Configurazione dell'autenticazione per Exchange ActiveSync
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2009-12-01
L'autenticazione è il processo con cui un client e un server verificano le rispettive identità per la trasmissione di dati. In Microsoft Exchange Server 2010, l'autenticazione viene utilizzata per stabilire se l'identità di un utente o di un client che desidera comunicare con il server Exchange corrisponde a quella dichiarata. È possibile utilizzare l'autenticazione per verificare se un dispositivo appartiene a un particolare individuo o se un particolare individuo sta tentando di accedere a Microsoft Office Outlook Web App.
Quando si installano Exchange 2010 e il ruolo server Accesso client, vengono configurate directory virtuali per numerosi dispositivi, inclusi Outlook Web App, il Servizio Disponibilità, la messaggistica unificata e Microsoft Exchange ActiveSync. Per impostazione predefinita, ciascuna directory virtuale è configurata per l'utilizzo di un metodo di autenticazione. La directory virtuale di Exchange ActiveSync è configurata per l'utilizzo dell'autenticazione di base e SSL (Secure Sockets Layer). È possibile modificare il metodo di autenticazione per il server di Exchange ActiveSync modificando il metodo di autenticazione nella directory virtuale di Exchange ActiveSync.
In questo argomento vengono riepilogati i metodi di autenticazione disponibili per il server Exchange ActiveSync. In Exchange ActiveSync, il client è il dispositivo fisico utilizzato per eseguire la sincronizzazione con il server Exchange 2010.
Per informazioni sulle attività di gestione relative a Exchange ActiveSync, vedere Gestione di Exchange ActiveSync.
Sommario
Scelta di un metodo di autenticazione
Autenticazione di base
Autenticazione basata sui certificati
Sistemi di autenticazione basati su token
Scelta di un metodo di autenticazione
È possibile scegliere tra tre tipi di autenticazione principali per Exchange ActiveSync: Autenticazione di base, autenticazione basata sui certificati e autenticazione basata su token. Quando si installa il ruolo server Accesso client su un computer con Exchange 2010, Exchange ActiveSync è configurato per utilizzare l'autenticazione di base con Secure Sockets Layer (SSL). Per stabilire la connessione SSL, l'autenticazione basata su certificato ha bisogno che sul dispositivo mobile sia installato un certificato client valido creato per l'autenticazione utente. Inoltre, il dispositivo mobile deve avere una copia del certificato radice attendibile dal server. Se si sceglie l'autenticazione basata su token, è necessario collaborare con il fornitore del token per la configurazione.
Autenticazione di base
L'autenticazione di base è il metodo di autenticazione più semplice. Nell'autenticazione di base il server richiede al client di fornire un nome utente e una password. Il nome utente e la password vengono inviati via Internet al server come testo non crittografato. Il server verifica che il nome utente e la password forniti siano validi e concede l'accesso al client. Per impostazione predefinita, questo tipo di autenticazione è abilitata in Exchange ActiveSync. Tuttavia è consigliabile disabilitare l'autenticazione di base a meno che non si distribuisca anche Secure Sockets Layer (SSL). Anche quando si utilizza l'autenticazione di base su SSL, il nome utente e la password vengono inviati come testo normale, ma il canale di comunicazione è crittografato.
Autenticazione basata sui certificati
L'autenticazione basata sui certificati utilizza un certificato digitale per verificare un'identità. Oltre al nome utente e alla password, vengono fornite altre credenziali in grado di dimostrare l'identità dell'utente che sta tentando di accedere alle risorse delle cassette postali archiviate sul server Exchange 2010. Un certificato digitale è costituito da due componenti: la chiave privata archiviata nel dispositivo e la chiave pubblica installata sul server. Se si configura Exchange 2010 in modo che venga richiesta l'autenticazione basata su certificato per Exchange ActiveSync, possono eseguire la sincronizzazione con Exchange 2010 solo i dispositivi che soddisfano i seguenti criteri:
Nel dispositivo è installato un certificato client valido creato per l'autenticazione utente.
Il dispositivo dispone di un certificato radice attendibile per il server con il quale si connette per stabilire la connessione SSL.
La distribuzione dell'autenticazione basata su certificato impedisce agli utenti dotati solo del nome utente e della password di eseguire la sincronizzazione con Exchange 2010. Come ulteriore misura di sicurezza, il certificato client per l'autenticazione può essere installato solo quando il dispositivo è connesso a un computer appartenente al dominio tramite Desktop ActiveSync 4.5 o una versione successiva in Windows XP o tramite il Centro gestione dispositivi Windows Mobile in Windows Vista o Windows 7.
Sistemi di autenticazione basati su token
Un sistema di autenticazione basato su token è un sistema di autenticazione a due fattori. L'autenticazione a due fattori si basa su un'informazione nota all'utente, ad esempio la sua password, e un dispositivo esterno, generalmente simile a una carta di credito o a un portachiavi, che l'utente può portare con sé. Ciascun dispositivo è dotato di un numero di serie univoco. In aggiunta ai token hardware, alcuni fornitori offrono token software che è possibile eseguire sui dispositivi mobili.
Sui token viene visualizzato un numero univoco, generalmente a 6 cifre, che viene modificato ogni 60 secondi. Quando viene rilasciato a un utente, il token è sincronizzato con il software del server. Per effettuare l'autenticazione, l'utente immette il proprio nome utente, la password e il numero visualizzato sul token in quel momento. In alcuni sistemi di autenticazione basati su token all'utente viene inoltre richiesto di immettere un PIN.
L'autenticazione basata su token è un metodo di autenticazione complessa. Lo svantaggio dell'autenticazione basata su token è rappresentato dal fatto che occorre installare il software di autenticazione del server e distribuire il software di autenticazione sul computer o dispositivo mobile di ogni utente. Esiste anche il rischio che l'utente perda il dispositivo esterno. Ciò può risultare finanziariamente costoso dal momento che comporta la sostituzione dei dispositivi esterni. Tuttavia, il dispositivo non può essere utilizzato da terze parti senza le informazioni di autenticazione originali dell'utente.
Numerose società offrono sistemi di autenticazione basata su token. tra le quali figura RSA. Il loro prodotto, SecurID, è disponibile in varie forme, incluse quella di portachiavi e carta di credito. Sul token viene visualizzato un codice di autenticazione monouso. Ciascun codice di autenticazione è valido per 60 secondi. La maggior parte dei token dispone inoltre di un indicatore di scadenza sul dispositivo, ad esempio una serie di puntini che scompaiono man mano che il tempo rimanente di validità del codice si riduce. Ciò evita che l'utente immetta il codice che, sebbene corretto, scadrebbe prima del completamento del processo di autenticazione. Una volta completata l'autenticazione, non è necessario che l'utente effettui l'autenticazione con un nuovo codice a meno non venga disconnesso, per scelta o perché il dispositivo ha superato il tempo massimo di inattività. Per ulteriori informazioni su come configurare un sistema di autenticazione basato su token, vedere la documentazione relativa al sistema specifico.
©2010 Microsoft Corporation. Tutti i diritti riservati.