/noforce.

Para utilizar el Shell de administración de Exchange para configurar Outlook Web Access a fin de que no tenga ningún método de autenticación

  1. Abra el Shell de administración de Exchange en el servidor de acceso de cliente que hospeda los directorios virtuales de Outlook Web Access que ha configurado.

    Nota

    Para habilitar Outlook Web Access con el fin de que acepte un acceso anónimo, debe deshabilitar todos los tipos de autenticación.

  2. Para deshabilitar la autenticación basada en formularios en el directorio virtual /owa y el sitio denominado Default Web Site, ejecute el comando siguiente.

    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false

  3. Para deshabilitar todos los formulario de autenticación estándar en el directorio virtual /owa y el sitio denominado Default Web Site, ejecute el comando siguiente.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false

  4. Cuando se haya deshabilitado el último método activo de autenticación, recibirá una advertencia que le indicará que no se ha especificado ningún método de autenticación para el directorio virtual y le sugerirá que utilice el cmdlet Set-OwaVirtualDirectory para especificar un método de autenticación. Ignore esta advertencia.

  5. Reinicie IIS abriendo una ventana de símbolo del sistema y escribiendo el comando iisreset/noforce.

Una vez haya deshabilitado todos los formularios de autenticación en un directorio virtual de Outlook Web Access meditante el uso de la Consola de administración de Exchange o el Shell de administración de Exchange, debe utilizar el Administrador de Internet Information Services (IIS) para habilitar un acceso anónimo en un directorio virtual en IIS.

Para utilizar el Administrador de IIS con el fin de habilitar un acceso anónimo en un directorio virtual

  1. Abra el Administrador de IIS.

  2. Navegue al sitio web y al directorio virtual donde haya deshabilitado los métodos de autenticación en los pasos anteriores. En una configuración predeterminada, este directorio estará en Web Sites\Default Web site\owa.

  3. Abra las propiedades del directorio virtual y, a continuación, haga clic en la ficha Seguridad de directorios.

  4. En Autenticación y control de acceso, haga clic en el botón Editar.

  5. Seleccione Habilitar el acceso anónimo.

  6. Haga clic en Aceptar dos veces para guardar los cambios. Puede recibir una advertencia para invalidar la herencia. Haga clic en Aceptar para cerrar la advertencia.

  7. Reinicie IIS abriendo una ventana de símbolo del sistema y escribiendo el comando iisreset/noforce.

Para obtener más información acerca de la sintaxis y los parámetros, consulte Set-OwaVirtualDirectory.

Información adicional

Para obtener información adicional acerca de los métodos de autenticación de Outlook Web Access, consulte: