Grundlegendes zur Authentifizierung für Outlook Web App

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2011-08-19

In diesem Thema werden die Authentifizierungstypen erläutert, die für Outlook Web App in MicrosoftExchange Server 2010 zur Verfügung stehen. Die optimal für Ihre Organisation geeignete Authentifizierungsmethode ist von den Sicherheitsansprüchen Ihrer Organisation abhängig Standardmäßig verwendet Outlook Web App die formularbasierte Authentifizierung und ist für die Verwendung der SSL-Verschlüsselung (Secure Sockets Layer) konfiguriert.

Bei der formularbasierten Authentifizierung wird eine Anmeldeseite für Outlook Web App aktiviert, die ein Cookie zum Speichern der verschlüsselten Anmeldeinformationen eines Benutzers im Internetbrowser verwendet. Durch die Verfolgung der Verwendung dieses Cookies kann auf dem Exchange-Server die Aktivität von Outlook Web App-Sitzungen auf öffentlichen und privaten Computern überwacht werden. Wenn eine Sitzung zu lange inaktiv ist, blockiert der Server den Zugriff, bis sich der Benutzer erneut authentifiziert.

Wenn der Benutzername und das Kennwort zum ersten Mal zur Authentifizierung einer Outlook Web App-Sitzung an den Clientzugriffsserver gesendet werden, wird ein verschlüsseltes Cookie erstellt, mit dem die Benutzeraktivität verfolgt wird. Das Cookie wird gelöscht, wenn die Benutzer den Internetbrowser wieder schließen oder auf Abmelden klicken, um sich von der Outlook Web App-Sitzung abzumelden. Benutzername und Kennwort werden nur bei der ersten Benutzeranmeldung an den Clientzugriffsserver gesendet. Nach Abschluss der ersten Anmeldung wird lediglich das Cookie für die Authentifizierung zwischen Clientcomputer und Clientzugriffsserver verwendet.

Weitere Informationen zum Konfigurieren der formularbasierten Authentifizierung finden Sie unter:

Für die Unterstützung der einmaligen Anmeldung zwischen Outlook Web App und der Exchange-Systemsteuerung steht in Exchange 2010 ein neuer Dienst, der Exchange FBA-Authentifizierungsdienst, zur Verfügung. Stellen Sie zur Verwendung dieser neuen Funktion sicher, dass der Authentifizierungsmodus für die virtuellen Verzeichnisse von Outlook Web App und Exchange-Systemsteuerung auf die formularbasierte Authentifizierung eingestellt ist.

Das Timeout für Cookies wird auf Grundlage der vom Benutzer auf der Outlook Web App-Anmeldeseite gewählten Option Dies ist ein öffentlicher oder freigegebener Computer oder Dies ist ein privater Computer festgelegt. Mit der Option für öffentliche Computer läuft das Cookie auf dem Computer automatisch ab und der Benutzer wird abgemeldet, wenn Outlook Web App zwischen 15 und 22,5 Minuten lang nicht verwendet wurde. Wenn die Option für private Computer gewählt wurde, erfolgt die Abmeldung, nachdem Outlook Web App zwischen acht und zwölf Stunden lang nicht verwendet wurde.

Das automatische Timeout ist von großem Wert, da so die Benutzerkonten besser vor nicht autorisiertem Zugriff geschützt werden. Um den Sicherheitsanforderungen Ihrer Organisation gerecht zu werden, können Sie die Timeoutwerte für Inaktivität auf dem Exchange-Clientzugriffsserver konfigurieren.

Auch wenn durch das automatische Timeout das Risiko eines nicht autorisierten Zugriffs auf ein Exchange-Postfach erheblich gesenkt werden kann, ist diese Gefahr nicht völlig auszuschließen, wenn eine Sitzung auf einem öffentlichen Computer nicht beendet wird. Fordern Sie die Benutzer daher unbedingt dazu auf, Vorsichtsmaßnahmen zur Vermeidung von Risiken zu ergreifen, indem Sie sie beispielsweise bitten, sich von Outlook Web App abzumelden und den Webbrowser zu schließen, wenn Sie Outlook Web App nicht mehr verwenden.

Weitere Informationen zum Konfigurieren von Timeoutwerten für Cookies auf öffentlichen und privaten Computern finden Sie unter:

Formularbasierte Authentifizierung

In Exchange 2010 unterstützen Clientzugriffsserver die integrierte Windows-Authentifizierung sowie die HTTP 1.1-Digestauthentifizierung für virtuelle Exchange 2010-Verzeichnisse.

Weitere Informationen über Standardauthentifizierungsmethoden finden Sie unter Konfigurieren von Standardauthentifizierungsverfahren für Outlook Web App.

Die Standardauthentifizierung ist ein einfacher Authentifizierungsmechanismus, der durch die HTTP-Spezifikation definiert wird. Sie codiert den Anmeldenamen und das Kennwort eines Benutzers, bevor die Anmeldeinformationen des Benutzers an den Server gesendet werden.

Die Standardauthentifizierung unterstützt kein einmaliges Anmelden. Die Windows Server 2008- und die Windows Server 2003-Authentifizierung ermöglichen die einmalige Anmeldung bei allen Netzwerkressourcen. Bei einer einmaligen Anmeldung kann sich ein Benutzer bei der Domäne mit einem einzigen Kennwort oder einer Smartcard ein einziges Mal anmelden und sich dann bei jedem Computer in der Domäne authentifizieren.

Die Standardauthentifizierung wird von allen Webbrowsern unterstützt, ist jedoch nur sicher, wenn die SSL-Verschlüsselung angefordert wird.

Weitere Informationen zum Konfigurieren der Standardauthentifizierung in einem virtuellen Outlook Web App-Verzeichnis finden Sie unter Konfigurieren der Standardauthentifizierung.

Die Digestauthentifizierung überträgt zur Erhöhung der Sicherheit Kennwörter als Hashwert über das Netzwerk. Die Digestauthentifizierung kann nur in Windows Server 2008-, Windows Server 2003- und MicrosoftWindows 2000 Server-Domänen für Benutzer verwendet werden, die über ein Konto verfügen, das in Active Directory gespeichert ist. Weitere Informationen über die Digestauthentifizierung finden Sie in der Dokumentation von Windows Server 2003 und IIS-Manager (Internetinformationsdienste).

Die Digestauthentifizierung ist nur für virtuelle Exchange 2010-Verzeichnisse verfügbar.

WichtigWichtig:
Wenn Sie die Digest- oder die Standardauthentifizierung verwenden und ein Benutzer einen Kiosk einsetzt, kann das Zwischenspeichern von Anmeldeinformationen ein Sicherheitsrisiko darstellen, wenn der Benutzer den Browser zwischen Sitzungen nicht schließt und den Browserprozess nicht beendet. Dieses Risiko tritt auf, weil die Anmeldeinformationen eines Benutzers im Cache verbleiben, wenn der nächste Benutzer auf den Kiosk zugreift. Um Outlook Web App in einem Kiosk zu aktivieren, müssen Sie sicherstellen, dass der Benutzer den Browser zwischen Sitzungen schließen und die Browserprozesse beenden kann. Andernfalls müssen Sie den Einsatz eines Drittanbieterprodukts mit zweistufiger Authentifizierung in Betracht ziehen, bei der der Benutzer ein physisches Token zusammen mit einem Kennwort vorweisen muss, um Outlook Web App im Kiosk verwenden zu können.

Weitere Informationen zum Konfigurieren der Digestauthentifizierung in einem virtuellen Outlook Web App-Verzeichnis finden Sie unter Konfigurieren der Digestauthentifizierung.

Formularbasierte Authentifizierung

Die integrierte Windows-Authentifizierung erfordert für den Zugriff auf Informationen, dass Benutzer über einen gültigen Windows Server 2008-, Windows Server 2003- oder Windows 2000 Server-Benutzerkontonamen und ein zugehöriges Kennwort verfügen. Im lokalen Netzwerk angemeldete Benutzer werden nicht zur Eingabe von Benutzernamen und Kennwörtern aufgefordert. Stattdessen kommuniziert der Server mit den Windows-Sicherheitspaketen, die auf dem Clientcomputer installiert sind. Diese Methode ermöglicht dem Server die Authentifizierung von Benutzern, ohne von diesen Anmeldeinformationen zu fordern. Die Anmeldeinformationen sind geschützt, die gesamte restliche Kommunikation wird jedoch unverschlüsselt gesendet, wenn nicht SSL verwendet wird.

MicrosoftInternet Explorer ermöglicht einmalige Anmeldungen für Webanwendungen mit Outlook Web App-Webparts, wenn auf dem Server, auf den zugegriffen wird, die integrierte Windows-Authentifizierung aktiviert ist. Benutzer müssen ihre Anmeldeinformationen nur einmal pro Browsersitzung eingeben. Die Anmeldeinformationen werden jedoch im Browserprozess zwischengespeichert.

Auf einem Server mit Exchange 2010, auf dem lediglich die Clientzugriffs-Serverrolle installiert ist, kann die integrierte Windows-Authentifizierung nur für virtuelle Exchange 2010-Verzeichnisse verwendet werden. Auf einem Server, auf dem die Clientzugriffs- und die Postfachserverrolle installiert ist, kann die integrierte Windows-Authentifizierung für alle virtuellen Verzeichnisse verwendet werden. Weitere Informationen zur integrierten Windows-Authentifizierung finden Sie in der Windows Server 2003-Dokumentation.

HinweisHinweis:
Die integrierte Windows-Authentifizierung wird nur auf Computern unterstützt, auf denen ein Windows-Betriebssystem zusammen mit Internet Explorer ausgeführt wird. Die integrierte Windows-Authentifizierung kann mit anderen Webbrowsern funktionieren, wenn diese so konfiguriert wurden, dass sie die Anmeldeinformationen des Benutzers an den Server weitergeben, von dem die Authentifizierung angefordert wird.

Weitere Informationen zum Konfigurieren der integrierten Windows-Authentifizierung in einem virtuellen Outlook Web App-Verzeichnis finden Sie unter Konfigurieren der integrierten Windows-Authentifizierung.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Anzeigen: