Outlook Web Access のフォーム ベース認証の構成
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2008-11-24
ここでは、Microsoft Exchange Server 2007 の Microsoft Office Outlook Web Access のフォーム ベース認証について説明します。フォーム ベース認証によって、Cookie を使用してユーザーの暗号化されたログオン資格情報をインターネット ブラウザに格納する Outlook Web Access のログオン ページが有効になります。Cookie の使用を追跡することによって、Exchange サーバーで、公共のコンピュータやプライベートのコンピュータでの Outlook Web Access セッションのアクティビティを監視することができます。セッションの非アクティブな時間が長くなりすぎた場合は、サーバーはユーザーが再度認証するまでアクセスを禁止します。
Cookie を使用したアクセスの制御
ユーザー名とパスワードが最初にクライアント アクセス サーバーに送信され、Outlook Web Access セッションの認証が行われたときに、ユーザー アクティビティを追跡するために使用される暗号化された Cookie が作成されます。ユーザーがインターネット ブラウザを閉じるか、[ログオフ] をクリックして Outlook Web Access セッションをログオフしたときに、Cookie は消去されます。ユーザー名とパスワードは、最初のユーザー ログオンのためにのみクライアント アクセス サーバーに送信されます。最初のログオンが完了した後は、クライアント コンピュータとクライアント アクセス サーバーとの間の認証には Cookie のみが使用されます。
公共のコンピュータでの Cookie のタイムアウト値の設定
既定では、ユーザーが Outlook Web Access のログオン ページで [これは公共または共有のコンピュータです] をクリックした場合、ユーザーが Outlook Web Access を 15 分間使用しないと、コンピュータ上の Cookie は自動的に期限切れになり、ユーザーはログオフされます。
自動タイムアウトは、権限のないアクセスからユーザーのアカウントを保護する意味で重要です。非アクティブであることによるタイムアウト値を組織のセキュリティ要件に合うように、Exchange クライアント アクセス サーバー上で構成できます。
自動タイムアウトによって、権限のないアクセスによる危険性は大幅に低減されますが、公共のコンピュータ上でセッションが実行されたままである場合、権限のないユーザーが Outlook Web Access アカウントにアクセスできる可能性がなくなるわけではありません。したがって、ユーザーに対し、危険を回避するためにの予防策を講じるよう通知しておきます。たとえば、Outlook Web Access での作業が終了したら、Outlook Web Access からログオフし、Web ブラウザを閉じるよう指示します。
公共のコンピュータでの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する、公共のコンピュータにおける Cookie のタイムアウト値を設定する方法」を参照してください。
プライベートのコンピュータでの Cookie のタイムアウト値の設定
ユーザーが Outlook Web Access のログオン ページで [これは個人のコンピュータです] をクリックした場合、Exchange サーバーでは、Outlook Web Access セッションを自動的に終了するまでの非アクティブの時間を長く設定することができます。プライベートのコンピュータの場合、既定のタイムアウト値は 8 時間です。プライベートのコンピュータでの Cookie のタイムアウト オプションは、自分のコンピュータや企業ネットワーク内のコンピュータを使用している Outlook Web Access ユーザーの使い勝手を向上させることを目的としています。
[これは個人のコンピュータです] オプションを選択することに関連する危険性についてユーザーに注意を促すことが重要です。ユーザーがプライベートのコンピュータのオプションを選択するのは、そのユーザーがコンピュータを操作する唯一のユーザーであり、さらにそのコンピュータが組織のセキュリティ ポリシーに従っている場合のみに限定する必要があります。
プライベートのコンピュータでの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する、プライベートのコンピュータにおける Cookie のタイムアウト値を設定する方法」を参照してください。
ユーザー アクティビティの確認
Outlook Web Access セッションが非アクティブになってから一定期間が経過すると、クライアント アクセス サーバーは Cookie を読み取るための解読キーを破棄し、ユーザーが再び認証するまでアクセスは拒否されます。
Exchange 2007 では、以下の情報を使用してユーザー アクティビティを確認します。
クライアント コンピュータとクライアント アクセス サーバーとの間で、ユーザーによって開始されたやり取りは、アクティビティと見なされます。たとえば、ユーザーがアイテムを開いたり、送信または保存したり、フォルダやモジュールを切り替えたり、ビューや Web ブラウザのウィンドウを更新したりした場合、Exchange 2007 ではアクティビティと見なされます。
.gif "note")
注 :クライアント コンピュータとクライアント アクセス サーバーとの間で、クライアント アクセス サーバーによって自動的に生成されたやり取りは、アクティビティとは見なされません。たとえば、Outlook Web Access セッションで、クライアント アクセス サーバーによって生成された新しい電子メールの通知やアラームは、アクティビティとは見なされません。 Outlook Web Access Light では、テキストの入力以外のユーザー アクティビティがアクティビティと見なされます。Outlook Web Access Premium では、電子メール メッセージや会議出席依頼へのテキストの入力を含め、すべてのユーザー アクティビティがアクティビティと見なされます。
フォーム ベース認証で使用されるログオン プロンプトの構成
フォーム ベース認証では、ポップアップ ウィンドウの代わりに、Outlook Web Access のログオン ページが作成されます。フォーム ベース認証で表示されるログオン プロンプトのテキストを構成するには、Exchange 管理コンソールまたは Exchange 管理シェルを使用します。構成の変更によって変更できるのは、ログオン プロンプトのテキストだけです。ユーザーのログオンに必要な形式は変更されません。たとえば、フォーム ベース認証のログオン ページの構成によって、ユーザーに "ドメイン\ユーザー名" の形式でログオン情報の入力を求めることができます。ただし、ユーザーはユーザー プリンシパル名 (UPN) を入力してログオンすることもできます。
Outlook Web Access のログオン ページのフォーム ベース認証では、以下の種類のログオン プロンプトを使用できます。ユーザーにとって最もわかりやすく、使いやすいプロンプトを選択します。
- FullDomain "ドメイン\ユーザー名" という形式でのユーザーのドメインとユーザー名です。たとえば、「Contoso\Kweku」のように入力します。
- PrincipalName UPN です。UPN は 2 つの部分で構成されています。ユーザー アカウント名である UPN プレフィックスと DNS ドメイン名である UPN サフィックスです。このプレフィックスとサフィックスをアットマーク (@) でつなげたものが完全な UPN になります。たとえば、「Kweku@contoso.com」のように入力します。ユーザーは、プライマリ電子メール アドレスまたは UPN を入力することにより、Outlook Web Access にアクセスできます。
- UserName ユーザー名のみを使用します。ドメイン名は含まれません。たとえば、「Kweku」などと入力します。このログオン形式は、ドメイン名が構成済みである場合にのみ機能します。注 :
必要に応じて、Active Directory ディレクトリ サービスおよびインターネット インフォメーション サービス (IIS) を構成することによって、Outlook Web Access にログオンするときにユーザーが使用する形式を変更できます。Active Directory と IIS を使用して設定した、認証を受けるユーザーが入力できるユーザー名の形式は、前に説明した Outlook Web Access のフォーム ベース認証のプロンプトとは独立しています。
公共およびプライベートのコンピュータからのユーザー ログオンの暗号化について
公共およびプライベートのコンピュータから Outlook Web Access にログオンする場合、ユーザーのログオン資格情報を暗号化するために、6 つのハッシュ メッセージ認証コード (HMAC) が使用されます。HMAC は、クライアント アクセス サーバーで生成される 160 ビット キーです。HMAC では、ハッシュ アルゴリズムと暗号化機能を組み合わせて、ユーザーのログオン資格情報を暗号化することによって、ログオンのセキュリティが強化されます。Cookie の暗号化と解読は、同じクライアント アクセス サーバーによって実行されます。Cookie を解読するためのキーを持っているのは、認証キーを生成したクライアント アクセス サーバーだけです。
Outlook Web Access のフォーム ベース認証を使用する場合、クライアント アクセス サーバーは、公共とプライベートの各ログオンの種類について、設定された頻度で 3 つのキーのセットを順に切り替えます。これをリサイクル時間と呼びます。キーのリサイクル時間は、ログオンのタイムアウト値の半分です。たとえば、公共のコンピュータからのログオンでタイムアウト値が 15 分に設定されている場合、公開キーのリサイクル時間は 7.5 分です。
Outlook Web Access 仮想ディレクトリが開始されると、クライアント アクセス サーバーによって 6 つのログオン キーが作成されます。3 つは公共のコンピュータからのログオンに使用され、3 つはプライベートのコンピュータからのログオンに使用されます。ユーザーがログオンすると、現在のログオンの種類に応じたキーを使用して、ユーザーの認証情報が Cookie として暗号化されます。
リサイクル時間が経過すると、クライアント アクセス サーバーは次のキーに移行します。ログオンの種類に応じた 3 つのキーがすべて使用されると、クライアント アクセス サーバーは最も古いキーを削除して、新しいキーを作成します。クライアント アクセス サーバーは、各ログオンの種類について、現在のキーと最近使用された 2 つのキーの 3 つのキーを常に保持します。クライアント アクセス サーバーで Outlook Web Access が実行されている間、キーのリサイクルは継続されます。すべてのユーザーについて同じキーが使用されます。
アクティブなキーを使用して暗号化された Cookie はすべて受け付けられます。ユーザー アクティビティの要求をクライアント アクセス サーバーが受信したときに、その要求の Cookie は最新のキーを使用して暗号化された新しい Cookie に置き換えられます。セッションに関連付けられた Cookie が、破棄された古いキーで暗号化されている場合、ユーザー セッションはタイムアウトします。
サーバー上で構成されている暗号化キーのリサイクル時間とユーザーのタイムアウトの関係によって、ユーザーの実際のタイムアウト期間は、構成されたタイムアウト値と構成されたタイムアウト値の 1.5 倍の値の間になります。たとえば、構成されたタイムアウトが 30 分である場合、ユーザー セッションの実際のタイムアウト期間は 30 ~ 45 分になります。
表 1 に、公共またはプライベートのコンピュータからのユーザー ログオンに基づいて、Cookie のタイムアウトと認証キーのリサイクル時間に関する情報を示します。
表 1 ユーザー ログオンの種類に基づいた既定の Cookie のタイムアウトと認証キーのリサイクル時間
| ログオン | Cookie のタイムアウト値 | 既定のタイムアウト値を使用する場合の認証キーのリサイクル時間 |
|---|---|---|
公共 |
1 分~ 30 日。既定値は 15 分です。 |
7.5 分 |
プライベート |
1 分~ 30 日。既定値は 8 時間です。 |
4 時間 |
| 注 : |
|---|
| レジストリを使用して、Cookie のタイムアウト値を分単位で構成できます。認証キーのリサイクル時間の最小値は Cookie のタイムアウト値の 3 分の 1、最大値は Cookie のタイムアウト値の 2 分の 1 です。 |
SSL を使用した Outlook Web Access のセキュリティ保護
既定では、クライアント アクセス サーバーの役割をインストールするときに、SSL (Secure Sockets Layer) が有効になります。SSL を使用しない場合、最初のログオン時にユーザー名とパスワードはクリア テキストで送信されます。SSL を使用すると、クライアント コンピュータとクライアント アクセス サーバーの間ですべての通信が暗号化され、ユーザー名、パスワード、電子メール メッセージなどの機密情報が第三者によって覗き見されるのを防止することができます。
既定の SSL 証明書はクライアント アクセス サーバーの役割と共にインストールされますが、信頼されていません。既定の SSL 証明書を使用する場合は、証明書が信頼されている必要があります。信頼されていない場合、ユーザーは Outlook Web Access にログオンするたびに、証明書を信頼するかどうかの確認を求められます。既定の SSL 証明書を使用する方法の詳細については、「既定の SSL 証明書を別の信頼できる証明書で置き換える方法」を参照してください。
詳細情報
- SSL を管理する方法の詳細については、「クライアント アクセス サーバーの SSL の管理」を参照してください。
- フォーム ベース認証のログオン ページを構成する方法の詳細については、「Outlook Web Access のフォーム ベース認証を構成する方法」を参照してください。
- 公共のコンピュータでの Outlook Web Access 仮想ディレクトリの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する、公共のコンピュータにおける Cookie のタイムアウト値を設定する方法」を参照してください。
- プライベートのコンピュータでの Outlook Web Access 仮想ディレクトリの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する、プライベートのコンピュータにおける Cookie のタイムアウト値を設定する方法」を参照してください。
- セキュリティの詳細については、「クライアント アクセスのセキュリティの管理」を参照してください。
- フォーム ベース認証のログオン ページをカスタマイズする方法の詳細については、「Outlook Web Access の拡張機能の管理」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。