Configuración de la autenticación para Exchange ActiveSync
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2009-12-01
La autenticación es el proceso mediante el cual un cliente y un servidor comprueban sus identidades para la transmisión de datos. En Microsoft Exchange Server 2010, la autenticación se usa para determinar si un usuario o un cliente que desea comunicarse con el servidor de Exchange es quien es o quien dice que es. Puede usar la autenticación para comprobar que un dispositivo pertenece a un individuo en particular o que este individuo en particular está intentando iniciar sesión en Microsoft Office Outlook Web App.
Al instalar Exchange 2010 y el rol de servidor Acceso de clientes, los directorios virtuales se configuran para varios servicios. Éstos incluyen Outlook Web App, el servicio de disponibilidad, la mensajería unificada y Microsoft Exchange ActiveSync. De manera predeterminada, cada directorio virtual se configura para usar un método de autenticación. Para Exchange ActiveSync, el directorio virtual se configura para usar autenticación básica y Nivel de sockets seguros (SSL). Puede cambiar el método de autenticación para su servidor Exchange ActiveSync cambiando el método de autenticación en el directorio virtual de Exchange ActiveSync.
En este tema, se resumen los métodos de autenticación disponibles para el servidor de Exchange ActiveSync. Para Exchange ActiveSync, el cliente es el dispositivo físico que se usa para sincronizarse con el servidor de Exchange 2010.
¿Está buscando las tareas de administración relacionadas con Exchange ActiveSync? Consulte Administrar Exchange ActiveSync.
Contenido
Selección de un método de autenticación
Autenticación básica
Autenticación basada en certificados
Sistemas de autenticación basados en testigos
Selección de un método de autenticación
Existen tres tipos principales de autenticación que puede seleccionar para Exchange ActiveSync: La autenticación básica, la autenticación basada en certificados y la autenticación basada en testigos. Cuando se instala el rol de servidor Acceso de clientes en un equipo que ejecuta Exchange 2010, Exchange ActiveSync se configura para usar la autenticación básica con SSL. Para establecer la conexión SSL, la autenticación basada en certificados requiere que un dispositivo móvil tenga instalado un certificado de cliente válido creado para la autenticación de usuario. Además, el dispositivo móvil debe tener una copia del certificado raíz de confianza del servidor. Si selecciona la autenticación basada en tokens, deberá trabajar con el proveedor de tokens para la configuración.
Autenticación básica
La autenticación básica es el método más simple de autenticación. Con la autenticación básica, el servidor requiere que el cliente envíe un nombre de cliente y una contraseña. El nombre de usuario y la contraseña se envían en texto sin cifrar mediante Internet al servidor. El servidor comprueba que el nombre de usuario y la contraseña subministrados sean válidos y garantiza acceso al cliente. De manera predeterminada, esté tipo de autenticación se habilita para Exchange ActiveSync. No obstante, se recomienda deshabilitar la autenticación básica salvo que también implemente SSL. Cuando use autenticación básica por SSL, el nombre de usuario y la contraseña se continúan enviando en texto sin formato, pero el canal de comunicación se cifra.
Autenticación basada en certificados
La autenticación basada en certificados usa un certificado digital para comprobar una identidad. Se proporcionan otras credenciales, además del nombre de usuario y la contraseña. Estas prueban la identidad del usuario que está intentando tener acceso a los recursos de buzón que se almacenan en el servidor de Exchange 2010. Un certificado digital está formado por dos componentes: la clave privada que se almacena en el dispositivo y la clave pública que está instalada en el servidor. Si configura Exchange 2010 para que requiera autenticación basada en certificados para Exchange ActiveSync, sólo los dispositivos que cumplan con los siguientes criterios se pueden sincronizar con Exchange 2010:
El dispositivo tiene un certificado de cliente válido instalado que se creó para la autenticación del usuario.
El dispositivo tiene un certificado raíz de confianza para el servidor al que el usuario se conecta para establecer la conexión SSL.
La implementación de la autenticación basada en certificados evita que los usuarios que sólo tienen un nombre de usuario y una contraseña se sincronicen con Exchange 2010. Como nivel de seguridad adicional, el certificado de cliente para la autenticación solamente puede instalarse cuando el dispositivo está conectado a un equipo unido a un dominio a través de Desktop ActiveSync 4.5 o una versión posterior en Windows XP o del centro de dispositivos de Windows Mobile en Windows Vista o Windows 7.
Sistemas de autenticación basados en testigos
Un sistema de autenticación basado en testigos es un sistema de autenticación de dos factores. La autenticación en dos fases se basa en información que conoce el usuario, como su contraseña, y un dispositivo externo, normalmente en forma de tarjeta de crédito o de llavero electrónico, que el usuario lleva consigo. Cada dispositivo tiene un número de serie exclusivo. Además de los testigos de hardware, algunos proveedores ofrecen testigos basados en software que se pueden ejecutar en dispositivos móviles.
Los tokens funcionan mostrando un número único, normalmente de seis dígitos, que cambia cada 60 segundos. Cuando se emite un token para un usuario, se sincroniza con el software del servidor. Para autenticarse, el usuario escribe su nombre de usuario, su contraseña y el número que se visualiza actualmente en el token. Algunos sistemas de autenticación basados en testigos también requieren que el usuario escriba un NIP.
La autenticación basada en testigos es una forma de autenticación eficaz. El inconveniente de la autenticación basada en tokens es que debe instalar software de servidor de autenticación e implementar el software de autenticación en todos los equipos o dispositivos móviles del usuario. También existe el riesgo de que el usuario pierda el dispositivo externo. Puede ser costoso, debido a la necesidad de sustituir los dispositivos externos extraviados. No obstante, el dispositivo no sirve a un tercero sin la información de autenticación del usuario original.
Varias empresas crean sistemas de autenticación basada en tokens. Una empresa es RSA. Su producto, SecurID, está disponible en diversas formas, incluido el llavero electrónico o la tarjeta de crédito. Un código de autenticación de una vez se emite a través del testigo. Todos los códigos de autenticación son válidos durante 60 segundos. La mayoría de testigos también tienen un indicador de expiración en el dispositivo, por ejemplo, una serie de puntos que desaparecen a medida que transcurre el tiempo restante del código. Esto evita que el usuario escriba el código correcto y este caduque antes de que se complete el proceso de autenticación. Una vez finalizada la autenticación, el usuario no tiene que autenticarse con un código nuevo, salvo que cierre la sesión por elección o porque se agota el tiempo de espera del dispositivo por falta de actividad. Para obtener más información acerca de cómo configurar un sistema de autenticación basado en testigos, consulte la documentación para el sistema particular.
© 2010 Microsoft Corporation. Reservados todos los derechos.