Selección de un método de autenticación para ActiveSync
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-03-20
La autenticación es el proceso por el que un cliente y un servidor comprueban su identidad para la transmisión de datos. En Exchange 2007, la autenticación se utiliza para determinar si un usuario o cliente que quiere comunicarse con el servidor de Exchange es quien dice ser o lo que dice ser. Puede utilizar la autenticación para comprobar que un dispositivo pertenece a un determinado individuo o que un determinado individuo está intentando iniciar la sesión en Office Outlook Web Access.
Al instalar Microsoft Exchange Server 2007 y la función del servidor Acceso de cliente, los directorios virtuales se configuran para varios servicios. Estos incluyen Outlook Web Access, el servicio de disponibilidad, la mensajería unificada y Microsoft Exchange ActiveSync. De forma predeterminada, cada directorio virtual se configura para que utilice un método de autenticación Para Exchange ActiveSync, el directorio virtual se configura para que utilice Autenticación básica y Nivel de sockets seguros (SSL). Es posible modificar el método de autenticación de su servidor de Exchange ActiveSync modificando el método de autenticación del directorio virtual de Exchange ActiveSync.
En este tema se ofrece una introducción a los métodos de autenticación disponibles para su servidor de Exchange ActiveSync. Para Exchange ActiveSync, el cliente es el dispositivo físico que se utiliza para la sincronización con el servidor de Exchange 2007.
Autenticación básica
La Autenticación básica es el método de autenticación más simple. Con la Autenticación básica, el servidor solicita que el cliente envíe un nombre de usuario y una contraseña. Este nombre de usuario y contraseña se envían al servidor a través de Internet como texto sin cifrar. El servidor comprueba que el nombre de usuario y la contraseña suministrados sean válidos y permite el acceso del cliente. De forma predeterminada, esta clase de autenticación está habilitada para Exchange ActiveSync. Sin embargo, se recomienda deshabilitar la Autenticación básica a no ser que esté implementando también el Nivel de sockets seguros (SSL). Al utilizar la Autenticación básica sobre SSL, el nombre de usuario y la contraseña se siguen enviando como texto sin cifrar, pero el canal de comunicación está cifrado.
Autenticación basada en certificados
La Autenticación basada en certificados utiliza un certificado digital para comprobar una identidad. Esta autenticación ofrece otra forma de credenciales, además del nombre de usuario y contraseña, que demuestran la identidad del usuario que está intentando tener acceso a recursos de buzón almacenados en el servidor de Exchange 2007. Un certificado digital está formado por dos componentes: la clave privada almacenada en el dispositivo y la clave pública instalada en el servidor. Si configura Exchange 2007 para que solicite la Autenticación basada en certificados para Exchange ActiveSync, sólo los dispositivos que cumplan los siguientes criterios pueden sincronizarse con Exchange 2007:
El dispositivo tiene instalado un certificado de cliente válido creado para la autenticación de usuario.
El dispositivo tiene un certificado raíz de confianza para el servidor al que se está conectando para establecer la conexión SSL.
La implementación de la Autenticación basada en certificados evita que los usuarios que sólo tienen un nombre de usuario y contraseña se sincronicen con Exchange 2007. Como nivel de seguridad adicional, el certificado de cliente para la autenticación sólo puede instalarse cuando el dispositivo está conectado a un equipo conectado al dominio a través de Desktop ActiveSync 4.5 o una versión posterior en Windows XP o del centro de dispositivos de Windows Mobile en Windows Vista.
Sistemas de autenticación basada en testigos
Un sistema de autenticación basada en testigos es un sistema de autenticación de dos factores. La autenticación de dos factores se basa en una información que el usuario conoce como, por ejemplo, su contraseña, y un dispositivo externo, que normalmente tiene forma de tarjeta de crédito o una cadena de llaves que el cliente puede llevar con él. Cada dispositivo tienen un número de serie exclusivo. Además de los testigos de hardware, algunos proveedores ofrecen testigos basados en software que pueden ejecutarse en dispositivos móviles.
Los testigos trabajan mostrando un número exclusivo, normalmente de seis dígitos, que cambia cada 60 segundos. Cuando se emite un testigo para un usuario, éste se sincroniza con el software del servidor. Para la autenticación, el usuario introduce su nombre de usuario, contraseña y el número que aparece actualmente en el testigo. Algunos sistemas de autenticación basados en testigos solicitan también que el usuario introduzca un NIP.
La autenticación basada en testigos es una forma segura de autenticación. La desventaja de la autenticación basada en testigos es que debe instalar un software de servidor de autenticación e implementar el software de autenticación en todos los equipos de usuario o dispositivos móviles. También existe el riesgo de que el usuario pueda perder el dispositivo externo. Esto puede resultar financieramente costoso debido a la necesidad de reemplazar los dispositivos externos perdidos. Sin embargo, el dispositivo es inservible para un tercero sin la información original de autenticación de usuario.
Existen varias empresas que emiten sistemas de autenticación basada en testigos. Una de ellas es RSA. Su producto, SecurID, se suministra en varios formatos, incluido una forma de cadena de llaves y de tarjeta de crédito. El testigo emite un código de autenticación de un solo uso. Cada código de autenticación es válido durante 60 segundos. La mayoría de los testigos tienen un indicador de expiración en el dispositivo, por ejemplo, una serie de puntos que desaparecen a medida que disminuye el tiempo restante para ese código. Esto ayuda a evitar que un usuario introduzca el código correcto sólo para hacerlo expirar antes de que finalice el proceso de autenticación. Una vez finalizada la autenticación, el usuario no tiene que volver a autenticarse con un nuevo código a no ser que cierre la sesión, ya sea por decisión propia o porque transcurra el tiempo de espera del dispositivo debido a la inactividad. Para obtener más información sobre cómo configurar un sistema de autenticación basada en testigo, consulte la documentación de dicho sistema.
Información adicional
Para obtener más información acerca de la autenticación y la seguridad en Exchange ActiveSync, consulte los siguientes temas: