Scelta di un metodo di autenticazione per ActiveSync
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-03-20
L'autenticazione è il processo con cui un client e un server verificano le rispettive identità per la trasmissione di dati. In Exchange 2007, l'autenticazione viene utilizzata per determinare se l'identità di un utente o di un client che desidera comunicare con il server di Exchange corrisponde a quella dichiarata. È possibile utilizzare l'autenticazione per verificare che un dispositivo appartenga a un particolare individuo o che un particolare individuo stia tentando di accedere a Office Outlook Web Access.
Quando si installano Microsoft Exchange Server 2007 e il ruolo del server Accesso client, vengono configurate directory virtuali per numerosi dispositivi, inclusi Outlook Web Access, il Servizio Disponibilità, la messaggistica unificata e Microsoft Exchange ActiveSync. Per impostazione predefinita, ciascuna directory virtuale è configurata per l'utilizzo di un metodo di autenticazione. La directory virtuale di Exchange ActiveSync è configurata per l'utilizzo dell'autenticazione di base e SSL (Secure Sockets Layer). È possibile modificare il metodo di autenticazione per il server di Exchange ActiveSync modificando il metodo di autenticazione nella directory virtuale di Exchange ActiveSync.
In questo argomento viene fornita una panoramica dei metodi di autenticazione disponibili per il server Exchange ActiveSync. In Exchange ActiveSync, il client è il dispositivo fisico utilizzato per la sincronizzazione con il server di Exchange 2007.
Autenticazione di base
L'autenticazione di base è il metodo di autenticazione più semplice. Nell'autenticazione di base il server richiede al client di fornire un nome utente e la password. Il nome utente e la password vengono inviati via Internet al server come testo non crittografato. Il server verifica che il nome utente e la password forniti siano validi e concede l'accesso al client. Per impostazione predefinita, questo tipo di autenticazione è abilitata in Exchange ActiveSync. Tuttavia è consigliabile disabilitare l'autenticazione di base a meno che non sia anche distribuito Secure Sockets Layer (SSL). Anche quando si utilizza l'autenticazione di base su SSL, il nome utente e la password vengono inviati come testo normale, ma il canale di comunicazione è crittografato.
Autenticazione basata sui certificati
L'autenticazione basata sui certificati utilizza un certificato digitale per verificare un'identità. L'autenticazione basata sui certificati fornisce un altro tipo di credenziali, in aggiunta al nome utente e alla password, che dimostrano l'identità dell'utente che sta tentando di accedere alle risorse della cassetta postale archiviate nel server di Exchange 2007. Un certificato digitale è costituito da due componenti: la chiave privata archiviata nel dispositivo e la chiave pubblica installata nel server. Se si configura Exchange 2007 in modo che venga richiesta l'autenticazione basata sui certificati per Exchange ActiveSync, possono eseguire la sincronizzazione con Exchange 2007 solo i dispositivi che soddisfano i seguenti criteri:
Nel dispositivo è installato un certificato client valido creato per l'autenticazione utente.
Il dispositivo dispone di un certificato radice attendibile per il server con il quale si connette per stabilire la connessione SSL.
La distribuzione dell'autenticazione basata sui certificati impedisce agli utenti dotati solo del nome utente e della password di eseguire la sincronizzazione con Exchange 2007. Come ulteriore livello di protezione, il certificato client per l'autenticazione può essere installato solo quando il dispositivo è connesso a un computer appartenente al dominio tramite Desktop ActiveSync 4.5 o una versione successiva in Windows XP o tramite il Centro gestione dispositivi Windows Mobile in Windows Vista.
Sistemi di autenticazione basati su token
Un sistema di autenticazione basato su token è un sistema di autenticazione a due fattori. L'autenticazione a due fattori si basa su informazioni note all'utente, ad esempio la sua password, e un dispositivo esterno, generalmente simile a una carta di credito o a un portachiavi, che l'utente può portare con sé. Ciascun dispositivo è dotato di un numero di serie univoco. In aggiunta ai token hardware, alcuni fornitori offrono token software che è possibile eseguire sui dispositivi mobili.
Sui token viene visualizzato un numero univoco, generalmente a 6 cifre, che viene modificato ogni 60 secondi. Il token viene sincronizzato con il software del server quando viene rilasciato a un utente. Per effettuare l'autenticazione, l'utente immette il proprio nome utente, la password e il numero visualizzato sul token in quel momento. In alcuni sistemi di autenticazione basati su token all'utente viene inoltre richiesto di immettere un PIN.
L'autenticazione basata su token è un metodo di autenticazione complessa. Lo svantaggio dell'autenticazione basata su token è rappresentato dal fatto che occorre installare il software di autenticazione del server e distribuire il software di autenticazione su ciascun computer e dispositivo mobile dell'utente. Esiste anche il rischio che l'utente perda il dispositivo esterno. Ciò può risultare finanziariamente costoso dal momento che comporta la sostituzione dei dispositivi esterni. Tuttavia, il dispositivo non può essere utilizzato da terze parti senza le informazioni di autenticazione originali dell'utente.
Numerose società rilasciano sistemi di autenticazione basati su token, tra le quali figura RSA. Il loro prodotto, SecurID, è disponibile in vari formati, inclusi i formati portachiavi e carta di credito. Sul token viene visualizzato un codice di autenticazione monouso. Ciascun codice di autenticazione è valido per 60 secondi. La maggior parte dei token dispone inoltre di un indicatore di scadenza sul dispositivo, ad esempio una serie di puntini che scompaiono man mano che il tempo rimanente di validità del codice si riduce. Ciò evita che l'utente immetta il codice che, sebbene corretto, scadrebbe prima del completamento del processo di autenticazione. Una volta completata l'autenticazione, non è necessario che l'utente effettui l'autenticazione con un nuovo codice a meno non venga disconnesso, per scelta o perché il dispositivo ha superato il tempo massimo di inattività. Per ulteriori informazioni su come configurare un sistema di autenticazione basato su token, vedere la documentazione relativa al sistema specifico.
Ulteriori informazioni
Per ulteriori informazioni sull'autenticazione e la protezione di Exchange ActiveSync, vedere i seguenti argomenti: