Configuration des méthodes d'authentification standard pour Outlook Web Access

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2006-09-05

Cette rubrique décrit les méthodes d'authentification standard qui permettent de sécuriser vos ordinateurs qui exécutent Microsoft Exchange Server 2007 sur lesquels le rôle de serveur d'accès au client est installé pour Microsoft Office Outlook Web Access.

Dans Exchange 2007, les serveurs d'accès au client prennent en charge l'authentification intégrée Windows et l'authentification Digest HTTP 1.1 pour les répertoires virtuels Exchange 2007. Les répertoires virtuels Exchange 2000 et Exchange 2003 d'un serveur exécutant uniquement le rôle de serveur d'accès au client prennent uniquement en charge l'authentification de base et basée sur des formulaires.

Méthodes d'authentification standard

Cette section décrit les méthodes d'authentification standard. Les méthodes d'authentification standard incluent l'authentification de base, Digest et intégrée Windows.

Authentification de base

L'authentification de base est un mécanisme d'authentification simple défini par la spécification HTTP qui code le nom et le mot de passe de connexion d'un utilisateur avant d'envoyer les informations d'identification de l'utilisateur au serveur.

L'authentification de base ne prend pas en charge d'authentification unique. L'authentification Microsoft Windows Server 2003 permet l'authentification unique sur toutes les ressources du réseau. Avec une authentification unique, un utilisateur peut ouvrir une session une fois sur le domaine en utilisant un seul mot de passe ou une carte à puce et s'identifie sur un ordinateur du domaine.

L'authentification de base est prise en charge par tous les navigateurs Web, mais ne constitue pas un système sécurisé même si vous exigez le chiffrement SSL (Secure Sockets Layer).

Authentification Digest

L'authentification Digest transmet les mots de passe sur le réseau en tant que valeur de hachage pour plus de sécurité. L'authentification Digest peut uniquement être utilisée dans Windows Server 2003 et les domaines Windows 2000 Server pour les utilisateurs disposant d'un compte stocké dans le service d'annuaire Active Directory. Pour plus d'informations sur l'authentification Digest, consultez la documentation Windows Server 2003 et du Gestionnaire des services Internet (IIS).

L’authentification Digest n'est disponible que sur des répertoires virtuels d’Exchange 2007.

Important :

Si vous utilisez une authentification de base ou Digest, lorsqu'un utilisateur se sert d'une borne d'accès à Internet, la mise en cache des informations d'identification peuvent poser un problème de sécurité si l'utilisateur ne peut pas fermer le navigateur et mettre fin au processus entre les sessions. Ce risque se produit parce que les informations d'identification d'un utilisateur restent dans le cache lorsque l'utilisateur suivant accède à la borne d'accès à Internet. Pour activer Outlook Web Access sur une borne d'accès à Internet, assurez-vous que l'utilisateur peut fermer le navigateur entre les sessions et mettre fin aux processus du navigateur. Autrement, envisagez d'utiliser un produit tiers qui intègre l'authentification à deux facteurs où l'utilisateur doit présenter un jeton physique avec un mot de passe pour utiliser Outlook Web Access sur la borne d'accès à Internet.

Authentification intégrée Windows

L'authentification intégrée Windows requiert que les utilisateurs disposent d'un nom de compte et d'un mot de passe d'utilisateur Windows 2000 Server ou Windows Server 2003 valides pour accéder aux informations. Les utilisateurs ayant ouvert une session sur le réseau local ne sont pas invités à entrer leurs noms et mots de passe d'utilisateur. En revanche, le serveur négocie avec les packages de sécurité Windows installés sur l'ordinateur client. Cette méthode permet au serveur d'authentifier les utilisateurs sans leur demander leurs informations d'ouverture de session. Les informations d'identification d'authentification sont protégées, mais toutes les autres communications seront envoyées en texte clair, sauf si SSL est utilisé.

Microsoft Internet Explorer permet une authentification unique pour les applications Web contenant des parties Web Outlook Web Access si le serveur auquel les utilisateurs accèdent dispose de l'authentification intégrée Windows activée. Les utilisateurs ne doivent entrer leurs informations d'identification qu'une seule fois pour chaque session de navigateur. Toutefois, elles sont mises en cache dans le processus de navigateur.

Sur un serveur Exchange 2007 sur lequel le rôle de serveur d'accès au client installé, vous ne pouvez utiliser une authentification Windows qu'avec des répertoires virtuels Exchange 2007. Sur un serveur sur lequel les rôles de serveur d'accès au client et de serveur de boîtes aux lettres sont installés, l'authentification Windows intégrée peut être utilisée avec n'importe quel répertoire virtuel. Pour plus d'informations sur l'authentification intégrée Windows, consultez la documentation de Windows Server 2003.

Pour plus d'informations

• Pour plus d'informations sur la configuration de l'authentification intégrée Windows sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification intégrée Windows.

• Pour plus d'informations sur la configuration de l'authentification Digest sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification Digest.

• Pour plus d'informations sur la configuration de l'authentification de base sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification de base.

• Pour plus d'informations sur la sécurité, consultez la rubrique Gestion de la sécurité de l'accès au client.