了解 Outlook Web App 的身份验证

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2011-08-19

本主题将介绍 MicrosoftExchange Server 2010 中的 Outlook Web App 可用的身份验证类型。根据组织的安全需求确定最适合组织的身份验证方法。默认情况下,Outlook Web App 使用基于表单的身份验证且配置为使用安全套接字层 (SSL) 加密。

基于表单的身份验证允许 Outlook Web App 的登录页使用 Cookie 将用户的加密登录凭据存储在 Internet 浏览器中。通过跟踪此 Cookie 的使用,使 Exchange 服务器可以监视公用计算机和私有计算机上 Outlook Web App 会话的活动情况。如果会话未活动的时间太长,服务器将阻止访问,直到用户重新进行身份验证。

初次将用户名和密码发送到客户端访问服务器以对 Outlook Web App 会话进行身份验证时,将创建一个加密的 Cookie,用于跟踪用户活动。当用户关闭 Internet 浏览器或单击“注销”而从其 Outlook Web App 会话注销时,将清除 Cookie。用户名和密码仅在初始用户登录时发送到客户端访问服务器。初始登录完成后,将仅使用 Cookie 来进行客户端计算机与客户端访问服务器之间的身份验证。

有关基于表单的身份验证以及如何对其进行配置的详细信息,请参阅:

为了支持 Outlook Web App 与 Exchange 控制面板之间的单一登录,Exchange 2010 中提供了一项新服务,Exchange FBA 身份验证服务。要使用此新功能,请确保将 Outlook Web App 和 Exchange 控制面板虚拟目录的身份验证模式都设置为基于表单的身份验证。

Cookie 超时是基于用户在 Outlook Web App 登录页上选择“此计算机是公用计算机或共享计算机”还是选择“此计算机是私人计算机”选项设置的。默认情况下,如果用户选择了公用计算机选项,那么在 15 到 22.5 分钟未使用 Outlook Web App 的情况下,计算机上的 Cookie 将自动过期并且用户将被注销;如果选择了私人计算机选项,那么在 8 到 12 小时未使用 Outlook Web App 的情况下,计算机上的 Cookie 将自动过期并且用户将被注销。

自动超时非常有用,因为可以避免未经授权访问用户帐户。为了满足组织的安全需要,可以在 Exchange 客户端访问服务器上配置未活动超时值。

虽然自动超时大大降低了未授权访问的风险,但并不能完全排除这样一种可能,即如果使会话在公用计算机上一直运行,则未经授权的用户可以访问 Exchange 邮箱。因此,应务必警告用户采取预防措施来避免风险,例如在用户使用完 Outlook Web App 之后,通知用户从 Outlook Web App 注销并关闭 Web 浏览器。

有关如何配置公用计算机和私人计算机的 Cookie 超时值的详细信息,请参阅:

基于表单的身份验证

在 Exchange 2010 中,客户端访问服务器支持对 Exchange 2010 虚拟目录使用集成 Windows 身份验证和 HTTP 1.1 摘要式身份验证。

有关标准身份验证方法的详细信息,请参阅为 Outlook Web App 配置标准身份验证方法

基本身份验证是一种由 HTTP 规范定义的简单身份验证机制,该机制在将用户的凭据发送到服务器之前对用户的登录名和密码进行编码。

基本身份验证不支持单一登录。Windows Server 2008 和 Windows Server 2003 身份验证对所有网络资源都启用单一登录。通过单一登录,用户使用一个密码或一张智能卡只需登录到域一次,即对该域中任何一台计算机完成了身份验证。

所有 Web 浏览器都支持基本身份验证,但是除非要求 SSL 加密,否则基本身份验证不安全。

有关如何在 Outlook Web App 虚拟目录中配置基本身份验证的详细信息,请参阅配置基本身份验证

为获得附加安全性,摘要式身份验证将密码作为一个哈希值通过网络传递。摘要式身份验证只能用于 Windows Server 2008、Windows Server 2003 和 MicrosoftWindows 2000 Server 域中其帐户存储在 Active Directory 中的那些用户。有关摘要式身份验证的详细信息,请参阅 Windows Server 2003 和 Internet 信息服务 (IIS) 管理员文档。

摘要式身份验证仅在 Exchange 2010 虚拟目录上可用。

重要重要说明:
如果使用摘要式身份验证或基本身份验证,当用户使用网亭,且无法关闭浏览器并结束会话之间的浏览器进程时,缓存凭据会带来安全风险。发生风险是因为下一个用户访问网亭时,用户的凭据仍保留在缓存中。若要在网亭中启用 Outlook Web App,请确保用户能关闭会话之间的浏览器,并结束浏览器进程。否则,请考虑使用集成了双重身份验证的第三方产品,其中,用户必须具有物理令牌以及密码才可以在网亭中使用 Outlook Web App。

有关如何在 Outlook Web App 虚拟目录中配置摘要式身份验证的详细信息,请参阅配置摘要式身份验证

基于表单的身份验证

集成 Windows 身份验证要求用户具有有效的 Windows Server 2008 或 Windows Server 2003 或 Windows 2000 Server 用户帐户名和密码才能访问信息。系统不会提示登录到本地网络的用户输入用户名和密码。相反,该服务器会与客户端计算机上安装的 Windows 安全程序包进行协商。通过此方法,服务器无须提示用户输入登录信息即可对用户进行身份验证。身份验证凭据是受保护的,但所有其他通信将以纯文本形式发送,除非使用 SSL。

Microsoft 如果正被访问的服务器启用了集成 Windows 身份验证,则 Internet Explorer 允许对包括 Outlook Web App Web 部件的 Web 应用程序进行单一登录。对于每个浏览器会话,用户只能输入一次凭据。但是,其凭据会在浏览器进程中缓存。

在仅安装了客户端访问服务器角色的 Exchange 2010 服务器上,集成 Windows 身份验证只能与 Exchange 2010 虚拟目录一起使用。在同时装有客户端访问和邮箱角色的服务器上,集成 Windows 身份验证可用于任何虚拟目录。有关集成 Windows 身份验证的详细信息,请参阅 Windows Server 2003 文档。

注释注意:
只有运行 Windows 操作系统和 Internet Explorer 的计算机才支持集成 Windows 身份验证。集成 Windows 身份验证可以与其他 Web 浏览器配合工作,前提是已将这些浏览器配置为将用户的登录凭据传递到要求身份验证的服务器。

有关如何在 Outlook Web App 虚拟目录中配置集成 Windows 身份验证的详细信息,请参阅配置集成 Windows 身份验证

 © 2010 Microsoft Corporation。保留所有权利。
显示: