Configurer Outlook Web App pour qu’il fonctionne avec les services ADFS (Active Directory Federation Services)

S'applique à : Exchange Server 2010

Dernière rubrique modifiée : 2009-10-14

Vous pouvez utiliser la console de gestion Exchange ou l'environnement de ligne de commande Exchange Management Shell pour configurer l'authentification Outlook Web App de sorte qu'elle fonctionne avec les services ADFS (Active Directory Federation Services). ADFS permet d'étendre l'utilisation d'une fonctionnalité d'authentification unique disponible dans un cadre de sécurité défini ou restreint à l'entreprise aux applications Internet. À l'aide de cette fonctionnalité, vos clients, vos partenaires et vos fournisseurs bénéficient d'une expérience utilisateur simplifiée lorsqu'ils accèdent aux applications Web, telles que Outlook Web App.

Dans ADFS, la déconnexion chronométrée, également connue sous le nom d'expiration de session, n'interagit pas avec Outlook Web App. Vous devez désactiver la déconnexion chronométrée dans ADFS pour utiliser ADFS avec Outlook Web App.

ADFS prend en charge les applications Windows NT basées sur des jetons et les applications prenant en charge les revendications. Outlook Web App est une application Windows NT basée sur des jetons. Lorsque vous configurez ADFS pour Outlook Web App, veillez à suivre les instructions relatives à une application basée sur des jetons.

Pour utiliser ADFS avec Outlook Web App, vous devez configurer Outlook Web App pour qu'il accepte un accès anonyme.

Bb691348.Caution(fr-fr,EXCHG.140).gifAttention :
Outlook Web App ne doit pas être configuré pour accepter l'accès anonyme sauf si les utilisateurs y accèdent via une connexion requérant une authentification, par ADFS par exemple. Étant donné que configurer Outlook Web App pour qu'il accepte l'accès anonyme présente un risque de sécurité potentiel, lorsque vous configurez Outlook Web App et les services IIS pour accepter l'accès anonyme, vous recevez des avertissements signalant que vous avez désactivé les méthodes d'authentification.

Après avoir désactivé tous les formulaires d'authentification dans un répertoire virtuel Outlook Web App à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell, vous devez utiliser le Gestionnaire des services Internet (IIS) pour permettre l'accès anonyme à ce répertoire virtuel avec les services IIS.

Pour plus d'informations sur ADFS et la préparation d'un déploiement ADFS pour Outlook Web App, voir Services de fédération Active Directory et Déploiement des applications fédérées.

Souhaitez-vous rechercher les autres tâches de gestion relatives à la sécurité d’Outlook Web App ? Consultez la rubrique Gestion de la sécurité d’Outlook Web App.

Utiliser la console de gestion Exchange (EMC) pour configurer Outlook Web App afin qu'il n'utilise aucune méthode d'authentification

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir entrée « Répertoires virtuels Outlook Web App » dans la rubrique Autorisations d'accès client.

  1. Dans l'arborescence de la console, accédez à Configuration du serveur > Accès au client.

  2. Cliquez sur le serveur qui héberge le répertoire virtuel Outlook Web App.

    Bb691348.note(fr-fr,EXCHG.140).gifRemarque :
    Pour permettre à Outlook Web App d'accepter l'accès anonyme, vous devez désactiver tous les formulaires d'authentification.
  3. Sous l'onglet Outlook Web Access, ouvrez les propriétés du répertoire virtuel que vous voulez configurer pour utiliser l'accès anonyme, puis cliquez sur l'onglet Authentification.

  4. Sélectionnez Utilisez une ou plusieurs des méthodes d'authentification standard.

  5. Ne sélectionnez aucune méthode d'authentification. Si une méthode d'authentification est sélectionnée, cliquez sur sa case à cocher pour la désactiver.

  6. Cliquez sur OK.

  7. Vous recevrez un avertissement qui vous signale que vous n'avez choisi aucune méthode d'authentification et qui vous recommande d'utiliser l'environnement de ligne de commande Exchange Management Shell pour définir une méthode d'authentification. Cliquez sur OK pour fermer l'avertissement.

  8. Redémarrez les services IIS. Pour cela, ouvrez une fenêtre d'invite de commandes et tapez la commande iisreset/noforce.

Utiliser l'environnement de ligne de commande Exchange Management Shell pour configurer Outlook Web App afin qu'il n'utilise aucune méthode d'authentification

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir entrée « Stratégies de boîte aux lettres Outlook Web App » dans la rubrique Autorisations d'accès client.

Ouvrez l'environnement de ligne de commande Exchange Management Shell sur le serveur d'accès au client qui héberge les répertoires virtuels Outlook Web App que vous devez configurer et désactivez l'authentification active en utilisant les exemples suivants comme modèles.

Bb691348.note(fr-fr,EXCHG.140).gifRemarque :
Pour permettre à Outlook Web App d'accepter l'accès anonyme, vous devez désactiver tous les formulaires d'authentification.
  1. Cet exemple désactive l'authentification basée sur les formulaires sur le répertoire virtuel /owa et le site appelé Site Web par défaut.

    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false
    
  2. Cet exemple désactive tous les formulaires d'authentification standard sur le répertoire virtuel /owa et le site appelé Default Web Site.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
    
  3. Lorsque la dernière méthode d'authentification active a été désactivée, vous recevrez un avertissement vous signalant qu'aucune méthode d'authentification n'est spécifiée pour le répertoire virtuel et vous recommandant d'utiliser la cmdlet Set-OwaVirtualDirectory pour spécifier une méthode d'authentification. Ignorez cet avertissement.

  4. Redémarrez les services IIS. Pour cela, ouvrez une fenêtre d'invite de commandes et tapez la commande iisreset/noforce.

Pour plus d'informations sur la syntaxe et les paramètres, voir Set-OwaVirtualDirectory.

Utiliser le Gestionnaire des services Internet (IIS) pour activer l'accès anonyme sur un répertoire virtuel

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir entrée « Gestionnaire des services Internet (IIS) » dans la rubrique Autorisations d'accès client.

  1. Ouvrez le Gestionnaire de services Internet.
  2. Accédez au site Web et au répertoire virtuel pour lequel vous avez désactivé toutes les méthodes d'authentification dans les étapes précédentes. Dans une configuration par défaut, ce répertoire est dans Web Sites\Default Web site\owa.
  3. Ouvrez les propriétés du répertoire virtuel, puis cliquez sur l'onglet Sécurité de répertoire.
  4. Sous Authentification et contrôle d'accès, cliquez sur Modifier.
  5. Sélectionnez Autoriser l'accès anonyme.
  6. Cliquez deux fois sur OK pour enregistrer vos modifications. Il est possible que vous receviez un avertissement relatif à un remplacement d'héritage. Cliquez sur OK pour fermer l'avertissement.
  7. Redémarrez les services IIS. Pour cela, ouvrez une fenêtre d'invite de commandes et tapez la commande iisreset/noforce.