如何为 Outlook Web App 配置基于表单的身份验证

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2015-03-09

基于表单的身份验证允许 Exchange Server 2010 Outlook Web App 的登录页使用 Cookie 将用户的加密登录凭据存储在 Internet 浏览器中。通过跟踪此 Cookie 的使用,使 Exchange 服务器可以监视公用计算机和私有计算机上 Outlook Web App 会话的活动情况。如果会话未活动的时间太长,服务器将阻止访问,直到用户重新进行身份验证。

初次将用户名和密码发送到客户端访问服务器以对 Outlook Web App 会话进行身份验证时,将创建一个加密的 Cookie,用于跟踪用户活动。当用户关闭 Internet 浏览器或单击“注销”而注销其 Outlook Web App 会话时,Cookie 会被清除。用户名和密码仅在初始用户登录时发送到客户端访问服务器。初始登录完成后,将仅使用 Cookie 来进行客户端计算机与客户端访问服务器之间的身份验证。

默认情况下,若用户选择了 Outlook Web App 登录页上的“此计算机是公用计算机或共享计算机”选项,则如果用户 15 分钟内都未使用 Outlook Web App,计算机上的 Cookie 将自动过期,并将注销该用户。

自动超时非常有用,因为可以避免未经授权访问用户帐户。为了满足组织的安全需要,可以在 Exchange 客户端访问服务器上配置未活动超时值。

虽然自动超时显著降低了未授权访问的风险,但并不能排除这样一种可能,即如果在公用计算机上遗留了一个正在运行的会话,则未经授权的用户可以访问该 Outlook Web App 帐户。因此,应务必警告用户采取预防措施来避免风险。例如告知用户在使用完 Outlook Web App 之后从 Outlook Web App 注销并关闭 Web 浏览器。

有关如何配置公用计算机的 Cookie 超时值的详细信息,请参阅设置基于表单的身份验证公用计算机 Cookie 超时值

如果用户选择了 Outlook Web App 登录页上的“此计算机是私人计算机”选项,Exchange 服务器将在自动结束 Outlook Web App 会话之前留出更长的未活动时间。私人登录的默认超时值是八小时。由于加密密钥的再循环时间与服务器上配置的超时值之间的关系,因此私人登录的实际默认超时值可以介于八到十二小时之间。有关详细信息,请参阅了解用户从公用计算机和私人计算机登录时的加密。私人计算机的 Cookie 超时选项用于帮助使用自己计算机或公司网络中计算机的 Outlook Web App 用户。

必须警告用户选中“此计算机是私人计算机”选项所存在的风险。仅当用户是计算机的唯一操作员,并且计算机遵守组织的安全策略时,用户才应选择私人计算机选项。

有关如何配置私人计算机的 Cookie 超时值的详细信息,请参阅设置基于表单的身份验证专用计算机 Cookie 超时值

返回顶部

如果 Outlook Web App 会话在特定时段内未活动,客户端访问服务器将不再拥有读取 Cookie 的解密密钥,用户将被拒绝访问,直到用户重新进行身份验证。

Exchange 2010 使用以下信息确定用户活动:

  • 由用户发起的客户端计算机与客户端访问服务器之间的交互被视为是活动。例如,如果用户打开、发送或保存项目,切换文件夹或模块,或者更新视图或 Web 浏览器窗口,Exchange 2010 会将此交互视为活动。

    注释注意:
    由客户端访问服务器自动生成的客户端计算机与服务器之间的交互不会被视为活动。例如,Outlook Web App 会话中由客户端访问服务器生成的新电子邮件通知和提醒不会被视为活动。
  • 在 Outlook Web App 中,任何用户交互(包括在电子邮件或会议请求中输入文本)均被视为活动。在 Outlook Web App 的简易版本中,除输入文本以外的任何其他用户活动均被视为活动。

基于表单的身份验证不使用弹出窗口,而是为 Outlook Web App 创建登录页。您可以使用 Exchange 管理控制台或 Exchange 命令行管理程序来配置基于表单的身份验证的登录提示。所做的配置更改只会更改登录提示的文本。而不会更改用户必须使用的登录格式。例如,可以将基于表单的身份验证登录页配置为提示用户按域名\用户名的格式提供登录信息。不过,用户也可以输入自己的用户主体名称 (UPN),并可成功登录。

Outlook Web App 登录页上基于表单的身份验证可使用以下几种类型的登录提示。选择用户最容易理解和使用的提示。

  • 完整的域:以“域名\用户名”格式表示用户的域名和用户名。例如 Contoso\Kweku。

  • 主体名称:UPN。UPN 分为两个部分:UPN 前缀(用户帐户名)和 UPN 后缀(DNS 域名)。前缀和后缀通过 @ 符号连接在一起,组成完整的 UPN。例如,Kweku@contoso.com。用户可以通过输入主电子邮件地址或输入 UPN 来访问 Outlook Web App。

  • 用户名:仅用户名。不包括域名。例如,Kweku。只有在已配置域名的情况下,此登录格式才有效。

    注释注意:
    如果需要,可以通过配置 Active Directory 和 Internet 信息服务 (IIS),更改用户登录到 Outlook Web App 必须使用的格式。使用 Active Directory 和 IIS 设置用户进行身份验证时可以输入的用户名格式,与前面所述的 Outlook Web App 基于表单的身份验证的提示无关。

返回顶部

公共和私人 Outlook Web App 登录类型的用户登录凭据加密均包括六个一组的基于哈希值的邮件身份验证代码 (HMAC)。HMAC 是客户端访问服务器上生成的 160 位密钥。HMAC 通过将哈希算法与加密功能相结合来对用户登录凭据进行加密,可以提高登录的安全性。Cookie 的加密和解密由同一台客户端访问服务器执行。只有生成身份验证密钥的客户端访问服务器拥有对该 Cookie 进行解密的密钥。

如果使用基于表单的身份验证,则客户端访问服务器将以设定的速率遍历每种登录类型(公共和私人)三个一组的密钥。此时间称为再循环时间。密钥的再循环时间是登录超时值的一半。例如,当公共登录的超时值设置为 15 分钟时,则公钥的再循环时间就是 7.5 分钟。

客户端访问服务器在 Outlook Web App 虚拟目录启动时创建六个登录密钥。三个登录密钥用于公用计算机登录,三个登录密钥用于私人计算机登录。在用户登录时,将使用其登录类型的当前密钥将用户的身份验证信息加密放入 Cookie 中。

如果再循环时间已到,客户端访问服务器将转移到下一个密钥。使用了某个登录类型的全部三个密钥之后,客户端访问服务器将删除最早的密钥并新建一个密钥。客户端访问服务器始终保持每种登录类型可以使用三个密钥:当前密钥以及两个最近的密钥。只要客户端访问服务器上正在运行 Outlook Web App,密钥的再循环就会继续进行。所有用户使用相同的密钥。

将接受任何已使用活动密钥加密的 Cookie。客户端访问服务器收到用户活动请求之后,该请求的 Cookie 将替换为使用最新的密钥加密的新 Cookie。通过已丢弃的较早密钥加密与用户会话关联的 Cookie 时,用户会话将超时。

由于加密密钥的再循环时间与服务器上配置的用户超时之间的关系,用户的实际超时时间可以介于配置的超时到配置的超时加上该值的一半之间。例如,如果配置的超时是 30 分钟,则任何用户会话的实际超时可以介于 30 分钟到 45 分钟之间。

下表提供了 Cookie 超时以及身份验证密钥再循环时间的有关信息(根据用户从公用计算机还是私人计算机登录)。

每种用户登录类型的默认 Cookie 超时以及身份验证密钥再循环时间

登录 Cookie 超时值 在使用默认超时值时,身份验证密钥的再循环时间

公共

一分钟到 30 天。默认值为 15 分钟。

7.5 分钟

私人

一分钟到 30 天。默认值为 8 小时。

4 小时

注释注意:
可以使用注册表配置 Cookie 超时值(分钟)。身份验证密钥的再循环时间至少是 Cookie 超时值的三分之一,并且不得超过一半。

返回顶部

默认情况下,在安装客户端访问服务器角色时将启用安全套接字层 (SSL) 加密。如果未使用 SSL,用户名和密码将在初始登录时以纯文本发送。如果使用了 SSL,SSL 会对客户端计算机与客户端访问服务器之间的所有通信进行加密,帮助阻止第三方查看如用户名、密码和电子邮件等敏感信息。

返回顶部

 © 2010 Microsoft Corporation。保留所有权利。
显示: