Configuration de l'authentification pour Exchange ActiveSync

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-04-06

L'authentification est le processus par lequel un client et un serveur vérifient leurs identités pour la transmission de données. Dans Microsoft Exchange Server 2007, l'authentification permet de déterminer si un utilisateur ou un client souhaitant communiquer avec le serveur Exchange est bien ce qu'il prétend être. L'authentification permet de vérifier qu'un périphérique appartient à un individu spécifique ou qu'un individu spécifique tente de se connecter à Microsoft Office Outlook Web Access.

Lorsque vous installez Exchange 2007 et le rôle serveur d'accès au client, des répertoires virtuels sont configurés pour plusieurs services. Ces services incluent Outlook Web Access, le service de de disponibilité, la messagerie unifiée et Microsoft  Exchange ActiveSync. Par défaut, chaque répertoire virtuel est configuré pour utiliser une méthode d'authentification. Pour Exchange ActiveSync, le répertoire virtuel est configuré pour utiliser l'authentification de base et SSL (Secure Sockets Layer). Vous pouvez modifier la méthode d'authentification de votre serveur Exchange ActiveSync en modifiant la méthode d'authentification dans le répertoire virtuel Exchange ActiveSync.

Cette rubrique fournit une vue d’ensemble des méthodes d'authentification disponibles pour votre serveur Exchange ActiveSync. Pour Exchange ActiveSync, le client correspond au périphérique physique permettant d'effectuer une synchronisation avec le serveur Exchange 2007.

Choix d'une méthode d'authentification

Vous avez le choix entre trois principaux types d'authentification pour Exchange ActiveSync : l'authentification de base, l'authentification basée sur des certificats et l'authentification basée sur des jetons. Lorsque vous installez le rôle serveur d'accès au client sur un ordinateur exécutant Exchange 2007, Exchange ActiveSync est configuré pour utiliser une authentification de base avec SSL (Secure Sockets Layer). Pour établir la connexion SSL, l'authentification basée sur des certificats requiert qu'un certificat client valide créé pour l'authentification de l'utilisateur soit installé sur le périphérique mobile. En outre, ce dernier doit disposer d'une copie du certificat racine approuvé du serveur. Si vous optez pour une authentification basée sur des jetons, vous devez demander l'assistance du fournisseur de jeton pour la configuration.

Authentification de base

L'authentification de base est la méthode d'authentification la plus simple. Avec l'authentification de base, le serveur demande au client de fournir un nom d'utilisateur et un mot de passe. Ces nom et mot de passe de l’utilisateur sont envoyés en texte clair au serveur via Internet. Le serveur vérifie que les nom et mot de passe de l'utilisateur fournis sont valides et autorise l'accès au client. Par défaut, ce type d'authentification est activé pour Exchange ActiveSync. Toutefois, il est recommandé de désactiver l'authentification de base, à moins de déployer également SSL (Secure Sockets Layer). Lors de l'utilisation de l'authentification de base sur SSL, les nom et mot de passe de l'utilisateur sont également envoyés sous forme de texte brut, mais le canal de communication est chiffré.

Authentification basée sur des certificats

L'authentification basée sur des certificats utilise un certificat numérique pour vérifier une identité. L'authentification basée sur des certificats fournit d'autres informations d'identification, en plus des nom et mot de passé de l'utilisateur, ce qui permet de prouver l'identité de l'utilisateur qui tente d'accéder aux ressources de boîtes aux lettres stockées sur le serveur Exchange 2007. Un certificat numérique est constitué de deux composants : la clé privée stockée sur le périphérique et la clé publique installée sur le serveur. Si vous configurez Exchange 2007 pour demander une authentification basée sur des certificats pour Exchange ActiveSync, seuls les périphériques répondant aux critères suivants peuvent effectuer une synchronisation avec Exchange 2007 :

  • Le périphérique possède un certificat client installé valide créé aux fins d'authentification des utilisateurs.

  • Le périphérique possède un certificat racine approuvé pour le serveur auquel il se connecte pour établir la connexion SSL.

Le déploiement d'une authentification basée sur des certificats empêche les utilisateurs possédant uniquement un nom et un mot de passe d'effectuer une synchronisation avec Exchange 2007. Un niveau de protection supplémentaire consiste à installer le certificat client pour l'authentification uniquement lorsque le périphérique est connecté à un ordinateur appartenant au domaine via Desktop ActiveSync 4.5 ou une version ultérieure dans Microsoft Windows XP ou via le Centre de périphériques mobiles Windows dans Microsoft Windows Vista.

Systèmes d'authentification basés sur des jetons

Un système d'authentification basé sur des jetons est un système d'authentification à deux facteurs. Une authentification à deux facteurs est basée sur des informations connues par l'utilisateur, par exemple un mot de passe, ainsi que sur un périphérique externe, généralement une carte de crédit ou un porte-clé qu'un utilisateur peut garder avec lui. Chaque périphérique comporte un numéro de série unique. En plus de jetons matériels, certains fournisseurs offrent des jetons logiciels fonctionnant sur des périphériques mobiles.

Les jetons affichent un numéro unique, généralement composé de six chiffres, qui change toutes les 60 secondes. Lorsqu'un jeton est communiqué à un utilisateur, il est synchronisé avec le logiciel du serveur. Pour s'authentifier, l'utilisateur entre son nom, son mot de passe et le numéro affiché sur le jeton. Avec certains systèmes d'authentification basés sur des jetons, l'utilisateur doit également entrer un code confidentiel.

L'authentification basée sur des jetons est une forme d'authentification très efficace. Toutefois, elle comporte certains inconvénients, notamment si vous devez installer le logiciel du serveur d'authentification et déployer le logiciel d'authentification sur chaque ordinateur ou périphérique mobile des utilisateurs. Il se peut également que l'utilisateur perde le périphérique externe. Ceci peut avoir un coût financier important en raison de l'obligation de remplacement des périphériques externes perdus. Toutefois, le périphérique ne sera d'aucune utilité pour un utilisateur ne possédant pas les informations d'authentification de l'utilisateur original.

Plusieurs sociétés fournissent des systèmes d'authentification basés sur des jetons. L'une d'entre elle est RSA. Leur produit, SecurID, est disponible sous plusieurs formes, notamment un porte-clé et une carte de crédit. Un code d'authentification unique est fourni par le périphérique d'authentification. Chaque code d'authentification est valide pendant 60 secondes. La plupart des jetons ont un indicateur d'expiration sur le périphérique, par exemple, une série de points qui disparaissent au fur et à mesure que le temps imparti au code passe. Cela empêche l'utilisateur d'entrer un code correct si celui-ci doit expirer avant la fin du processus d'authentification. À la fin de l'authentification, l'utilisateur n'est pas obligé de s'authentifier avec un nouveau code, sauf en cas de déconnexion, que celle-ci soit volontaire ou fasse suite à l'arrêt du périphérique après une période d'inactivité. Pour plus d'informations sur la configuration d'une authentification basée sur des jetons, consultez la documentation spécifique au système.

Pour plus d'informations

Pour plus d'informations sur la configuration de l'authentification pour Exchange ActiveSync, consultez les rubriques suivantes :