Configuration de l'authentification pour Outlook Web Access
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-04-10
Cette rubrique décrit les types d'authentification disponibles pour Microsoft Office Outlook Web Access dans Microsoft Exchange Server 2007. La méthode d'authentification optimale pour votre organisation dépend de ses besoins en matière de sécurité. Par défaut, Outlook Web Access utilise une authentification basée sur des formulaires et est configuré pour utiliser un chiffrement SSL (Secure Sockets Layer).
Notes
Les serveurs principaux Microsoft Exchange Server 2003 prennent en charge l'authentification basée sur des formulaires, de base, Windows intégrée et Digest. Les serveurs frontaux Exchange Server 2003 ne prennent pas en charge l'authentification Windows intégrée ou Digest.
Authentification basée sur des formulaires
L'authentification basée sur des formulaires active une page d'ouverture de session pour Outlook Web Access, qui utilise un cookie pour stocker les informations d'identification d'ouverture de session d'un utilisateur dans le navigateur Internet. Le suivi de l'utilisation de ce cookie permet au serveur Exchange de surveiller l'activité de sessions Outlook Web Access sur des ordinateurs publics et privés. Si une session reste inactive trop longtemps, le serveur bloque l'accès jusqu'à ce que l'utilisateur s'authentifie de nouveau.
La première fois que les nom et mot de passe de l'utilisateur sont envoyés au serveur d'accès au client pour authentifier une session Outlook Web Access, un cookie chiffré est créé, qui est utilisé pour suivre l'activité de l'utilisateur. Lorsque l'utilisateur ferme le navigateur Internet ou clique sur Fermer la session pour se déconnecter de la session Outlook Web Access, le cookie est effacé. Les nom et mot de passe de l'utilisateur sont envoyés au serveur d'accès au client uniquement pour l'ouverture de session initiale de l'utilisateur. Une fois l'ouverture de session initiale terminée, seul le cookie est utilisé pour l'authentification entre l'ordinateur client et le serveur d'accès au client.
Pour plus d'informations sur l'authentification basée sur des formulaires et sa configuration, consultez la rubrique :
Procédure de configuration d'une authentification basée sur des formulaires pour Outlook Web Access
Procédure de configuration d'une authentification basée sur des formulaires pour Outlook Web Access
Définition de la valeur du délai d'expiration des cookies
Le délai d'expiration des cookies est défini sur la base du choix de l'utilisateur entre l'option Cet ordinateur est public ou partagé et l'option Cet ordinateur est privé dans la page d'ouverture de session Outlook Web Access. Par défaut, le cookie sur l'ordinateur expire automatiquement et l'utilisateur est déconnecté après qu'il a cessé d'utiliser Outlook Web Access pendant 15 minutes s'il a sélectionné l'option d'ordinateur public et après qu'il a cessé d'utiliser Outlook Web Access pendant huit heures s'il a sélectionné l'option d'ordinateur privé.
Le délai d'expiration automatique est utile car il permet de protéger le compte d'un utilisateur contre les accès non autorisés. Pour satisfaire aux spécifications de sécurité de votre organisation, vous pouvez configurer les délais d'expiration après inactivité sur le serveur d'accès au client Exchange.
Bien que le délai d'expiration automatique réduise sensiblement les risques d'accès non autorisé, il n'élimine pas complètement la possibilité qu'un utilisateur non autorisé accède à un compte Outlook Web Access si une session continue à s'exécuter sur un ordinateur public. C'est pourquoi, vous devez recommander aux utilisateurs de prendre des précautions pour éviter les risques, par exemple en leur demandant de se déconnecter d'Outlook Web Access et de fermer le navigateur Web quand ils ont fini d'utiliser Outlook Web Access.
Pour plus d'informations sur la configuration du délai d'expiration du cookie pour des ordinateurs publics ou privés, consultez la rubrique :
Méthodes d'authentification standard
Cette rubrique décrit les méthodes d'authentification standard permettant de sécuriser vos serveurs d'accès au client Exchange 2007 pour Outlook Web Access.
Dans Exchange 2007, les serveurs d'accès au client prennent en charge l'authentification Windows intégrée et l'authentification Digest HTTP 1.1 pour les répertoires virtuels Exchange 2007. Les répertoires virtuels Exchange 2000 et Exchange 2003 d'un serveur exécutant uniquement le rôle serveur d'accès au client prennent uniquement en charge l'authentification de base et l'authentification basée sur des formulaires.
Pour plus d'informations sur les méthodes d'authentification standard, consultez la rubrique Configuration des méthodes d'authentification standard pour Outlook Web Access.
Authentification de base
L'authentification de base est un mécanisme d'authentification simple défini par la spécification HTTP qui code le nom et le mot de passe de connexion d'un utilisateur avant d'envoyer les informations d'identification de l'utilisateur au serveur.
L'authentification de base ne prend pas en charge une authentification unique. L'authentification Windows Server 2003 permet une authentification unique pour toutes les ressources réseau. Avec une authentification unique, un utilisateur peut ouvrir une session une fois sur le domaine en utilisant un seul mot de passe ou une carte à puce et s'identifie sur un ordinateur du domaine.
L'authentification de base est prise en charge par tous les navigateurs Web, mais ne constitue pas un système sécurisé même si vous exigez le chiffrement SSL (Secure Sockets Layer).
Pour plus d'informations sur la configuration de l'authentification de base sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification de base.
Authentification Digest
L'authentification Digest transmet les mots de passe sur le réseau en tant que valeur de hachage pour plus de sécurité. L'authentification Digest peut uniquement être utilisée dans des domaines Microsoft Windows Server 2003 et Microsoft Windows 2000 Server pour les utilisateurs disposant d'un compte stocké dans le service d'annuaire Active Directory. Pour plus d'informations sur l'authentification Digest, consultez la documentation Windows Server 2003 et du Gestionnaire des services Internet (IIS).
L’authentification Digest n'est disponible que pour les répertoires virtuels d’Exchange 2007.
.gif "important") Important : |
|---|
| Si vous utilisez une authentification de base ou Digest, lorsqu'un utilisateur se sert d'une borne d'accès à Internet, la mise en cache des informations d'identification peut poser un problème de sécurité si l'utilisateur ne ferme pas le navigateur et mettre fin au processus entre les sessions. Ce risque se produit parce que les informations d'identification d'un utilisateur restent dans le cache lorsque l'utilisateur suivant accède à la borne d'accès à Internet. Pour activer Outlook Web Access sur une borne d'accès à Internet, assurez-vous que l'utilisateur peut fermer le navigateur entre les sessions et mettre fin aux processus du navigateur. Autrement, envisagez d'utiliser un produit tiers qui intègre l'authentification à deux facteurs où l'utilisateur doit présenter un jeton physique avec un mot de passe pour utiliser Outlook Web Access sur une borne. |
Pour plus d'informations sur la configuration de l'authentification Digest sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification Digest.
Authentification Windows intégrée
L'authentification Windows intégrée requiert que les utilisateurs disposent d'un nom de compte et d'un mot de passe d'utilisateur Windows 2000 Server ou Windows Server 2003 valides pour accéder aux informations. Les utilisateurs ayant ouvert une session sur le réseau local ne sont pas invités à entrer leurs noms et mots de passe d'utilisateur. En revanche, le serveur négocie avec les packages de sécurité Windows installés sur l'ordinateur client. Cette méthode permet au serveur d'authentifier des utilisateurs sans leur demander d'informations de connexion. Les informations d'identification sont protégées mais toute autre communication est envoyée en texte brut à défaut d'utilisation de SSL.
Microsoft Internet Explorer permet une authentification unique pour les applications Web contenant des composants WebPart Outlook Web Access si le serveur auquel les utilisateurs accèdent dispose d'une authentification Windows intégrée activée. Les utilisateurs ne doivent entrer leurs informations d'identification qu'une seule fois pour chaque session de navigateur. Toutefois, elles sont mises en cache dans le processus de navigateur.
Sur un serveur Exchange 2007 sur lequel seul le rôle serveur d'accès au client est installé, une authentification Windows intégrée ne peut être utilisée qu'avec des répertoires virtuels Exchange 2007. Sur un serveur sur lequel les rrôles serveur d'accès au client et serveur de boîtes aux lettres sont installés, vous pouvez utiliser une authentification Windows intégrée avec tout répertoire virtuel. Pour plus d'informations sur l'authentification Windows intégrée, consultez la documentation sur Windows Server 2003.
Notes
L'authentification Windows intégrée est uniquement prise en charge sur les ordinateurs exécutant un système d'exploitation Windows et Internet Explorer. L'authentification Windows intégrée peut fonctionner avec d'autres navigateurs Web s'ils ont été configurés pour transmettre les informations d'identification d'ouverture de session de l'utilisateur au serveur demandant l'authentification.
Pour plus d'informations sur la configuration de l'authentification Windows intégrée sur un répertoire virtuel Outlook Web Access, consultez la rubrique Procédure de configuration de l'authentification intégrée Windows.
Pour plus d'informations
- Pour plus d'informations sur la sécurisation de Outlook Web Access, consultez la rubrique Gestion de la sécurité d'Outlook Web Access.