Configurazione dell'autenticazione per Outlook Web Access

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-04-10

In questo argomento vengono descritti i tipi di autenticazione disponibili per Microsoft Office Outlook Web Access in Microsoft Exchange Server 2007. Il miglior metodo di autenticazione per l'organizzazione dipende dalle esigenze di protezione dell'organizzazione stessa. Per impostazione predefinita, Outlook Web Access utilizza l'autenticazione basata su moduli ed è configurato per l'utilizzo della crittografia SSL (Secure Sockets Layer).

Autenticazione basata su moduli

L'autenticazione basata su moduli attiva una pagina di accesso per Outlook Web Access che utilizza un cookie per archiviare le credenziali di accesso crittografate di un utente nel browser Internet. Tenendo traccia dell'utilizzo di questo cookie è possibile per il server di Exchange monitorare l'attività delle sessioni di Outlook Web Access su computer pubblici e privati. Se una sessione rimane inattiva troppo a lungo, il server blocca l'accesso fino a quando l'utente ripete l'autenticazione.

La prima volta che il nome utente e la password vengono inviati al server Access Client per l'autenticazione di una sessione di Outlook Web Access, viene creato un cookie crittografato utilizzato per tenere traccia dell'attività dell'utente. Quando l'utente chiude il browser Internet o fa clic su Disconnessione per disconnettere la sessione di Outlook Web Access, il cookie viene cancellato. Nome utente e password vengono inviati al server Accesso client solo per l'accesso iniziale dell'utente. Dopo il completamento dell'accesso iniziale, per l'autenticazione tra il computer client e il server Access Client viene utilizzato solo il cookie.

Per ulteriori informazioni sull'autenticazione basata su moduli e sulla configurazione, vedere:

• Configurazione dell'autenticazione basata su form per Outlook Web Access

• Configurazione dell'autenticazione basata su form per Outlook Web Access

Impostazione del valore di timeout dei cookie

Il timeout dei cookie viene impostato in base alla scelta dell'utente, ovvero se è stata selezionata l'opzione Computer pubblico o condiviso o Computer privato nella pagina di accesso a Outlook Web Access. Per impostazione predefinita, quando un utente seleziona l'opzione Computer pubblico o condiviso, il cookie sul computer scade automaticamente e l'utente viene disconnesso dopo che Outlook Web Access non viene utilizzato per 15 minuti e, se è stata selezionata l'opzione Computer privato, dopo che Outlook Web Access non viene utilizzato per otto ore.

Il timeout automatico è utile perché consente di proteggere gli account dell'utente da accessi non autorizzati. È possibile configurare i valori di timeout per inattività sul server Access Client di Exchange in base ai requisiti specifici di protezione dell'organizzazione.

Sebbene il timeout automatico riduca notevolmente il rischio di accessi non autorizzati, non elimina completamente la possibilità che un utente non autorizzato possa accedere a un account di Outlook Web Access se una sessione su un computer pubblico viene lasciata aperta. È necessario pertanto avvertire gli utenti perché adottino le misure necessarie a evitare rischi, ad esempio disconnettersi da Outlook Web Access e chiudere il browser dopo aver terminato di utilizzare Outlook Web Access.

Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer pubblici e privati, vedere:

• Come impostare il valore di timeout del cookie di un computer pubblico per l'autenticazione basata su form

• Come impostare il valore di timeout del cookie di un computer privato per l'autenticazione basata su form

Metodi di autenticazione standard

In questo argomento vengono descritti i metodi di autenticazione standard che consentono di proteggere i server Accesso client Exchange 2007 per Outlook Web Access.

In Exchange 2007, i server Accesso client supportano l'autenticazione Windows integrata e l'autenticazione digest HTTP 1.1 per le directory virtuali di Exchange 2007. Le directory virtuali di Exchange 2000 e Exchange 2003 su un server in cui è in esecuzione il ruolo server Accesso client supportano solo l'autenticazione di base e basata su form.

Per ulteriori informazioni sui metodi di autenticazione standard, vedere Configurazione dei metodi di autenticazione standard per Outlook Web Access.

Autenticazione di base

L'autenticazione di base è un semplice meccanismo di autenticazione definito dalle specifiche HTTP che codificano il nome utente e la password prima di inviare le credenziali dell'utente al server.

L'autenticazione di base non supporta Single Sign-On. L'autenticazione di Windows Server 2003 consente Single Sign-On in tutte le risorse di rete. Con Single Sign-On, un utente può accedere al dominio una volta utilizzando un'unica password o smart card ed essere autenticato da qualsiasi computer nel dominio.

L'autenticazione di base è supportata da tutti i browser Web, ma non è protetta a meno che non richieda la crittografia SSL (Secure Sockets Layer).

Per ulteriori informazioni sulla configurazione dell'autenticazione di base in una directory virtuale di Outlook Web Access, vedere Come configurare l'autenticazione di base.

Autenticazione digest

L'autenticazione digest trasmette la password sulla rete come valore hash per una protezione ulteriore. L'autenticazione digest può essere utilizzata solo nei domini di Microsoft Windows Server 2003 e Microsoft Windows 2000 Server per utenti che dispongono di un account archiviato nel servizio directory di Active Directory. Per ulteriori informazioni sull'autenticazione digest, vedere la documentazione relativa a Windows Server 2003 e alla Gestione Internet Information Services (IIS).

L'autenticazione del digest è disponibile solo sulle directory virtuali di Exchange 2007.

Per ulteriori informazioni sulla configurazione dell'autenticazione digest in una directory virtuale di Outlook Web Access, vedere Come configurare l'autenticazione del digest.

Autenticazione Windows integrata

Per l'autenticazione Windows integrata è necessario che l'utente disponga di un nome e di una password dell'account utente di Windows 2000 Server o Windows Server 2003 validi per accedere alle informazioni. Agli utenti connessi alla rete locale non viene richiesto nome utente né password. Piuttosto è il server a effettuare la negoziazione con i pacchetti di protezione di Windows installati nel computer client. Questo metodo consente al server di autenticare gli utenti senza richiedere le informazioni di accesso. Le credenziali di autenticazione sono protette, mentre tutte le altre comunicazioni vengono inviate con il testo normale, a meno che non si utilizzi SSL.

Microsoft Internet Explorer consente Single Sign-On per applicazioni Web che includono parti Web di Outlook Web Access se è abilitata l'autenticazione Windows integrata sul server a cui si accede. Gli utenti devono immettere le credenziali solo una volta per ciascuna sessione del browser. Tuttavia, le credenziali vengono memorizzate nella cache del processo browser.

Su un server di Exchange 2007 in cui sia installato esclusivamente il ruolo del server Accesso client, l'autenticazione di Windows integrata può essere utilizzata solo con le directory virtuali di Exchange 2007. Su un server in cui siano installati entrambi i ruoli Accesso client e Cassette postali, l'autenticazione di Windows integrata può essere utilizzata con qualsiasi directory virtuale. Per ulteriori informazioni sull'autenticazione integrata di Windows, vedere la documentazione di Windows Server 2003.

Per ulteriori informazioni sull'autenticazione Windows integrata in una directory virtuale di Outlook Web Access, vedere Come configurare l'autenticazione di Windows integrata.

Ulteriori informazioni

• Per ulteriori informazioni su come fornire protezione a Outlook Web Access, vedere Gestione della protezione di Outlook Web Access.