Utilisation des services de fédération Active Directory avec Outlook Web Access pour Exchange 2007

  • Article

S'applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière modification de la rubrique : 2007-07-19

Cette rubrique décrit l'utilisation de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell pour configurer l'authentification Microsoft Office Outlook Web Access permettant de travailler avec les services de fédération Active Directory (ADFS). ADFS augmente les possibilités d'utiliser une fonctionnalité d'authentification unique disponible dans des limites de sécurité ou d'entreprise uniques pour les applications Internet. À l'aide de SSO, vos clients, partenaires et fournisseurs peuvent avoir une expérience utilisateur simplifiée lorsqu'ils accèdent aux applications Web, telles que Outlook Web Access.

À propos d'Outlook Web Access et d'ADFS

Lorsque l'authentification est exécutée à l'aide d'ADFS, Outlook Web Access ne peut être utilisé que pour accéder aux boîtes aux lettres Exchange 2007. ADFS ne prend pas en charge l'accès Outlook Web Access aux boîtes aux lettres Exchange 2000 ou Exchange 2003, même lorsque la connexion à la boîte aux lettres est effectuée via un serveur d'accès au client Exchange 2007.

Dans ADFS, la déconnexion chronométrée, également connue sous le nom d'expiration de session, n'interagit pas avec Outlook Web Access. Vous devez désactiver la déconnexion chronométrée dans ADFS pour utiliser ADFS avec Outlook Web Access.

ADFS prend en charge les applications Windows NT basées sur des jetons et les applications prenant en charge les revendications. Outlook Web Access est une application Windows NT basée sur des jetons. Lorsque vous configurez ADFS pour Outlook Web Access, vérifiez que vous suivez les instructions relatives à une application basée sur des jetons.

Pour utiliser ADFS avec Outlook Web Access, vous devez configurer Outlook Web Access pour qu'il accepte un accès anonyme.

Notes

Outlook Web Access ne doit pas être configuré pour accepter l'accès anonyme sauf si on y accède via une connexion requérant une authentification, par ADFS par exemple. Parce que la configuration de Outlook Web Access pour qu'il accepte l'accès anonyme présente un risque de sécurité potentiel, lorsque vous configurez Outlook Web Access et les services IIS pour accepter l'accès anonyme, vous recevez des avertissements signalant que vous avez désactivé les méthodes d'authentification.

Pour plus d'informations sur ADFS et la préparation d'un déploiement ADFS pour Outlook Web Access, consultez la page Web sur les services de fédération Active Directory et sur le déploiement des applications fédérées.

Avant de commencer

Pour exécuter les procédures suivantes, vous devez utiliser un compte auquel ont été délégués le rôle Administrateur de serveur Exchange et l'appartenance au groupe Administrateurs local pour le serveur cible.

Pour plus d'informations sur les autorisations, la délégation des rôles et les droits requis pour administrer Exchange Server 2007, consultez la page Considérations relatives aux autorisations.

Procédure

Utilisation de la console de gestion Exchange pour configurer Outlook Web Access afin qu'il n'ait aucune méthode d'authentification

  1. Dans la console de gestion Exchange, cliquez sur Configuration du serveur, puis cliquez sur Accès au client.

    Notes

    Pour permettre à Outlook Web Access d'accepter l'accès anonyme, vous devez désactiver tous les formulaires d'authentification.

  2. Sous l'onglet Outlook Web Access, ouvrez les propriétés du répertoire virtuel que vous voulez configurer pour utiliser l'accès anonyme.

  3. Cliquez sur l'onglet Authentification.

  4. Sélectionnez Utilisez une ou plusieurs des méthodes d'authentification standard.

  5. Ne sélectionnez aucune méthode d'authentification. Si une méthode d'authentification est sélectionnée, cliquez sur la case à cocher pour la désactiver.

  6. Cliquez sur OK.

  7. Vous allez recevoir un avertissement signalant que vous n'avez choisi aucune méthode d'authentification et qui vous conseille d'utiliser l'environnement de ligne de commande Exchange Management Shell pour définir une méthode d'authentification. Cliquez sur OK pour fermer l'avertissement.

  8. Redémarrez les services IIS en ouvrant une fenêtre d'invite de commandes et en tapant la commande iisreset/noforce.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour configurer Outlook Web Access afin qu'il n'ait aucune méthode d'authentification

  1. Ouvrez l'environnement de ligne de commande Exchange Management Shell sur le serveur d'accès au client hébergeant les répertoires virtuels Outlook Web Access que vous voulez configurer.

    Notes

    Pour permettre à Outlook Web Access d'accepter l'accès anonyme, vous devez désactiver tous les formulaires d'authentification.

  2. Pour désactiver l'authentification basée sur les formulaires dans le répertoire virtuel /owa et le site appelé Site Web par défaut, exécutez la commande suivante.

    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false

  3. Pour désactiver tous les formulaires d'authentification standard dans le répertoire virtuel /owa et le site appelé Site Web par défaut, exécutez la commande suivante.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false

  4. Lorsque la dernière méthode d'authentification active a été désactivée, vous recevez un avertissement signalant qu'aucune méthode d'authentification n'est spécifiée pour le répertoire virtuel et vous recommandant d'utiliser la cmdlet Set-OwaVirtualDirectory pour spécifier une méthode d'authentification. Ignorez cet avertissement.

  5. Redémarrez les services IIS en ouvrant une fenêtre d'invite de commandes et en tapant la commande iisreset/noforce.

Après avoir désactivé tous les formulaires d'authentification dans un répertoire virtuel Outlook Web Access à l'aide de la console de gestion Exchange ou de l'environnement de commande Exchange Management Shell, vous devez utiliser le Gestionnaire des services Internet (IIS) pour permettre l'accès anonyme à ce répertoire virtuel en IIS.

Utilisation du Gestionnaire des services Internet (IIS) pour activer l'accès anonyme sur un répertoire virtuel

  1. Ouvrez le Gestionnaire de services Internet.

  2. Accédez au site Web et au répertoire virtuel pour lequel vous avez désactivé toutes les méthodes d'authentification dans les étapes précédentes. Dans une configuration par défaut, ce répertoire est dans Web Sites\Default Web site\owa.

  3. Ouvrez les propriétés du répertoire virtuel, puis cliquez sur l'onglet Sécurité de répertoire.

  4. Sous Authentification et contrôle d'accès, cliquez sur le bouton Modifier.

  5. Sélectionnez Autoriser l'accès anonyme.

  6. Cliquez deux fois sur OK pour enregistrer vos modifications. Il est possible que vous receviez un avertissement relatif à un remplacement d'héritage. Cliquez sur OK pour fermer l'avertissement.

  7. Redémarrez les services IIS en ouvrant une fenêtre d'invite de commandes et en tapant la commande iisreset/noforce.

Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Set-OwaVirtualDirectory.

Pour plus d'informations

Pour plus d'informations sur les méthodes d'authentification d'Outlook Web Access, consultez la rubrique :