Meccanismi di autenticazione per HTTP
Ultima modifica dell'argomento: 2005-05-24
Il server front-end gestisce l'autenticazione in due modi: il server front-end autentica l'utente (utilizzando l'autenticazione di base o basata su form) oppure inoltra la richiesta al server back-end in modo anonimo. In un modo o nell'altro, il server back-end esegue anche l'autenticazione.
Nota
L'autenticazione anonima sul server front-end è richiesta quando esso è collocato in una rete perimetrale e non può utilizzare le chiamate di procedura remota. Questo non è uno scenario consigliato in quanto l'accesso utente non può essere bloccato dal server front-end. Per ulteriori informazioni sull'autenticazione pass-through, vedere "Autenticazione pass-through" più avanti in questo argomento.
Importante
Si consiglia di utilizzare la doppia autenticazione, in cui per autenticare gli utenti si configurano i server front-end e back-end. Per ulteriori informazioni, vedere "Doppia autenticazione" più avanti in questo argomento.
Doppia autenticazione
Per impostazione predefinita, la doppia autenticazione si utilizza con i server front-end e back-end. Nella doppia autenticazione, sia i server front-end che back-end sono configurati per autenticare gli utenti. È necessario configurare i server front-end per l'esecuzione dell'autenticazione, ove possibile. Se non è possibile abilitare l'autenticazione sul server front-end, l'accesso implicito non funziona e non è possibile effettuare il bilanciamento del carico delle richieste di cartelle pubbliche. È possibile accedere utilizzando l'accesso esplicito, indipendentemente dal modo in cui è configurata l'autenticazione.
Nota
Exchange si basa su IIS per autenticare le richieste HTTP. IIS utilizza le chiamate RPC ai server di elenchi in linea per eseguire l'autenticazione. Se le chiamate RPC non sono consentite tra il server front-end e il server di elenchi in linea, è necessario utilizzare l'autenticazione pass-through. Per ulteriori informazioni su come attivare l'autenticazione pass-through e sui rischi di tale operazione, vedere "Autenticazione pass-through" più avanti in questo argomento.
Autenticazione pass-through
Nell'autenticazione pass-through, il server front-end si configura con l'autenticazione anonima in modo da non richiedere all'utente un'intestazione di autorizzazione. Il server front-end inoltra la richiesta dell'utente al server back-end, il quale richiede l'autenticazione all'utente. La richiesta di autenticazione del server back-end e la risposta dell'utente vengono instradate inalterate tramite il server front-end.
Nota
Quando si utilizza l'autenticazione pass-through, le richieste HTTP anonime arrivano direttamente al server back-end dove vengono autenticate. L'autenticazione pass-through deve essere utilizzata solo se è assolutamente necessario. La strategia consigliata è quella di collocare un firewall avanzato nella rete perimetrale e il server front-end dietro il firewall interno, in modo che disponga dell'accesso RPC completo alla rete interna. Se si desidera collocare il server front-end nella rete perimetrale, può essere più sicuro consentire le chiamate RPC che consentire alle richieste anonime di raggiungere i server back-end, perché l'autenticazione pass-through consente alle richieste di qualsiasi origine, valida o non valida, di passare ai server back-end. Per ulteriori informazioni, vedere Scenari di distribuzione di una topologia front-end e back-end.
Quando viene utilizzata l'autenticazione pass-through, il server front-end non può bilanciare il carico delle richieste di cartelle pubbliche perché non dispone del token di autenticazione con cui eseguire un algoritmo hash. Inoltre, l'accesso implicito non funzionerà. Per accedere gli utenti devono immettere l'URL completo, incluso il proprio nome utente.
Metodi di autenticazione
Esistono diversi metodi di autenticazione per l'architettura basata su server front-end e back-end, a seconda della versione di Exchange che si utilizza. Inoltre, l'autenticazione tra il client e il server front-end include opzioni diverse, al contrario dell''autenticazione utilizzata tra i server front-end e back-end. Nelle seguenti sezioni vengono descritti i due metodi di autenticazione.
Autenticazione dal client al server front-end
Nota
I server front-end non supportano l'autenticazione integrata di Windows (che include sia l'autenticazione NTLM che Kerberos) o l'autenticazione HTTP 1.1 Digest.
Autenticazione di base
L'autenticazione di base è un meccanismo di autenticazione semplice definito dalle specifiche HTTP che codifica leggermente il nome dell'utente e la password prima di inviarli al server. Per ottenere la protezione reale della password in una topologia front-end e back-end, è necessario utilizzare la crittografia SSL tra il client e il server front-end.
Nota
L'autenticazione di base è supportata da Exchange 2000 Server ed Exchange Server 2003.
L'autenticazione di base non supporta il single sign-on. Il single sign-on è utilizzato quando l'utente accede a un computer che esegue Windows, esegue l'autenticazione in un dominio e quindi può accedere a tutte le risorse e le applicazioni nel dominio senza immettere nuovamente le credenziali. Microsoft Internet Explorer versione 4.0 e successive consentono il single sign-on per le applicazioni Web, incluso Outlook Web Access, se nel server a cui si accede è abilitata l'autenticazione integrata di Windows. Poiché i server front-end non supportano l'autenticazione integrata di Windows, quando gli utenti accedono alle applicazioni HTTP il server front-end richiede sempre l'autenticazione ed è necessario che gli utenti immettano nuovamente le proprie credenziali anche se hanno già utilizzato Windows per accedere. Gli utenti devono tuttavia immettere le credenziali solo una volta per sessione di browser, perché le credenziali vengono memorizzate nella cache nel processo di browser.
Importante
Quando si utilizza un chiosco multimediale, tenere presente che la memorizzazione delle credenziali nella cache può provocare un rischio di protezione se non si può chiudere il browser e se non si può terminare il processo di browser tra le sessioni. Questo rischio si verifica perché le credenziali dell'utente rimangono nella cache quando l'utente successivo accede al chiosco multimediale. Per abilitare l'utilizzo di Outlook Web Access in un chiosco multimediale, assicurarsi che sia possibile chiudere il browser tra le sessioni e terminare i processi di browser. Altrimenti, considerare l'utilizzo di un prodotto di terze parti che incorpora l'autenticazione a due fattori in cui l'utente deve presentare un token fisico con una password per utilizzare Outlook Web Access in un chiosco multimediale.
Autenticazione basata su form
Nota
L'autenticazione basata su form è supportata solo da Exchange Server 2003. Tuttavia, è possibile utilizzare un front-end Exchange 2003 Server con un back-end Exchange 2000 Server e trarre vantaggio dall'autenticazione basata su form.
L'autenticazione basata su form utilizza un cookie per identificare l'utente quando l'utente ha eseguito l'accesso iniziale. La verifica dell'utilizzo di questo cookie consente a Exchange di eseguire il timeout delle sessioni inattive. Il nome e la password iniziali dell'utente vengono trasmessi comunque non crittografati, in modo simile all'autenticazione di base. Per questo motivo la crittografia SSL deve essere utilizzata con l'autenticazione basata su form. Per informazioni su come configurare l'autenticazione basata su form, vedere la sezione intitolata "Configurazione dell'autenticazione basata su form per Exchange Server 2003" in Configurazione del server front-end per l'utilizzo di un dominio predefinito.
Autenticazione dal front-end al back-end
È necessario che il server front-end invii le credenziali utente al server back-end insieme alle richieste Web in modo da consentire l'accesso ai dati da parte del server back-end.
Autenticazione integrata
I server front-end di Exchange 2003 utilizzeranno l'autenticazione Kerberos per proteggere le credenziali utente tra i server front-end e back-end. Se l'autenticazione Kerberos non riesce, verrà registrato un evento di avviso e il server front-end tenterà invece l'autenticazione NTLM. Se NTLM non riesce, verrà registrato un errore e verrà utilizzata l'autenticazione di base.
Per consentire al server front-end di utilizzare l'autenticazione integrata, i server virtuali back-end devono essere configurati per consentire l'autenticazione integrata (lo sono per impostazione predefinita).
Nota
I server back-end di Exchange 2003 e di Exchange 2000 supportano l'autenticazione integrata da un server front-end di Exchange 2003.
Autenticazione di base
Il front-end invia tramite proxy le credenziali di autenticazione di base ai server back-end. Per proteggere queste informazioni, si consiglia di utilizzare IPSec tra i server front-end e back-end.
Nota
L'autenticazione di base tra i server front-end e back-end è supportata dai server front-end di Exchange 2000 e di Exchange 2003.
Informazioni sull'accesso utente
Quando si esegue l'autenticazione su un server front-end, per impostazione predefinita l'utente deve immettere il proprio nome utente nel seguente formato: dominio\nomeutente. È possibile configurare il server front-end per l'utilizzo di un dominio predefinito cosicché gli utenti non debbano ricordare il proprio dominio.
Un'opzione aggiuntiva per l'autenticazione consiste nel configurare un nome principale utente (UPN) per gli utenti. L'UPN di un utente si imposta in genere in modo che sia analogo all'indirizzo di posta elettronica. Ciò consente agli utenti di immettere l'indirizzo UPN/di posta elettronica come nome utente. Per ulteriori informazioni, vedere Configurazione dei server front-end di Exchange.