如何設定 Outlook Web App 的表單式驗證
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
表單型驗證會啟用 Exchange Server 2010Outlook Web App 的登入頁面,此頁面會在網際網路瀏覽器中使用 Cookie 儲存使用者的加密登入認證。追蹤此 Cookie 的使用情況,就可以讓 Exchange 伺服器監視公用及私人電腦上 Outlook Web App 工作階段的活動。如果工作階段未作用的時間過長,則除非使用者重新驗證,否則伺服器會封鎖存取。
目錄
使用 Cookie 控制存取
判斷使用者活動
設定表單型驗證所使用的登入提示
了解公用及私人電腦之使用者登入的加密
使用 SSL 協助保護 Outlook Web App 的安全
使用 Cookie 控制存取
第一次將使用者名稱及密碼傳送給用戶端存取伺服器以驗證 Outlook Web App 工作階段時,會建立加密 Cookie,並使用此加密 Cookie 追蹤使用者活動。當使用者關閉網際網路瀏覽器或按一下 [登出] 登出 Outlook Web App 工作階段時,Cookie 就會清除。只有在使用者初次登入時,才會將使用者名稱和密碼傳送至用戶端存取伺服器。在初次登入完成後,只會使用 Cookie 在用戶端電腦和用戶端存取伺服器之間進行驗證。
設定公用電腦上的 Cookie 逾時值
根據預設,當使用者在 Outlook Web App 登入頁面上選取 [這是公用或共用電腦] 選項時,電腦上的 Cookie 會自動到期,而且會在使用者未使用 Outlook Web App 經過 15 分鐘後登出使用者。
自動逾時非常實用,有助於保護使用者帳戶免於未經授權的存取。為了符合組織的安全性需求,您可以在 Exchange Client Access Server 上設定閒置逾時值。
雖然自動逾時可明顯降低未經授權存取的風險,但是如果讓工作階段繼續在公用電腦上執行,仍然無法排除未經授權使用者存取 Outlook Web App 帳戶的可能性。因此,務必警告使用者彩取預防措施以避開風險。例如,告訴使用者使用完 Outlook Web App 時,務必從 Outlook Web App 登出並關閉 Web 瀏覽器。
如需如何設定公用電腦之 Cookie 逾時值的相關資訊,請參閱設定表單式驗證公用電腦 Cookie 逾時值。
設定私人電腦上的 Cookie 逾時值
使用者選取 Outlook Web App 登入頁面上的 [這是私人電腦] 選項時,Exchange 伺服器在自動結束 Outlook Web App 工作階段之前,會允許較長的閒置期間。私人登入的預設逾時值為 8 小時。由於加密金鑰回收時間與伺服器上設定之逾時值之間的關係,私人登入的實際逾時值可能介於 8 到 12 小時之間。如需詳細資訊,請參閱了解公用及私人電腦之使用者登入的加密。私人電腦 Cookie 逾時選項主要是協助使用自己的電腦或位於公司網路上的電腦之 Outlook Web App 使用者。
務必警告使用者選取 [這是私人電腦] 選項所伴隨的風險。只有在使用者為電腦的唯一操作員,而且電腦遵守組織的安全性原則時,使用者才應該選取私人電腦選項。
如需如何設定私人電腦之 Cookie 逾時值的相關資訊,請參閱設定表單式驗證私人電腦 Cookie 逾時值。
回到頁首
判斷使用者活動
在 Outlook Web App 工作階段閒置特定的一段時間後,用戶端存取伺服器就不會再有解密金鑰可以讀取 Cookie,而除非使用者再次驗證,否則會拒絕其存取。
Exchange 2010 會使用下列資訊來判斷使用者活動:
用戶端電腦與使用者初始化的用戶端存取伺服器之間的互動視為活動。例如,如果使用者開啟、傳送或儲存項目;切換資料夾或模組;或更新檢視或網頁瀏覽器視窗,Exchange 2010 會將這些都視為活動。
.gif "注意事項")
附註:用戶端電腦與用戶端存取伺服器自動產生的伺服器之間的互動則不視為活動。例如,用戶端存取伺服器在 Outlook Web App 工作階段中產生的新電子郵件通知及提醒都不視為活動。 在 Outlook Web App 中,所有使用者互動 (包括在電子郵件或會議邀請中輸入文字) 都視為活動。在 Outlook Web App Light 版中,輸入文字以外的所有使用者活動都視為活動。
設定表單型驗證所使用的登入提示
表單型驗證不使用快顯視窗,而是建立 Outlook Web App 的登入頁面。您可以使用 Exchange 管理主控台或 Exchange 管理命令介面設定表單型驗證的登入提示。所進行的組態變更只會變更登入提示的文字,而不會變更使用者必須採用的登入格式。例如,您可以設定表單型驗證登入頁面提示使用者以網域\使用者名稱的格式提供其登入資訊。然而,使用者也可以輸入其主要名稱 (UPN),登入將會成功。
表單型驗證可以在 Outlook Web App 登入頁面上使用下列類型的登入提示。請選取使用者最容易了解及使用的提示。
完整網域 使用者的網域及使用者名稱,格式為「網域\使用者名稱」。例如,Contoso\Kweku。
主體名稱 UPN。UPN 有兩個部分:UPN 前置詞 (使用者帳戶名稱) 及 UPN 尾碼 (DNS 網域名稱)。會用 @ 符號連接前置詞及尾碼,以產生完整 UPN。例如,Kweku@contoso.com。使用者可以藉由輸入主要電子郵件地址或 UPN 存取 Outlook Web App。
使用者名稱 只有使用者名稱。不包括網域名稱。例如,Kweku。只有在已設定網域名稱時,此登入格式才有作用。
附註:必要時,可以設定 Active Directory 及網際網路資訊服務 (IIS),變更使用者必須用來登入 Outlook Web App 的格式。使用 Active Directory 及 IIS 設定使用者可以輸入以進行驗證的使用者名稱格式,與稍早所討論的 Outlook Web App 表單型驗證提示無關。
回到頁首
了解公用及私人電腦之使用者登入的加密
公用及私人 Outlook Web App 登入類型的使用者登入認證加密,包含一組六個雜湊訊息驗證碼 (HMAC)。HMAC 是在 Client Access Server 上產生的 160 位元金鑰。HMAC 結合雜湊演算法與加密功能以加密使用者登入認證,改善了登入安全性。Cookie 的加密及解密是由相同 Client Access server 所執行。只有產生驗證金鑰的 Client Access server 具有金鑰可以將該 Cookie 解密。
使用表單型驗證時,用戶端存取伺服器會以設定的速率針對每一種類型的登入 (公用及私人) 循環使用三個金鑰的組合。這稱為重複使用時間。金鑰的回收時間是登入逾時值的一半。例如,如果公用登入的逾時值設爲 15 分鐘,則公開金鑰的回收時間是 7.5 分鐘。
用戶端存取伺服器會在 Outlook Web App 虛擬目錄啟動時建立這六個登入金鑰。其中三個是與公用電腦登入搭配使用,而另三個是與私人電腦登入搭配使用。使用者登入時,會使用他們登入類型的目前金鑰將使用者的驗證資訊加密至 Cookie 中。
過了重複使用時間時,Client Access server 會移至下個金鑰。在使用完該登入類型的所有三個金鑰後,用戶端存取伺服器會刪除最舊的金鑰,並建立新的金鑰。用戶端存取伺服器一律為每個登入類型保留三個可用的金鑰:目前金鑰及兩個最新的金鑰。只要 Outlook Web App 是在用戶端存取伺服器上執行,就會繼續重複使用金鑰。所有使用者都會使用相同的金鑰。
使用使用中金鑰加密的所有 Cookie 都會被接受。用戶端存取伺服器收到使用者活動要求時,該要求的 Cookie 會取代為使用最新金鑰來加密的新 Cookie。使用已捨棄的較舊金鑰來加密與使用者工作階段關聯的 Cookie 時,該使用者工作階段會逾時。
因為加密金鑰之重複使用時間與伺服器上設定之使用者逾時間的關係,所以使用者的實際逾時期間可以介於設定之逾時與設定之逾時加上該值一半之間。例如,如果設定的逾時是 30 分鐘,則任何使用者工作階段的實際逾時可能是介於 30 分鐘與 45 分鐘之間。
下表是根據公用或私人電腦的使用者登入,提供 Cookie 逾時及驗證金鑰重複使用時間的相關資訊。
每個使用者登入類型的預設 Cookie 逾時及驗證金鑰重複使用時間
| 登入 | Cookie 逾時值 | 如果使用預設逾時值,則為驗證金鑰的重複使用時間 |
|---|---|---|
公用 |
1 分鐘到 30 天。預設為 15 分鐘。 |
7.5 分鐘 |
私人 |
1 分鐘到 30 天。預設值為 8 小時。 |
4 小時 |
| 附註: |
|---|
| 您可以使用登錄來設定 Cookie 逾時值 (分鐘)。驗證金鑰的重複使用時間最小是 Cookie 逾時值的 1/3,而且不大於 1/2。 |
回到頁首
使用 SSL 協助保護 Outlook Web App 的安全
安裝 Client Access server role 時,預設會開啟安全通訊端層 (SSL) 加密。如果未使用 SSL,將在初始登入時以純文字傳送使用者名稱和密碼。使用 SSL 時,會加密用戶端電腦與用戶端存取伺服器之間的所有通訊,並且協助防止他人檢視機密資訊如使用者名稱、密碼和電子郵件。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。