Configurando a autenticação para o Outlook Web Access

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-04-10

Este tópico explica os tipos de autenticação que estão disponíveis para o Microsoft Office Outlook Web Access no Microsoft Exchange Server 2007. O método de autenticação mais adequado para sua organização depende de suas necessidades de segurança. Por padrão, o Outlook Web Access usa a autenticação baseada em formulários e é configurado para usar a criptografia SSL (Secure Sockets Layer).

Autenticação Baseada em Formulários

A autenticação baseada em formulários habilita uma página de logon para o Outlook Web Access que usa um cookie para armazenar as credenciais de logon criptografadas de um usuário no navegador da Internet. O controle do uso desse cookie permite que o servidor Exchange monitore a atividade das sessões do Outlook Web Access em computadores públicos e particulares. Se uma sessão fica inativa por muito tempo, o servidor bloqueia o acesso até que o usuário faça uma nova autenticação.

A primeira vez que o nome do usuário e a senha são enviados ao servidor de Acesso para Cliente para autenticar uma sessão do Outlook Web Access, é criado um cookie criptografado que é usado para controlar a atividade do usuário. Quando o usuário fecha o navegador da Internet ou clica em Fazer Logoff para fazer logoff da sessão do Outlook Web Access, o cookie é eliminado. O nome do usuário e a senha são enviados para o servidor de Acesso para Cliente apenas no logon inicial do usuário. Depois que o logon inicial é concluído, somente o cookie é usado para autenticação entre o computador cliente e o servidor de Acesso para Cliente.

Para obter mais informações sobre a autenticação baseada em formulários e sobre como configurá-la, consulte:

• Configurando a autenticação baseada em formulários para o Outlook Web Access

• Como configurar a autenticação baseada em formulários para o Outlook Web Access

Definindo o valor de tempo limite de cookie

O valor de tempo limite de cookie é definido com base na opção do usuário por Este é um computador público ou compartilhado ou Este é um computador particular na página de logon do Outlook Web Access. Por padrão, o cookie no computador expira automaticamente e o usuário é desconectado depois de ficar sem usar o Outlook Web Access por 15 minutos, se ele tiver selecionado a opção de computador público, e após ficar sem usar o Outlook Web Access por oito horas, se tiver selecionado a opção de computador particular.

O tempo limite automático é útil, pois ajuda a proteger as contas dos usuários contra o acesso não autorizado. Para atender aos requisitos de segurança de sua organização, você pode configurar os valores de tempo limite de inatividade no servidor de Acesso para Cliente do Exchange.

Embora o tempo limite automático reduza muito o risco do acesso não autorizado, não elimina completamente a possibilidade de que um usuário não autorizado acesse uma conta do Outlook Web Access caso uma sessão seja deixada em execução em um computador público. Portanto, certifique-se de alertar os usuários para que tomem as precauções apropriadas a fim de evitar riscos, instruindo-os a fazer logoff do Outlook Web Access e fechar o navegador da Web quando terminarem de usar o Outlook Web Access.

Para obter mais informações sobre como configurar os valores de tempo limite de cookie para computadores públicos e particulares, consulte:

• Como definir o valor de tempo limite de cookie do computador público de autenticação baseada em formulários

• Como definir o valor de tempo limite de cookie do computador particular de autenticação baseada em formulários

Métodos de autenticação padrão

Este tópico descreve os métodos de autenticação padrão que ajudam a proteger os servidores de Acesso para Cliente do Exchange 2007 para o Outlook Web Access.

No Exchange 2007, os servidores de Acesso para Cliente oferecem suporte à autenticação Integrada do Windows e autenticação Resumida HTTP 1.1 para os diretórios virtuais do Exchange 2007. Os diretórios virtuais do Exchange 2000 e do Exchange 2003 em um servidor que está executando apenas a função de servidor Acesso para Cliente oferecem suporte somente à autenticação Básica e baseada em formulários.

Para obter mais informações sobre métodos de autenticação padrão, consulte Configurando métodos de autenticação padrão para o Outlook Web Access.

Autenticação Básica

A autenticação Básica é um mecanismo de autenticação simples definido pela especificação HTTP que codifica o nome e a senha de logon de um usuário antes que suas credenciais sejam enviadas para o servidor.

A autenticação Básica não oferece suporte a logon único. A autenticação do Windows Server 2003 habilita o logon único a todos os recursos de rede. Com o logon único, um usuário pode efetuar logon no nome do domínio uma vez, com uma única senha ou cartão inteligente e autenticar-se em qualquer computador do domínio.

A autenticação básica tem suporte em todos os navegadores da Web, mas ela não é segura a não ser que seja exigida uma criptografia SSL (Secure Sockets Layer).

Para obter mais informações sobre como configurar a autenticação Básica em um diretório virtual do Outlook Web Access, consulte Como configurar a autenticação básica.

Autenticação Resumida

A autenticação Resumida transmite senhas pela rede como um valor hash, para maior segurança. A autenticação Resumida pode ser usada apenas em domínios do Microsoft Windows Server 2003 e do Microsoft Windows 2000 Server para usuários que tenham uma conta armazenada no serviço de diretório do Active Directory. Para obter mais informações sobre a autenticação Resumida, consulte a documentação do Windows Server 2003 e do Gerenciador do IIS (Serviços de Informações da Internet).

A autenticação resumida está disponível somente em diretórios virtuais do Exchange 2007.

Para obter mais informações sobre como configurar a autenticação Resumida em um diretório virtual do Outlook Web Access, consulte Como configurar a Autenticação resumida.

Autenticação Integrada do Windows

A autenticação Integrada do Windows exige que os usuários tenham um nome de conta de usuário e uma senha válidos do Windows 2000 Server ou do Windows Server 2003 para acessar informações. Usuários conectados à rede local não são solicitados a fornecer seus nomes de usuário e senhas. Em vez disso, o servidor negocia com os pacotes de segurança do Windows que estão instalados no computador cliente. Esse método permite que o servidor autentique usuários sem solicitar suas informações de logon. As credenciais de autenticação são protegidas, mas qualquer outra comunicação será enviada em texto não criptografado, a menos que seja usado SSL.

O Microsoft Internet Explorer permite logon único para aplicativos da Web que incluem Web Parts do Outlook Web Access se o servidor que está sendo acessado tiver a autenticação Integrada do Windows habilitada. Os usuários devem inserir credenciais apenas uma vez em cada sessão do navegador. Porém, suas credenciais ficam armazenadas em cache no processo do navegador.

Em um servidor Exchange 2007 no qual apenas a função de servidor Acesso para Cliente está instalada, a autenticação Integrada do Windows pode ser usada somente com diretórios virtuais Exchange 2007. Em um servidor que tem as funções Acesso para Cliente e Caixa de Correio instaladas, a autenticação Integrada do Windows pode ser usada com qualquer diretório virtual. Para obter mais informações sobre a autenticação Integrada do Windows, consulte a documentação do Windows Server 2003.

Para obter mais informações sobre como configurar a autenticação Integrada do Windows em um diretório virtual do Outlook Web Access, consulte Como configurar a Autenticação Integrada do Windows.

Para obter mais informações

• Para obter mais informações sobre como ajudar a proteger o Outlook Web Access, consulte Gerenciando a segurança do Outlook Web Access.