Configurar los métodos de autenticación estándar para Outlook Web Access

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2006-09-05

Este tema describe métodos de autenticación estándar para ayudar en la seguridad de los equipo que ejecuten Microsoft Exchange Server 2007 que tengan instalada la función de servidor de acceso de cliente para Microsoft Office Outlook Web Access.

En Exchange 2007, los servidores de acceso de clientes admiten autenticaciones integradas de Windows y autenticaciones HTTP 1.1 Digest para directorios virtuales de Exchange 2007. Los directorios virtuales de Exchange 2000 y Exchange 2003 en un servidor que ejecute sólo la función de servidor de acceso de cliente admiten sólo autenticaciones básicas y basadas en formularios.

Nota

Los servidores de fondo de Exchange Server 2003 admiten Windows basado en formularios, básico, integrado y autenticaciones implícitas. Los servidores de aplicaciones para usuario de Exchange Server 2003 no admiten autenticaciones integradas o implícitas de Windows.

Métodos de autenticación estándar

Esta sección describe los métodos de autenticación estándar. Los métodos de autenticación estándar incluyen autenticaciones básicas, autenticaciones implícitas y autenticaciones de Windows integradas.

Nota

De manera predeterminada, Exchange 2007 permite la autenticación basada en formularios.

Autenticación básica

La autenticación básica es un mecanismo de autenticación simple definida por la especificación HTTP que codifica el nombre de conexión del usuario y la contraseña antes de que la credenciales del usuario se envíen al servidor.

La autenticación básica no admite el inicio de sesión único. La autenticación de Microsoft Windows Server 2003 habilita el inicio de sesión único de todos los recursos de red. Con un inicio de sesión único, un usuario puede iniciar sesión en el dominio una vez utilizando una única contraseña o tarjeta inteligente y autenticarse en cualquier equipo del dominio.

Las autenticaciones básicas se incluyen en todos los exploradores Web pero no ofrece protección a no ser que necesite el cifrado de Nivel de socket seguro (SSL).

Autenticación implícita

Las autenticaciones implícitas transmiten contraseñas a través de la red como un valor hash para seguridad adicional. Las autenticaciones implícitas se pueden usar sólo en los dominios Windows Server 2003 y Windows 2000 Server para los usuarios que tengan una cuenta almacenada en el servicio de directorio de Active Directory. Para obtener más información acerca de la autenticación implícita, vea Windows Server 2003 y la documentación del administrador de los servicios de Internet Information Server (IIS).

La autenticación de acceso implícita está disponible sólo en los directorios virtuales de Exchange 2007.

Importante

Si utiliza una autenticación implícita o básica, cuando un usuario utiliza un quiosco, almacenando en caché credenciales puede generar un riesgo de seguridad si el usuario no puede cerrar el explorador y finalizar el proceso del explorador entre sesiones. Este riesgo ocurre ya que las credenciales de un usuario permanecen en la memoria caché cuando el siguiente usuario tiene acceso al quiosco. Para habilitar Outlook Web Access en un quiosco, asegúrese de que el usuario puede cerrar el explorador entre sesiones y finalizar los procesos del explorador. De lo contrario, considere la posibilidad de usar un producto de terceros que incorpore autenticaciones de dos factores en los que el usuario deba presentar un testigo físico junto con una contraseña para usar Outlook Web Access en el quiosco.

Autenticación de Windows integrada

Las autenticaciones de Windows integradas necesitan que los usuarios tenga un nombre de cuenta de usuario válida de Windows 2000 Server o Windows Server 2003 y una contraseña para tener acceso a la información. Los usuarios que inicien sesión en la red local no necesitan nombres de usuario ni contraseñas. En su lugar, el servidor negocia con los paquetes de seguridad de Windows instalados en el equipo del cliente. Este método permite al servidor autenticar a los usuarios sin solicitarles la información de inicio de sesión. Las credenciales de autenticación están protegidas, pero el resto de las comunicaciones se enviarán en texto sin cifrar a menos que se use SSL.

Microsoft Internet Explorer permite la firma única para las aplicaciones web que incluyan elementos web de Outlook Web Access si el servidor al que se tiene acceso tiene habilitada la autenticación de Windows integrada. Los usuarios tienen que escribir las credenciales sólo una vez en cada sesión del explorador. Sin embargo, las credenciales se almacenan en la memoria caché en el proceso del explorador.

En un servidor Exchange 2007 en el cual sólo está instalada la función de servidor de Acceso del cliente, la autenticación de Windows integrada puede usarse sólo con directorios virtuales de Exchange 2007. En un servidor que tenga instaladas las funciones de Acceso del cliente y de Buzones, la autenticación de Windows integrada puede usarse con cualquier directorio virtual. Para obtener más información acerca de la autenticación de Windows integrada, vea la documentación de Windows Server 2003 (en inglés).

Nota

Las autenticaciones de Windows integradas se admiten sólo en equipos que ejecuten un sistema operativo Windows y Internet Explorer. Las autenticaciones de Windows integradas trabajan con otros exploradores web si se han configurado para pasar las credenciales de inicio de sesión de los usuarios al servidor que pide la autenticación.

Para obtener más información