管理 Outlook Web App 安全性
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-09-25
本主题介绍身份验证方法,这些方法可用于帮助保护运行 Microsoft Exchange Server 2010 并且安装了客户端访问服务器角色的计算机上的 Outlook Web App。
查找与确保客户端访问安全相关的管理任务吗?请参阅Securing Client Access Servers。
目录
身份验证方法
其他身份验证方法
Active Directory 联合身份验证服务
身份验证方法
可在 Exchange 2010 客户端访问服务器上配置下列类型的身份验证方法:
- 标准
- 基于表单的身份验证
此外,您可以使用下列类型的身份验证:
- Microsoft Internet Security and Acceleration (ISA) Server 基于表单的身份验证
- 智能卡和证书身份验证
- RSA SecurID 身份验证
标准身份验证和基于表单的身份验证
可使用 Exchange 管理控制台或 Exchange 命令行管理程序为 Outlook Web App 配置标准身份验证方法和基于表单的身份验证方法。
- 标准身份验证方法 标准身份验证方法包括集成 Windows 身份验证、摘要式身份验证和基本身份验证。有关如何配置标准身份验证方法的详细信息,请参阅为 Outlook Web App 配置标准身份验证方法。
- 基于表单的身份验证 基于表单的身份验证将为 Outlook Web App 创建登录页面。基于表单的身份验证使用 Cookie 存储已加密的用户登录凭据和密码信息。有关基于表单的身份验证的详细信息,请参阅如何为 Outlook Web App 配置基于表单的身份验证。
如果配置了多种身份验证方法,Internet 信息服务 (IIS) 将首先使用限制最为严格的方法。然后,IIS 从限制最为严格的协议开始搜索可用身份验证协议列表,直到找到客户端和服务器支持的身份验证方法。
下表使用安全级别、用户登录凭据处理和客户端要求为条件,比较了标准身份验证方法和基于表单的身份验证方法。
比较标准身份验证和基于表单的身份验证
身份验证方法 | 安全级别 | 发送密码的方式 | 客户端要求 |
---|---|---|---|
基本身份验证 |
低(启用了安全套接字层 (SSL) 时除外) |
Base 64 编码的明文 |
所有浏览器均支持基本身份验证。 |
摘要式身份验证 (Digest authentication) |
中等 |
使用 MD5 进行哈希处理。 |
Microsoft Internet Explorer 5 至 Internet Explorer 8。 |
集成 Windows 身份验证 |
低(启用了 SSL 时除外) |
使用集成 Windows 身份验证时进行哈希处理;使用 Kerberos 时进行 Kerberos 票证处理。集成 Windows 身份验证包括 Kerberos 身份验证方法和 NTLM 身份验证方法。 |
集成 Windows 身份验证要求 Internet Explorer 2.0 至 Internet Explorer 8。 Kerberos 身份验证要求带有 Internet Explorer 5 至 Internet Explorer 8 的 Windows 2000 Server 或 Windows Server 2008。 |
基于表单的身份验证 |
高 |
对用户身份验证信息加密并将其存储在 Cookie 中。需要使用 SSL 以保持 Cookie 安全。 |
Internet Explorer |
返回顶部
其他身份验证方法
还有其他可用于帮助保护 Outlook Web App 安全的身份验证方法。这些方法包括:
- 基于 ISA 服务器表单的身份验证 使用 ISA 服务器,可使用邮件服务器发布规则安全地发布 Outlook Web App 服务器。使用 ISA 服务器还可配置基于表单的身份验证和控制电子邮件附件的可用性,以便在通过 Outlook Web App 访问组织中的资源时帮助保护这些资源。有关如何使用 ISA 服务器作为高级防火墙解决方案的详细信息,请参阅 Internet 安全和加速服务器网站。
- 智能卡和证书身份验证 证书可驻留在客户端上的证书存储中,也可驻留在智能卡上。证书身份验证方法使用可扩展的身份验证协议 (EAP) 和传输层安全性 (TLS) 协议。在 EAP-TLS 证书身份验证中,客户端和服务器互相证明各自的身份。例如,用户计算机上的 Outlook Web App 客户端向客户端访问服务器提供其用户证书,客户端访问服务器向 Outlook Web App 客户端计算机提供其计算机证书。这样就提供了相互身份验证。有关智能卡和其他证书身份验证方法的详细信息,请参阅 Windows Server 2008 and Windows Server 2008 R2
- RSA SecurID 身份验证 可使用第三方产品 RSA SecurID,在客户端访问服务器上配置 RSA SecurID 身份验证方法。有关 RSA SecurID 的详细信息,请参阅 http://www.rsasecurity.com。
Active Directory 联合身份验证服务
Active Directory 联合身份验证服务 (ADFS) 扩展了使用由面向 Internet 的应用程序提供的单一登录功能的能力。通过使用单一登录和 ADFS,您的客户、合作伙伴和供应商可以轻松访问组织中基于 Web 的应用程序,例如 Outlook Web App。