Configurando autenticação para o ActiveSync do Exchange
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2009-12-01
A autenticação é o processo através do qual um cliente e um servidor verificam suas identidades para transmissão de dados. No MicrosoftExchange Server 2010, a autenticação é usada para determinar se um usuário ou cliente que deseja se comunicar com o servidor do Exchange é quem ou o quê ele diz que é. Você pode usar a autenticação para verificar se um dispositivo pertence a um indivíduo em particular ou se um indivíduo em particular está tentando entrar no Microsoft Office Outlook Web App.
Ao instalar o Exchange 2010 e a função de servidor Acesso para Cliente, os diretórios virtuais são configurados para diversos serviços. Eles incluem o Outlook Web App, o serviço de Disponibilidade, a Unificação de Mensagens e o Microsoft Exchange ActiveSync. Por padrão, cada diretório virtual é configurado para usar um método de autenticação. No Exchange ActiveSync, o diretório virtual é configurado para usar a autenticação Básica e SSL. Você pode mudar o método de autenticação do seu servidor do Exchange ActiveSync alterando o método de autenticação no diretório virtual do Exchange ActiveSync.
Este tópico resume os métodos de autenticação disponíveis para o seu servidor do Exchange ActiveSync. No Exchange ActiveSync, o cliente é o dispositivo físico usado para sincronização com o servidor do Exchange 2010.
Procurando tarefas de gerenciamento relacionadas ao Exchange ActiveSync? Consulte Gerenciando o Exchange ActiveSync.
Sumário
Escolhendo um método de autenticação
Autenticação Básica
Autenticação baseada em certificados
Sistemas de autenticação baseada em token
Escolhendo um método de autenticação
Há três tipos principais de autenticação dentre os quais você pode escolher para o Exchange ActiveSync: Autenticação básica, autenticação baseada em certificados e autenticação baseada em token. Por padrão, quando a função de servidor Acesso para Cliente é instalada em um computador que esteja executando o Exchange 2010, o Exchange ActiveSync é configurado para usar a autenticação Básica com SSL. Para estabelecer uma conexão SSL, a autenticação baseada em certificador requer que um dispositivo móvel tenha um certificado de cliente válido criado para autenticação do usuário. Além disso, o dispositivo móvel deve ter uma cópia do certificado raiz confiável do servidor. Caso escolha a autenticação baseada em token, você precisará trabalhar com o fornecedor de token para configuração.
Autenticação Básica
A autenticação Básica é o método mais simples de autenticação. Com a autenticação Básica, o servidor exige que o cliente forneça um nome de usuário e uma senha. O nome de usuário e a senha são enviados em texto não criptografado pela Internet para o servidor. O servidor verifica se o nome de usuário e a senha fornecidos são válidos e concede acesso ao cliente. Por padrão, esse tipo de autenticação é habilitado no Exchange ActiveSync. Contudo, recomendamos que você desabilite a autenticação Básica, a não ser que esteja implantando SSL também. Ao usar autenticação Básica com SSL, o nome de usuário e a senha ainda são enviados em texto não criptografado, mas o canal de comunicação é criptografado.
Autenticação baseada em certificados
A autenticação baseada em certificados usa um certificado digital para verificar uma identidade. Outras credenciais são fornecidas, além do nome de usuário e da senha. Elas provam a identidade do usuário que está tentando acessar os recursos da caixa de correio armazenados no servidor do Exchange 2010. Um certificado digital é formado por dois componentes: a chave privada armazenada no dispositivo e a chave pública instalada no servidor. Se você configurar o Exchange 2010 para exigir a autenticação baseada em certificados no Exchange ActiveSync, apenas os dispositivos que atendam aos seguintes critérios poderão ser sincronizados com o Exchange 2010:
O dispositivo possui um certificado de cliente válido instalado, que foi criado para a autenticação de usuário.
O dispositivo possui um certificado raiz confiável para o servidor ao qual o usuário está conectado para estabelecer a conexão SSL.
Implantar a autenticação baseada em certificados impede a sincronização de usuários com apenas um nome de usuário e senha com o Exchange 2010. Como nível adicional de segurança, o certificado do cliente para autenticação só pode ser instalado quando o dispositivo está conectado a um computador associado ao domínio, através do Desktop do ActiveSync 4.5 ou uma versão posterior do Windows XP ou do Windows Mobile Device Center no Windows Vista ou no Windows 7.
Sistemas de autenticação baseada em token
Um sistema de autenticação baseada em token é um sistema de autenticação com dois fatores. A autenticação com dois fatores se baseia em uma informação que o usuário conhece, como sua senha, e um dispositivo externo, que normalmente tem o formato de um cartão de crédito ou chaveiro que o usuário pode carregar com ele. Cada dispositivo possui um número de série exclusivo. Além dos tokens de hardware, alguns fornecedores oferecem tokens em software, que podem ser executados em dispositivos móveis.
Os tokens funcionam através da exibição de um número exclusivo, normalmente com seis dígitos, que muda a cada 60 segundos. Quando um token é emitido para um usuário, ele é sincronizado com o software do servidor. Para autenticar, o usuário insere o nome de usuário, senha e o número exibido no token no momento. Alguns sistemas de autenticação por tokens também exigem um PIN.
A autenticação por tokens é uma forma robusta de autenticação. A desvantagem da autenticação por tokens é a necessidade de instalar e implantar o software do servidor de autenticação em todos os computadores ou dispositivos móveis do usuário. Também há o risco de o usuário perder o dispositivo externo. Isso pode ser dispendioso, devido à necessidade de substituir os dispositivos externos perdidos. Contudo, o dispositivo será inútil para terceiros que não tenham as informações de autenticação do usuário original.
Várias empresas oferecem sistemas de autenticação baseada em tokens. Uma delas é a RSA. Seu produto, o SecurID, vem em diversos formatos, inclusive nos formatos de chaveiro e cartão de crédito. Um código de autenticação único é emitido pelo token. Cada código de autenticação é válido por 60 segundos. A maioria dos tokens também possui um indicador de vencimento no dispositivo, por exemplo, vários pontos que desaparecem, indicando uma contagem regressiva, a partir do momento em que o código é emitido. Isso ajuda a evitar que um usuário digite o código correto e que ele expire antes da conclusão do processo de autenticação. Depois da conclusão da autenticação, não será necessário que o usuário realize a autenticação novamente com outro código, a menos que ele se desconecte por vontade própria ou porque o tempo limite do dispositivo se esgotou por inatividade. Para obter mais informações sobre como configurar um sistema baseado em tokens, consulte a documentação do sistema em questão.
© 2010 Microsoft Corporation. Todos os direitos reservados.