Configurazione dell'autenticazione per Exchange ActiveSync

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2007-04-06

L'autenticazione è il processo con cui un client e un server verificano le rispettive identità per la trasmissione di dati. In Microsoft Exchange Server 2007, l'autenticazione viene utilizzata per determinare se l'identità di un utente o di un client che desidera comunicare con il server di Exchange corrisponde a quella dichiarata. È possibile utilizzare l'autenticazione per verificare che un dispositivo appartenga a un particolare individuo o che un particolare individuo stia tentando di accedere a Microsoft Office Outlook Web Access.

Quando si installano Exchange 2007 e il ruolo del server Accesso client, vengono configurate directory virtuali per numerosi dispositivi, inclusi Outlook Web Access, il Servizio Disponibilità, la messaggistica unificata e Microsoft Exchange ActiveSync. Per impostazione predefinita, ciascuna directory virtuale è configurata per l'utilizzo di un metodo di autenticazione. La directory virtuale di Exchange ActiveSync è configurata per l'utilizzo dell'autenticazione di base e SSL (Secure Sockets Layer). È possibile modificare il metodo di autenticazione per il server di Exchange ActiveSync modificando il metodo di autenticazione nella directory virtuale di Exchange ActiveSync.

In questo argomento viene fornita una panoramica dei metodi di autenticazione disponibili per il server Exchange ActiveSync. In Exchange ActiveSync, il client è il dispositivo fisico utilizzato per la sincronizzazione con il server di Exchange 2007.

Scelta di un metodo di autenticazione

È possibile scegliere tra tre tipi di autenticazione principali per Exchange ActiveSync: Autenticazione di base, autenticazione basata sui certificati e autenticazione basata su token. Quando si installa il ruolo del server Accesso client su un computer che esegue Exchange 2007, Exchange ActiveSync viene configurato per l'utilizzo dell'autenticazione di base con Secure Sockets Layer (SSL). Per stabilire una connessione SSL, con l'autenticazione basata sui certificati è necessario che sul dispositivo mobile sia installato un certificato client valido creato per l'autenticazione utente. Inoltre il dispositivo mobile deve ottenere una copia del certificato radice attendibile dal server. Se si sceglie l'autenticazione basata su token, è necessario collaborare con il fornitore del token per la configurazione.

Autenticazione di base

L'autenticazione di base è il metodo di autenticazione più semplice. Nell'autenticazione di base il server richiede al client di fornire un nome utente e una password. Il nome utente e la password vengono inviati via Internet al server come testo non crittografato. Il server verifica che il nome utente e la password forniti siano validi e concede l'accesso al client. Per impostazione predefinita, questo tipo di autenticazione è abilitata in Exchange ActiveSync. Tuttavia è consigliabile disabilitare l'autenticazione di base a meno che non sia anche distribuito Secure Sockets Layer (SSL). Anche quando si utilizza l'autenticazione di base su SSL, il nome utente e la password vengono inviati come testo normale, ma il canale di comunicazione è crittografato.

Autenticazione basata sui certificati

L'autenticazione basata sui certificati utilizza un certificato digitale per verificare un'identità. L'autenticazione basata sui certificati fornisce altre credenziali, in aggiunta al nome utente e alla password, che dimostrano l'identità dell'utente che sta tentando di accedere alle risorse della cassetta postale archiviate nel server di Exchange 2007. Un certificato digitale è costituito da due componenti: la chiave privata archiviata nel dispositivo e la chiave pubblica installata nel server. Se si configura Exchange 2007 in modo che venga richiesta l'autenticazione basata sui certificati per Exchange ActiveSync, possono eseguire la sincronizzazione con Exchange 2007 solo i dispositivi che soddisfano i seguenti criteri:

• Nel dispositivo è installato un certificato client valido creato per l'autenticazione utente.

• Il dispositivo dispone di un certificato radice attendibile per il server con il quale si connette per stabilire la connessione SSL.

La distribuzione dell'autenticazione basata sui certificati impedisce agli utenti dotati solo del nome utente e della password di eseguire la sincronizzazione con Exchange 2007. Come ulteriore livello di protezione, il certificato client per l'autenticazione può essere installato solo quando il dispositivo è connesso a un computer appartenente al dominio tramite Desktop ActiveSync 4.5 o una versione successiva in Microsoft Windows XP o tramite il Centro gestione dispositivi Windows Mobile in Microsoft Windows Vista.

Sistemi di autenticazione basati su token

Un sistema di autenticazione basato su token è un sistema di autenticazione a due fattori. L'autenticazione a due fattori si basa su informazioni note all'utente, ad esempio la sua password, e un dispositivo esterno, generalmente simile a una carta di credito o a un portachiavi, che l'utente può portare con sé. Ciascun dispositivo è dotato di un numero di serie univoco. In aggiunta ai token hardware, alcuni fornitori offrono token software che è possibile eseguire sui dispositivi mobili.

Sui token viene visualizzato un numero univoco, generalmente a 6 cifre, che viene modificato ogni 60 secondi. Il token viene sincronizzato con il software del server quando viene rilasciato a un utente. Per effettuare l'autenticazione, l'utente immette il proprio nome utente, la password e il numero visualizzato sul token in quel momento. In alcuni sistemi di autenticazione basati su token all'utente viene inoltre richiesto di immettere un PIN.

L'autenticazione basata su token è un metodo di autenticazione complessa. Lo svantaggio dell'autenticazione basata su token è rappresentato dal fatto che occorre installare il software di autenticazione del server e distribuire il software di autenticazione su ciascun computer e dispositivo mobile dell'utente. Esiste anche il rischio che l'utente perda il dispositivo esterno. Ciò può risultare finanziariamente costoso dal momento che comporta la sostituzione dei dispositivi esterni. Tuttavia, il dispositivo non può essere utilizzato da terze parti senza le informazioni di autenticazione originali dell'utente.

Numerose società rilasciano sistemi di autenticazione basati su token, tra le quali figura RSA. Il loro prodotto, SecurID, è disponibile in vari formati, inclusi i formati portachiavi e carta di credito. Sul token viene visualizzato un codice di autenticazione monouso. Ciascun codice di autenticazione è valido per 60 secondi. La maggior parte dei token dispone inoltre di un indicatore di scadenza sul dispositivo, ad esempio una serie di puntini che scompaiono man mano che il tempo rimanente di validità del codice si riduce. Ciò evita che l'utente immetta il codice che, sebbene corretto, scadrebbe prima del completamento del processo di autenticazione. Una volta completata l'autenticazione, non è necessario che l'utente effettui l'autenticazione con un nuovo codice a meno non venga disconnesso, per scelta o perché il dispositivo ha superato il tempo massimo di inattività. Per ulteriori informazioni su come configurare un sistema di autenticazione basato su token, vedere la documentazione relativa al sistema specifico.

Ulteriori informazioni

Per ulteriori informazioni su come configurare l'autenticazione per Exchange ActiveSync, vedere i seguenti argomenti:

• Come configurare l'autenticazione di base per Exchange ActiveSync

• Come configurare l'autorizzazione basata su certificato per Exchange ActiveSync

• Come installare certificati in una periferica con tecnologia Windows Mobile

• Gestione della protezione di Exchange ActiveSync