Outlook Web Access の標準的な認証方法の構成
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2006-09-05
ここでは、Microsoft Office Outlook Web Access のためにクライアント アクセス サーバーの役割がインストールされた Microsoft Exchange Server 2007 を実行しているコンピュータをセキュリティで簡単に保護できる標準的な認証方法について説明します。
Exchange 2007 では、Exchange 2007 仮想ディレクトリ用に統合 Windows 認証と HTTP 1.1 ダイジェスト認証をサポートしています。クライアント アクセス サーバーの役割のみを実行するサーバー上にある Exchange 2000 および Exchange 2003 仮想ディレクトリは、基本認証とフォーム ベースの認証のみをサポートしています。
.gif "note") 注 : |
|---|
| Exchange Server 2003 バックエンド サーバーは、フォーム ベースの認証、基本認証、統合 Windows 認証、およびダイジェスト認証をサポートしています。Exchange Server 2003 フロントエンド サーバーは、統合 Windows 認証またはダイジェスト認証をサポートしていません。 |
標準的な認証方法
ここでは、標準的な認証方法について説明します。標準的な認証方法には、基本認証、ダイジェスト認証、統合 Windows 認証などがあります。
| 注 : |
|---|
| 既定では、Exchange 2007 ではフォーム ベース認証が有効になります。 |
基本認証
基本認証は、HTTP 仕様で定義される単純な認証機構で、サーバーにユーザーの資格情報が送信される前にユーザーのログオン名とパスワードをエンコードします。
基本認証は、シングル サインオンをサポートしていません。Microsoft Windows Server 2003 の認証では、すべてのネットワーク リソースへのシングル サインオンが可能です。シングル サインオンを使用すると、ユーザーはシングル パスワードまたはスマート カードを使用してドメインに一度ログオンするだけで、ドメイン内のすべてのコンピュータを認証します。
基本認証は、すべての Web ブラウザでサポートされていますが、SSL (Secure Sockets Layer) 暗号化を要求しないとセキュリティが低下します。
ダイジェスト認証
ダイジェスト認証では、パスワードがネットワーク経由でハッシュ値として送信されるため、セキュリティが向上します。ダイジェスト認証は、Windows Server 2003 および Windows 2000 Server ドメインで、アカウントが Active Directory ディレクトリ サービスに格納されているユーザーに対してのみ使用できます。ダイジェスト認証の詳細については、Windows Server 2003 およびインターネット インフォメーション サービス (IIS) マネージャのドキュメントを参照してください。
ダイジェスト認証は Exchange 2007 仮想ディレクトリでのみ使用できます。
.gif "important") 重要 : |
|---|
| ダイジェスト認証または基本認証を使用していて、ユーザーがキオスクを使用した場合、ユーザーがブラウザを閉じてセッション間のブラウザ プロセスを終了できないと、資格情報のキャッシュがセキュリティ上の危険性につながるおそれがあります。この危険性は、次のユーザーがキオスクにアクセスしたときにユーザーの資格情報がキャッシュに残ることが原因となります。キオスクで Outlook Web Access を有効にするには、ユーザーがセッション間でブラウザを閉じてブラウザ プロセスを終了できることを確認します。また、2 要素による認証を実行するサードパーティ製品の使用も検討します。これらの製品では、ユーザーはキオスクで Outlook Web Access を使用するためのパスワードと共に物理的なトークンを提示する必要があります。 |
統合 Windows 認証
統合 Windows 認証では、情報にアクセスする際、ユーザーには有効な Windows 2000 Server または Windows Server 2003 アカウント名とパスワードが必要になります。ローカル ネットワークにログオンするユーザーは、ユーザー名とパスワードを入力する必要はありません。代わりに、サーバーはクライアント コンピュータにインストールされた Windows セキュリティ パッケージと通信し、それらの情報を確認します。この方法では、ユーザーにログオン情報を求めるプロンプトを表示することなく、サーバーがユーザーを認証することができます。認証資格情報は保護されますが、SSL を使用しない限り、その他すべての通信がクリア テキストで送信されます。
Microsoft Internet Explorer では、アクセスするサーバーで統合 Windows 認証が有効になっている場合、Outlook Web Access Web パーツを含む Web アプリケーションでシングル サインオンを使用できます。ユーザーは、各ブラウザ セッションに資格情報を 1 回だけ入力します。ただし、ユーザーの資格情報はブラウザ プロセスでキャッシュされます。
クライアント アクセス サーバーの役割のみがインストールされている Exchange 2007 サーバーでは、統合 Windows 認証を Exchange 2007 仮想ディレクトリでのみ使用できます。クライアント アクセスの役割とメールボックスの役割の両方がインストールされているサーバーでは、統合 Windows 認証を任意の仮想ディレクトリで使用できます。統合 Windows 認証の詳細については、Windows Server 2003 のドキュメントを参照してください。
| 注 : |
|---|
| 統合 Windows 認証は、Windows オペレーティング システムと Internet Explorer を実行するコンピュータでのみサポートされます。統合 Windows 認証は、他の Web ブラウザでも、認証を要求するサーバーにユーザーのログオン資格情報を渡すように構成されていれば機能する場合があります。 |
詳細情報
- Outlook Web Access 仮想ディレクトリに統合 Windows 認証を構成する方法の詳細については、「統合 Windows 認証を構成する方法」を参照してください。
- Outlook Web Access 仮想ディレクトリにダイジェスト認証を構成する方法の詳細については、「ダイジェスト認証を構成する方法」を参照してください。
- Outlook Web Access 仮想ディレクトリに基本認証を構成する方法の詳細については、「基本認証を構成する方法」を参照してください。
- セキュリティの詳細については、「クライアント アクセスのセキュリティの管理」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。