Configurando a Autenticação Baseada em Formulários para o Outlook Web App
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
A autenticação baseada em formulários habilita uma página de logon para o Exchange Server 2010 Outlook Web App, que usa um cookie para armazenar as credenciais de logon criptografadas de um usuário no navegador da Internet. O controle do uso desse cookie permite que o servidor Exchange monitore a atividade das sessões do Outlook Web App em computadores públicos e particulares. Se uma sessão fica inativa por muito tempo, o servidor bloqueia o acesso até que o usuário faça uma nova autenticação.
Sumário
Usando cookies para controlar o acesso
Determinando a atividade do usuário
Configurando o prompt de logon usado por autenticação baseada em formulários
Compreendendo a criptografia para logon do usuário em computadores públicos e particulares
Usando o SSL para ajudar a proteger o Outlook Web App
Usando cookies para controlar o acesso
Na primeira vez que o nome do usuário e a senha são enviados ao servidor de Acesso para Cliente para autenticar uma sessão do Outlook Web App, é criado um cookie criptografado que é usado para controlar a atividade do usuário. Quando o usuário fecha o navegador de Internet ou clica em Sair para sair da sessão do Outlook Web App, o cookie é apagado. O nome de usuário e a senha são enviados ao servidor de Acesso para Cliente apenas para o logon de usuário inicial. Após o logon inicial ser concluído, apenas o cookie é usado para autenticação entre o computador cliente e o servidor de Acesso para Cliente
Definindo o valor de tempo limite de cookie em computadores públicos
Por padrão, quando um usuário seleciona a opção Este é um computador público ou compartilhado na página de logon do Outlook Web App, o cookie no computador expira automaticamente, e o logoff do usuário é realizado depois de 15 minutos de inatividade do Outlook Web App.
O tempo limite automático é útil, pois ajuda a proteger as contas dos usuários contra o acesso não autorizado. Para atender aos requisitos de segurança de sua organização, você pode configurar os valores de tempo limite de inatividade no servidor de Acesso para Cliente do Exchange.
Embora o tempo limite automático reduza muito o risco do acesso não autorizado, não elimina a possibilidade de que um usuário não autorizado acesse uma conta do Outlook Web App caso uma sessão seja deixada em execução em um computador público. Portanto, certifique-se de alertar os usuários para que tomem as precauções apropriadas a fim de evitar riscos. Por exemplo instrua-os a sair do Outlook Web App e fechar o navegador da Web quando terminarem de usar o Outlook Web App.
Para obter mais informações sobre como configurar os valores de tempo limite de cookie para computadores públicos, consulte Definir o Valor de Tempo Limite de Cookie do Computador Público de Autenticação Baseada em Formulários.
Definindo o valor de tempo limite de cookie em computadores particulares
Quando um usuário seleciona a opção Este é um computador particular na página de logon do Outlook Web App, o servidor do Exchange permite um período mais longo de inatividade antes de encerrar automaticamente a sessão do Outlook Web App. O valor de tempo limite padrão para logon particular é de 8 horas. Devido ao relacionamento entre o tempo de reciclagem das chaves de criptografia e o valor de tempo limite configurado no servidor, o valor de tempo limite padrão real para logon privado pode ser entre 8 a 12 horas. Para mais informações, consulte Compreendendo a criptografia para logon do usuário em computadores públicos e particulares. A opção de tempo limite de cookie do computador particular visa beneficiar os usuários do Outlook Web App que usam o próprio computador ou um computador que esteja em uma rede corporativa.
É importante alertar os usuários sobre os riscos associados à seleção da opção Este é um computador particular. Um usuário deve selecionar a opção de computador particular somente se for o único operador do computador e se o computador estiver em conformidade com as diretivas de segurança da organização.
Para obter mais informações sobre como configurar os valores de tempo limite de cookie para computadores particulares, consulte Definir o Valor de Tempo Limite de Cookie do Computador Particular de Autenticação Baseada em Formulários.
Voltar ao início
Determinando a atividade do usuário
Depois um certo tempo de inatividade em uma sessão do Outlook Web App, o servidor de Acesso para Cliente não terá mais a chave de descriptografia para ler o cookie e o acesso será negado ao usuário até que ele faça uma nova autenticação.
O Exchange 2010 usa as informações a seguir para determinar a atividade do usuário:
A interação entre o computador cliente e o servidor de Acesso para Cliente iniciada pelo usuário é considerada uma atividade. Por exemplo, se um usuário abrir, enviar ou salvar um item; alternar entre as pastas ou módulos; ou atualizar o modo de exibição ou a janela do navegador da Web, o Exchange 2010 considerará isso uma atividade.
Dica
A interação entre o computador cliente e o servidor gerada automaticamente pelo servidor de Acesso para Cliente não é considerada uma atividade. Por exemplo, novas notificações de email e lembretes gerados pelo servidor de Acesso para Cliente em uma sessão do Outlook Web App não são considerados atividade.
No Outlook Web App, qualquer interação do usuário, inclusive digitação de texto em uma mensagem de email ou solicitação de reunião, é considerada atividade. Na versão light do Outlook Web App , qualquer atividade de usuário, exceto digitação de texto, é considerada atividade.
Configurando o prompt de logon usado por autenticação baseada em formulários
Em vez de uma janela pop-up, a autenticação baseada em formulários cria uma página de logon para o Outlook Web App. Você pode configurar o prompt de logon para autenticação baseada em formulários usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange. As alterações de configuração que você faz alteram apenas o texto do prompt de logon. Elas não mudam o formato em que o usuário deve fazer logon. Por exemplo, é possível configurar a página de logon de autenticação baseada em formulários para solicitar que os usuários forneçam suas informações de logon no formato domínio\nome de usuário. Entretanto, um usuário também pode digitar o seu nome de usuário principal (UPN), e o logon será bem-sucedido.
Os tipos de prompts de logon a seguir podem ser usados pela autenticação baseada em formulários na página de logon do Outlook Web App. Selecione o prompt de compreensão e utilização mais fácil para os usuários.
Domínio Completo O domínio e o nome do usuário no formato domínio\nome do usuário. Por exemplo, Contoso\Kweku.
Nome de Logon do Usuário O UPN. O UPN tem duas partes: o prefixo do UPN, que é o nome da conta de usuário, e o sufixo do UPN, que é o nome de domínio DNS. O prefixo e o sufixo são unidos pelo símbolo de arroba (@) para que o UPN fique completo. Por exemplo, Kweku@contoso.com. Os usuários podem acessar o Outlook Web App digitando seu endereço de email principal ou seu UPN.
Nome de Usuário O nome de usuário somente. O nome de domínio não está incluído. Por exemplo, Kweku. Este formato de logon funcionará apenas se o nome de domínio tiver sido configurado.
Dica
Se necessário, você pode alterar o formato que o usuário deve usar para fazer logon no Outlook Web App, configurando o Active Directory e o IIS (Serviços de Informações da Internet). O uso do Active Directory e do IIS para definir os formatos de nome de usuário que os usuários podem inserir para serem autenticados é independente do prompt de autenticação baseada em formulários do Outlook Web App, tratado anteriormente.
Voltar ao início
Compreendendo a criptografia para logon do usuário em computadores públicos e particulares
A criptografia das credenciais de logon do usuário para os tipos de logon públicos e particulares do Outlook Web App envolve um conjunto de seis HMACs (códigos de autenticação de mensagem hash). HMACs são chaves de 160 bits geradas pelo servidor de Acesso para Cliente. Eles aprimoram a segurança de logon, combinando algoritmos de hash com funções criptográficas para criptografar as credenciais de logon do usuário. A criptografia e a descriptografia de um cookie são realizadas pelo mesmo servidor de Acesso para Cliente. Somente o servidor de Acesso para Cliente que gerou a chave de autenticação tem a chave para descriptografar o cookie.
Quando a autenticação baseada em formulários do servidor de Acesso para Cliente for usada, o servidor de Acesso para Cliente percorrerá um conjunto de três chaves para cada tipo de logon, público e particular, a uma taxa definida. Isso é conhecido como tempo de reciclagem. O tempo de reciclagem de uma chave é metade do valor de tempo limite de logon. Por exemplo, quando o valor de tempo limite de logon público estiver definido como 15 minutos, o tempo de reciclagem da chave pública será de 7,5 minutos.
As seis chaves de logon são criadas pelo servidor de Acesso para Cliente quando os diretórios virtuais do Outlook Web App são iniciados. Três são usadas com logons de computador público e três são usadas com logons de computador particular. Quando um usuário faz logon, a chave atual de seu tipo de logon é usada para criptografar as informações de autenticação do usuário em um cookie.
Quando o tempo de reciclagem passa, o servidor de Acesso para Cliente vai para a chave seguinte. Depois que todas as três chaves de um tipo de logon tiverem sido usadas, o servidor de Acesso para Cliente exclui a chave mais antiga e cria uma nova. O servidor de Acesso para Cliente sempre mantém três chaves disponíveis para cada tipo de logon: a chave atual e duas chaves mais recentes. A reciclagem das chaves continua enquanto o Outlook Web App está em execução no servidor de Acesso para Cliente. As mesmas chaves são usadas para todos os usuários.
Um cookie que tenha sido criptografado com uma chave ativa será aceito. Quando a solicitação de atividade de um usuário for recebida pelo servidor de Acesso para Cliente, o cookie dessa solicitação será substituído por um novo cookie que foi criptografado usando a chave mais nova. Uma sessão de usuário tem seu tempo limite esgotado quando o cookie associado a ela tiver sido criptografado por uma chave mais antiga que foi descartada.
Devido ao relacionamento entre o tempo de reciclagem das chaves de criptografia e o tempo limite de usuário configurado no servidor, o período de tempo limite real de um usuário pode ficar entre o tempo limite configurado e o tempo limite configurado mais metade desse valor. Por exemplo, se o tempo limite configurado for 30 minutos, o tempo limite real de uma sessão de usuário poderá ficar entre 30 e 45 minutos.
A tabela a seguir fornece informações sobre tempo limite de cookie e tempo de reciclagem da chave de autenticação com base em um logon de usuário de um computador público ou particular.
Tempo limite de cookie padrão e tempo de reciclagem da chave de autenticação para cada tipo de logon de usuário
| Entrar | Valor do tempo limite de cookie | Tempo de reciclagem para chave de autenticação se você usar o valor de tempo limite padrão |
|---|---|---|
Público |
De um minuto a 30 dias. O padrão é 15 minutos. |
7,5 minutos |
Particular |
De um minuto a 30 dias. O padrão é 8 horas. |
4 horas |
Dica
Você pode configurar o valor de tempo limite de cookie em minutos usando o registro. O tempo de reciclagem da chave de autenticação é no mínimo um terço e no máximo metade do valor de tempo limite do cookie.
Voltar ao início
Usando o SSL para ajudar a proteger o Outlook Web App
Por padrão, a criptografia SSL (Secure Sockets Layer) é ativada quando você instala a função de servidor de Acesso para Cliente. Se o SSL não for usado, o nome de usuário e a senha serão enviados em texto não criptografado no logon inicial. Quando o SSL é usado, ele criptografa toda a comunicação entre o computador cliente e o servidor de Acesso para Cliente e ajuda a impedir que informações importantes, como nomes de usuário, senhas e mensagens de email, sejam visualizadas por terceiros.
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.