Escolhendo um método de autenticação para o ActiveSync
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-03-20
A autenticação é o processo através do qual um cliente e um servidor verificam suas identidades para transmissão de dados. No Exchange 2007, a autenticação é usada para determinar se um usuário ou cliente que deseja se comunicar com o servidor do Exchange é quem ou o quê ele diz que é. Você pode usar a autenticação para verificar se um dispositivo pertence a um indivíduo em particular ou se um indivíduo em particular está tentando fazer logon no Office Outlook Web Access.
Ao instalar o Microsoft Exchange Server 2007 e a função de servidor Acesso para Cliente, os diretórios virtuais são configurados para diversos serviços. Eles incluem o Outlook Web Access, o serviço de Disponibilidade, a Unificação de Mensagens e o Microsoft Exchange ActiveSync. Por padrão, cada diretório virtual é configurado para usar um método de autenticação. No Exchange ActiveSync, o diretório virtual é configurado para usar a autenticação Básica e SSL. Você pode mudar o método de autenticação do seu servidor do Exchange ActiveSync alterando o método de autenticação no diretório virtual do Exchange ActiveSync.
Este tópico apresenta uma visão geral dos métodos de autenticação disponíveis para o servidor do Exchange ActiveSync. No Exchange ActiveSync, o cliente é o dispositivo físico usado para sincronização com o servidor do Exchange 2007.
Autenticação Básica
A autenticação Básica é o método mais simples de autenticação. Com a autenticação Básica, o servidor exige que o cliente forneça um nome de usuário e uma senha. O nome de usuário e a senha são enviados em texto não criptografado pela Internet para o servidor. O servidor verifica se o nome de usuário e a senha fornecidos são válidos e concede acesso ao cliente. Por padrão, esse tipo de autenticação é habilitado no Exchange ActiveSync. Contudo, recomendamos que você desabilite a autenticação Básica, a não ser que esteja implantando SSL também. Ao usar autenticação Básica com SSL, o nome de usuário e a senha ainda são enviados em texto não criptografado, mas o canal de comunicação é criptografado.
Autenticação baseada em certificados
A autenticação baseada em certificados usa um certificado digital para verificar uma identidade. A autenticação baseada em certificados oferece outra forma de credenciais, além do nome de usuário e senha, que comprovam a identidade do usuário que está tentando acessar os recursos de caixa de correio armazenados no servidor do Exchange 2007. Um certificado digital é formado por dois componentes: a chave privada armazenada no dispositivo, e a chave pública instalada no servidor. Se você configurar o Exchange 2007 para exigir a autenticação baseada em certificados no Exchange ActiveSync, apenas os dispositivos que atendam aos seguintes critérios poderão ser sincronizados com o Exchange 2007:
O dispositivo possui um certificado de cliente válido instalado, que foi criado para a autenticação de usuário.
O dispositivo possui um certificado raiz confiável para o servidor ao qual está conectado para estabelecer a conexão SSL.
Implantar a autenticação baseada em certificados impede a sincronização de usuários com apenas um nome de usuário e senha com o Exchange 2007. Como nível adicional de segurança, o certificado do cliente para autenticação só pode ser instalado quando o dispositivo está conectado a um computador associado ao domínio, através do Desktop do ActiveSync 4.5 ou uma versão posterior do Windows XP ou do Windows Mobile Device Center do Windows Vista.
Sistemas de autenticação baseada em token
Um sistema de autenticação baseada em token é um sistema de autenticação com dois fatores. A autenticação em dois fatores se baseia em uma informação que o usuário conhece, como sua senha, e um dispositivo externo, que normalmente tem o formato de um cartão de crédito ou chaveiro que o usuário pode carregar consigo. Cada dispositivo possui um número de série exclusivo. Além dos tokens de hardware, alguns fornecedores oferecem tokens em software, que podem ser executados em dispositivos móveis.
Os tokens funcionam através da exibição de um número exclusivo, normalmente com seis dígitos, que muda a cada 60 segundos. Quando um token é enviado para um usuário, ele é sincronizado com o software do servidor. Para autenticar, o usuário insere seu nome de usuário, senha e o número exibido no token no momento. Alguns sistemas de autenticação por tokens também exigem um PIN.
A autenticação por tokens é uma forma robusta de autenticação. A desvantagem da autenticação por tokens é a necessidade de instalar e implantar o software do servidor de autenticação em todos os computadores ou dispositivos móveis do usuário. Também há o risco de o usuário perder o dispositivo externo. Isso pode ser dispendioso, devido à necessidade de substituir os dispositivos externos perdidos. Contudo, o dispositivo será inútil para terceiros que não tenham as informações de autenticação do usuário original.
Há diversas empresas que fornecem sistemas de autenticação por tokens. Uma delas é a RSA. Seu produto, o SecurID, vem em diversos formatos, inclusive nos formatos de chaveiro e cartão de crédito. Um código de autenticação único é emitido pelo token. Cada código de autenticação é válido por 60 segundos. A maioria dos tokens também possui um indicador de vencimento no dispositivo, por exemplo, vários pontos que desaparecem, indicando uma contagem regressiva, a partir do momento em que o código é emitido. Isso ajuda a evitar que um usuário digite o código correto e que ele expire antes da conclusão do processo de autenticação. Depois da conclusão da autenticação, não será necessário que o usuário realize a autenticação novamente com outro código, a menos que ele se desconecte por vontade própria ou porque o tempo limite do dispositivo se esgotou por inatividade. Para obter mais informações sobre como configurar um sistema baseado em tokens, consulte a documentação do sistema em questão.
Para obter mais informações
Para obter mais informações sobre autenticação e segurança do Exchange ActiveSync, consulte os seguintes tópicos: