Choix d'une méthode d'authentification pour ActiveSync
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-03-20
L'authentification est le processus par lequel un client et un serveur vérifient leur identité pour la transmission de données. Dans Exchange 2007, l'authentification permet de déterminer si un utilisateur ou un client souhaitant communiquer avec le serveur Exchange est ce qu'il prétend être. L'authentification permet de vérifier qu'un périphérique correspond à un individu spécifique ou qu'un individu spécifique tente de se connecter au Office Outlook Web Access.
Lorsque vous installez Microsoft Exchange Server 2007 et le rôle serveur d'accès au client, des répertoires virtuels sont configurés pour plusieurs services. Ces services incluent Outlook Web Access, le service de de disponibilité, la messagerie unifiée et Microsoft Exchange ActiveSync. Par défaut, chaque répertoire virtuel est configuré pour utiliser une méthode d'authentification. Pour Exchange ActiveSync, le répertoire virtuel est configuré pour utiliser l'authentification de base et SSL (Secure Sockets Layer). Vous pouvez modifier la méthode d'authentification de votre serveur Exchange ActiveSync en modifiant la méthode d'authentification dans le répertoire virtuel Exchange ActiveSync.
Cette rubrique fournit une vue d’ensemble des méthodes d'authentification disponibles pour votre serveur Exchange ActiveSync. Pour Exchange ActiveSync, le client correspond au périphérique physique permettant d'effectuer une synchronisation avec le serveur Exchange 2007.
Authentification de base
L'authentification de base est la méthode d'authentification la plus simple. Avec l'authentification de base, le serveur demande au client de fournir un nom d'utilisateur et un mot de passe. Ces nom et mot de passe de l’utilisateur sont envoyés en texte clair au serveur via Internet. Le serveur vérifie que les nom et mot de passe de l'utilisateur fournis sont valides et autorise l'accès au client. Par défaut, ce type d'authentification est activé pour Exchange ActiveSync. Toutefois, il est recommandé de désactiver l'authentification de base, à moins de déployer également SSL (Secure Sockets Layer). Lors de l'utilisation de l'authentification de base sur SSL, les nom et mot de passe de l'utilisateur sont également envoyés sous forme de texte brut, mais le canal de communication est chiffré.
Authentification basée sur des certificats
L'authentification basée sur des certificats utilise un certificat numérique pour vérifier une identité. L'authentification basée sur des certificats fournit une autre forme d'informations d'identification, en plus des nom et mot de passe de l'utilisateur, ce qui permet de prouver l'identité de l'utilisateur qui tente d'accéder aux ressources de boîtes aux lettres stockées dans le serveur Exchange 2007. Un certificat numérique est constitué de deux composants : la clé privée stockée dans le périphérique et la clé publique installée sur le serveur. Si vous configurez Exchange 2007 pour demander une authentification basée sur des certificats pour Exchange ActiveSync, seuls les périphériques répondant aux critères suivants peuvent effectuer une synchronisation avec Exchange 2007 :
Le périphérique possède un certificat client installé valide créé aux fins d'authentification des utilisateurs.
Le périphérique possède un certificat racine approuvé pour le serveur auquel il se connecte pour établir la connexion SSL.
Le déploiement d'une authentification basée sur des certificats empêche les utilisateurs possédant uniquement un nom et un mot de passe d'effectuer une synchronisation avec Exchange 2007. Un niveau de protection supplémentaire consiste à installer le certificat client pour l'authentification uniquement lorsque le périphérique est connecté à un ordinateur appartenant au domaine via Desktop ActiveSync 4.5 ou une version ultérieure dans Windows XP ou via le Centre de périphériques mobiles Windows dans Windows Vista.
Systèmes d'authentification basés sur des jetons
Un système d'authentification basé sur des jetons est un système d'authentification à deux facteurs. Une authentification à deux facteurs est basée sur des informations connues par l'utilisateur, par exemple un mot de passe, ainsi que sur un périphérique externe, généralement une carte de crédit ou un porte-clé qu'un utilisateur peut garder avec lui. Chaque périphérique comporte un numéro de série unique. En plus de jetons matériels, certains fournisseurs offrent des jetons logiciels fonctionnant sur des périphériques mobiles.
Les jetons affichent un numéro unique, généralement composé de six chiffres, qui change toutes les 60 secondes. Lorsqu'un jeton est communiqué à un utilisateur, il est synchronisé avec le logiciel du serveur. Pour s'authentifier, l'utilisateur entre son nom, son mot de passe et le numéro affiché sur le jeton. Avec certains systèmes d'authentification basés sur des jetons, l'utilisateur doit également entrer un code confidentiel.
L'authentification basée sur des jetons est une forme d'authentification très efficace. Toutefois, elle comporte certains inconvénients, notamment si vous devez installer le logiciel du serveur d'authentification et déployer le logiciel d'authentification sur chaque ordinateur ou périphérique mobile des utilisateurs. Il se peut également que l'utilisateur perde le périphérique externe. Ceci peut avoir un coût financier important en raison de l'obligation de remplacement des périphériques externes perdus. Toutefois, le périphérique ne sera d'aucune utilité pour un utilisateur ne possédant pas les informations d'authentification de l'utilisateur original.
Plusieurs sociétés fournissent des systèmes d'authentification basés sur des jetons. L'une d'entre elle est RSA. Leur produit, SecurID, est disponible sous plusieurs formes, notamment un porte-clé et un formulaire de carte de crédit. Le jeton fournit un code d'authentification à usage unique. Chaque code d'authentification est valide pendant 60 secondes. La plupart des jetons ont un indicateur d'expiration sur le périphérique, par exemple, une série de points qui disparaissent au fur et à mesure que le temps imparti au code passe. Cela empêche l'utilisateur d'entrer un code correct si celui-ci doit expirer avant la fin du processus d'authentification. À la fin de l'authentification, l'utilisateur n'est pas obligé de s'authentifier avec un nouveau code, sauf en cas de déconnexion, que celle-ci soit volontaire fasse suite à l'arrêt du périphérique après une période d'inactivité. Pour plus d'informations sur la configuration d'une authentification basée sur des jetons, consultez la documentation spécifique au système.
Pour plus d'informations
Pour plus d'informations sur l'authentification et la sécurité Exchange ActiveSync, consultez les rubriques suivantes :