Outlook Web App에 대한 폼 기반 인증 구성
적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3
마지막으로 수정된 항목: 2015-03-09
폼 기반 인증을 사용하면 쿠키를 사용하는 Exchange Server 2010 Outlook Web App 로그인 페이지는 인터넷 브라우저에 사용자의 암호화된 로그인 자격 증명을 저장할 수 있습니다. 이 쿠키의 사용을 추적하면 Exchange 서버에서 공용 및 개인 컴퓨터의 Outlook Web App 세션 활동을 모니터링할 수 있습니다. 세션에서 너무 오랫동안 아무 작업도 하지 않으면 사용자가 다시 인증될 때까지 서버에서 액세스를 차단합니다.
목차
쿠키를 사용하여 액세스 제어
사용자 활동 확인
폼 기반 인증에서 사용되는 로그인 프롬프트 구성
공용 및 개인 컴퓨터에서의 사용자 로그인에 대한 암호화 이해
SSL을 사용하여 Outlook Web App 보안 강화
쿠키를 사용하여 액세스 제어
Outlook Web App 세션을 인증하기 위해 처음으로 사용자 이름과 암호가 클라이언트 액세스 서버로 전송될 때 사용자 활동을 추적하는 데 사용되는 암호화된 쿠키가 만들어집니다. 사용자가 인터넷 브라우저를 닫거나 로그아웃을 클릭하여 Outlook Web App 세션에서 로그아웃하면 쿠키가 삭제됩니다. 사용자 이름과 암호는 처음 사용자가 로그인할 때만 클라이언트 액세스 서버로 전송됩니다. 처음 로그인이 완료되고 나면 클라이언트 컴퓨터와 클라이언트 액세스 서버 사이의 인증에 쿠키만 사용됩니다.
공용 컴퓨터에서 쿠키 시간 제한 값 설정
기본적으로 사용자가 Outlook Web App 로그인 페이지에서 공개 또는 공유 컴퓨터입니다. 옵션을 선택한 경우에는 15분 동안 Outlook Web App를 사용하지 않으면 컴퓨터의 쿠키가 자동으로 만료되고 사용자는 로그아웃됩니다.
자동 시간 제한은 사용자의 계정을 무단으로 액세스하지 못하게 보호하는 데 도움이 되므로 중요합니다. 조직의 보안 요구 사항에 맞도록 Exchange 클라이언트 액세스 서버에 비활동 시간 제한 값을 구성할 수 있습니다.
자동 시간 제한을 사용하면 무단 액세스 위험을 상당히 줄일 수 있지만, 세션이 공용 컴퓨터에서 계속 실행되는 경우 무단 사용자가 Outlook Web App 계정에 액세스할 가능성이 사라지지는 않습니다. 따라서 사용자에게 위험 방지를 위한 예방 조치에 대해 경고해야 합니다. 예를 들어 Outlook Web App의 사용을 마친 후에는 Outlook Web App에서 로그아웃하고 웹 브라우저를 닫으라고 할 수 있습니다.
공용 컴퓨터의 쿠키 시간 제한 값을 구성하는 방법에 대한 자세한 내용은 폼 기반 인증 공용 컴퓨터 쿠키 시간 제한 값 설정을 참조하십시오.
개인 컴퓨터에서 쿠키 시간 제한 값 설정
사용자가 Outlook Web App 로그인 페이지에서 개인 컴퓨터입니다. 옵션을 선택한 경우에는 활동이 없을 때 Exchange 서버에서 Outlook Web App 세션을 자동으로 종료하기 전까지의 시간이 조금 더 길어집니다. 개인 로그인에 대한 기본 시간 제한 값은 8시간입니다. 암호화 키의 재순환 시간과 서버에 구성된 시간 제한 값 사이의 관계로 인해 개인 로그인에 대한 실제 기본 시간 제한 값은 8시간에서 12시간 사이가 될 수 있습니다. 자세한 내용은 공용 및 개인 컴퓨터에서의 사용자 로그인에 대한 암호화 이해를 참조하십시오. 개인 컴퓨터 쿠키 시간 제한 옵션은 개인 컴퓨터나 회사 네트워크상의 컴퓨터를 사용하는 Outlook Web App 사용자에게 유리하게 되어 있습니다.
사용자에게 개인 컴퓨터입니다. 옵션 선택과 관련된 위험에 대해 경고해야 합니다. 사용자가 컴퓨터의 유일한 운영자이고 컴퓨터가 조직의 보안 정책을 준수하는 경우에만 개인 컴퓨터 옵션을 선택해야 합니다.
개인 컴퓨터의 쿠키 시간 제한 값을 구성하는 방법에 대한 자세한 내용은 폼 기반 인증 개인 컴퓨터 쿠키 시간 제한 값 설정을 참조하십시오.
맨 위로 이동
사용자 활동 확인
Outlook Web App 세션에서 특정 시간 동안 아무런 활동이 없으면 클라이언트 액세스 서버에는 쿠키를 읽을 수 있는 암호 해독 키가 더 이상 존재하지 않게 되고 사용자는 다시 인증될 때까지 액세스가 거부됩니다.
Exchange 2010은 다음 정보를 사용하여 사용자 활동을 확인합니다.
사용자가 시작한 클라이언트 컴퓨터와 클라이언트 액세스 서버 간의 상호 작용은 활동으로 간주됩니다. 예를 들어 사용자가 항목을 열거나 보내거나 저장하거나, 폴더 또는 모듈을 전환하거나, 보기 또는 웹 브라우저 창을 업데이트하는 경우 Exchange 2010은 이를 활동으로 간주합니다.
참고
클라이언트 액세스 서버에 의해 자동으로 생성된 서버와 클라이언트 컴퓨터 간의 상호 작용은 활동으로 간주되지 않습니다. 예를 들어 Outlook Web App 세션에서 클라이언트 액세스 서버에 의해 생성된 미리 알림 및 새 전자 메일 알림은 활동으로 간주되지 않습니다.
Outlook Web App에서는 전자 메일 메시지 또는 모임 요청에 텍스트를 입력하는 등의 사용자 조작이 활동으로 간주됩니다. Outlook Web App 라이트 버전에서는 텍스트 입력 이외의 모든 사용자 활동이 활동으로 간주됩니다.
폼 기반 인증에서 사용되는 로그인 프롬프트 구성
폼 기반 인증은 팝업 창 대신 Outlook Web App에 대한 로그인 페이지를 만듭니다. Exchange 관리 콘솔이나 Exchange 관리 셸을 사용하여 폼 기반 인증용 로그인 프롬프트를 구성할 수 있습니다. 구성을 변경하면 로그인 프롬프트의 텍스트만 변경됩니다. 사용자가 로그인해야 하는 형식은 변경되지 않습니다. 예를 들어 사용자에게 도메인\사용자 이름 형식으로 로그인 정보를 제공하라는 메시지를 표시하는 폼 기반 인증 로그인 페이지를 구성할 수 있습니다. 그러나 사용자는 자신의 UPN(사용자 계정 이름)을 입력해서 로그인할 수도 있습니다.
Outlook Web App 로그인 페이지에서 폼 기반 인증에 다음과 같은 유형의 로그인 프롬프트를 사용할 수 있습니다. 사용자가 이해하고 사용하기에 가장 쉬운 프롬프트를 선택하십시오.
전체 도메인 도메인\사용자 이름 형식으로 된 사용자의 도메인 및 사용자 이름입니다. 예: Contoso\Kweku
계정 이름 UPN입니다. UPN은 사용자 계정 이름인 UPN 접두사와 DNS 도메인 이름인 UPN 접미사로 되어 있습니다. 접두사와 접미사는 (@) 기호로 결합되어 완전한 UPN을 구성합니다. 예를 들어, Kweku@contoso.com을 입력합니다. 사용자는 기본 전자 메일 주소를 입력하거나 UPN을 입력하여 Outlook Web App에 액세스할 수 있습니다.
사용자 이름 사용자 이름만 포함되고 도메인 이름은 포함되지 않습니다. 예: Kweku. 이 로그인 형식은 도메인 이름이 구성된 경우에만 사용할 수 있습니다.
참고
필요한 경우 Active Directory 및 IIS(인터넷 정보 서비스)를 구성하여 사용자가 Outlook Web App에 로그인하기 위해 사용해야 하는 형식을 변경할 수 있습니다. Active Directory 및 IIS를 사용하여 사용자가 인증을 위해 입력할 수 있는 사용자 이름 형식을 설정하는 것은 앞에서 설명한 Outlook Web App 폼 기반 인증 프롬프트와는 별개의 문제입니다.
맨 위로 이동
공용 및 개인 컴퓨터에서의 사용자 로그인에 대한 암호화 이해
공용 및 개인 Outlook Web App 로그인 유형에 대한 사용자 로그인 자격 증명 암호화에는 6개의 HMAC(해시된 메시지 인증 코드) 집합이 있습니다. HMAC는 클라이언트 액세스 서버에서 생성되는 160비트 키입니다. HMAC는 해시 알고리즘과 암호화 기능을 결합하여 사용자 로그인 자격 증명을 암호화함으로써 로그인 보안을 향상시킵니다. 쿠키의 암호화 및 암호 해독은 동일한 클라이언트 액세스 서버에서 수행됩니다. 인증 키를 생성한 클라이언트 액세스 서버에만 해당 쿠키의 암호를 해독하는 키가 있습니다.
폼 기반 인증을 사용하는 경우 클라이언트 액세스 서버는 각 유형의 로그인, 공용 및 개인에 대한 세 가지 키 집합을 설정된 속도로 순환하여 사용합니다. 이를 재순환 시간이라고 합니다. 키의 재순환 시간은 로그인 시간 제한 값의 절반입니다. 예를 들어 공용 로그인의 시간 제한 값이 15분으로 설정되어 있으면 공용 키 재순환 시간은 7.5분입니다.
Outlook Web App 가상 디렉터리가 시작될 때 클라이언트 액세스 서버에서 여섯 개의 로그인 키를 만듭니다. 세 개는 공용 컴퓨터 로그인에 사용되고 세 개는 개인 컴퓨터 로그인에 사용됩니다. 사용자가 로그인할 때 해당 로그인 유형의 현재 키가 사용자의 인증 정보를 쿠키로 암호화하는 데 사용됩니다.
재순환 시간이 지나면 클라이언트 액세스 서버는 다음 키로 이동합니다. 로그인 유형에 대한 세 개의 키가 모두 사용되면 클라이언트 액세스 서버는 가장 오래된 키를 삭제하고 새 키를 만듭니다. 클라이언트 액세스 서버는 각 로그인 유형에 대해 사용할 수 있는 세 개의 키, 즉 현재 키 하나와 가장 최근의 키 두 개를 항상 보존합니다. Outlook Web App가 클라이언트 액세스 서버에서 실행되고 있는 동안에는 키의 재순환이 계속됩니다. 동일한 키가 모든 사용자에게 사용됩니다.
작업 키를 사용하여 암호화된 쿠키가 수락됩니다. 클라이언트 액세스 서버에서 사용자 작업 요청을 수신하면 해당 요청에 대한 쿠키가 최신 키로 암호화된 새 쿠키로 대체됩니다. 사용자 세션에 연결된 쿠키가 삭제된 이전 키로 암호화된 것일 경우에는 사용자 세션이 시간 초과됩니다.
서버에 구성된 사용자 시간 제한과 암호화 키의 재순환 시간 간의 관계 때문에 사용자의 실제 시간 제한 기간은 구성된 시간 제한(최소)부터 구성된 시간 제한에 이 시간 제한 값의 절반을 더한 값(최대) 사이일 수 있습니다. 예를 들어 구성된 시간 제한이 30분인 경우 사용자 세션에 대한 실제 시간 제한은 30분에서 45분 사이일 수 있습니다.
다음 표는 공용 또는 개인 컴퓨터의 사용자 로그인에 따른 쿠키 시간 제한 및 인증 키 재순환 시간에 대한 정보를 제공합니다.
각 사용자 로그인 유형별 기본 쿠키 시간 제한 및 인증 키 재순환 시간
| 로그인 | 쿠키 시간 제한 값 | 기본 시간 제한 값을 사용하는 경우 인증 키에 대한 재순환 시간 |
|---|---|---|
공용 |
1분에서 30일 사이입니다. 기본값은 15분입니다. |
7.5분 |
개인 |
1분에서 30일 사이입니다. 기본값은 8시간입니다. |
4시간 |
참고
레지스트리를 사용하여 쿠키 시간 제한 값(분)을 구성할 수 있습니다. 인증 키의 재순환 값은 최소한 쿠키 시간 제한 값의 1/3을 초과하며 이 값의 1/2보다는 크지 않습니다.
맨 위로 이동
SSL을 사용하여 Outlook Web App 보안 강화
기본적으로 SSL(Secure Sockets Layer) 암호화는 클라이언트 액세스 서버 역할을 설치하면 설정되어 있습니다. SSL을 사용하지 않으면 처음 로그인할 때 사용자 이름과 암호가 일반 텍스트로 전송됩니다. SSL을 사용하면 클라이언트 컴퓨터와 클라이언트 액세스 서버 사이의 모든 통신이 암호화되며 사용자 이름, 암호, 전자 메일 메시지 등의 중요한 정보가 다른 사람에게 노출되는 것을 막을 수 있습니다.
맨 위로 이동
© 2010 Microsoft Corporation. 모든 권리 보유.