Présentation de l’authentification pour Outlook Web App
S'applique à : Exchange Server 2010
Dernière rubrique modifiée : 2009-10-14
Cette rubrique décrit les types d'authentification disponibles pour Outlook Web App dans Microsoft Exchange Server 2010. La méthode d'authentification optimale pour votre organisation dépend de ses besoins en matière de sécurité. Par défaut, Outlook Web App utilise l'authentification basée sur des formulaires et est configuré pour utiliser le chiffrement SSL (Secure Sockets Layer).
Authentification basée sur les formulaires
L'authentification basée sur des formulaires active une page de connexion pour Outlook Web App qui utilise un cookie pour stocker les informations d'identification d'ouverture de session chiffrées des utilisateurs dans le navigateur Internet. Le suivi de l'utilisation de ce cookie active le serveur Exchange pour surveiller l'activité des sessions d'Outlook Web App sur les ordinateurs publics et privés. Si une session reste inactive trop longtemps, le serveur bloque l'accès jusqu'à ce que l'utilisateur s'authentifie de nouveau.
La première fois que le nom de l’utilisateur et son mot de passe sont envoyés vers le serveur d’accès au client pour authentifier une session d’Outlook Web App, un cookie chiffré est créé pour le suivi des activités de cet utilisateur. Lorsque l'utilisateur ferme le navigateur Internet ou clique sur Déconnexion pour quitter la session d'Outlook Web App, le cookie est effacé. Le nom de l'utilisateur et son mot de passe sont envoyés au serveur d'accès client uniquement pour la connexion initiale de l'utilisateur. Une fois la connexion effectuée, seul le cookie est utilisé pour l'authentification de l'utilisateur entre l'ordinateur client et le serveur d'accès au client.
Pour plus d'informations sur l'authentification basée sur des formulaires et sa configuration, voir :
- Configuration d’une authentification basée sur les formulaires pour Outlook Web App
- Configurer l’authentification basée sur les formulaires pour Outlook Web App
Authentification unique pour Outlook Web App et le panneau de configuration Exchange
Pour prendre en charge l'authentification unique entre Outlook Web App et le panneau de configuration Exchange, un nouveau service, le service d'authentification basée sur des formulaires d'Exchange, est disponible dans Exchange 2010. Pour utiliser cette nouvelle fonctionnalité, vérifiez que le mode d'authentification pour Outlook Web App et le panneau de configuration Exchange est défini sur l'authentification basée sur des formulaires.
Définition de la valeur du délai d'expiration des cookies
Le délai d'expiration des cookies est défini selon le choix de l'utilisateur entre l'option Cet ordinateur est public ou partagé et l'option Cet ordinateur est privé dans la page d'ouverture de session d'Outlook Web App. Par défaut, le cookie sur l'ordinateur expire automatiquement et l'utilisateur est déconnecté s'il n'utilise pas Outlook Web App pendant 15 minutes et 22,5 minutes s'il a sélectionné l'option d'ordinateur public, et après une période de huit à douze heures s'il a sélectionné l'option d'ordinateur privé.
Le délai d'expiration automatique est utile, car il permet de protéger les comptes des utilisateurs contre les accès non autorisés. Pour répondre aux besoins de sécurité de votre organisation, vous pouvez configurer les délais d'expiration après inactivité sur le serveur d'accès au client Exchange.
Bien que le délai d'expiration automatique réduise les risques d'accès non autorisé, il n'élimine pas la possibilité qu'un utilisateur non autorisé accède à une boîte aux lettres Exchange si une session n'est pas interrompue sur un ordinateur public. C'est pourquoi, vous devez recommander aux utilisateurs de prendre des précautions pour éviter les risques, par exemple en leur demandant de se déconnecter d'Outlook Web App et de fermer le navigateur Web quand ils ont fini d'utiliser Outlook Web App.
Pour plus d'informations sur la configuration du délai d'expiration du cookie pour des ordinateurs publics ou privés, voir :
- Spécifier le délai d’expiration du cookie d’authentification basée sur les formulaires de l’ordinateur public
- Spécifier le délai d’expiration du cookie d’authentification basée sur les formulaires de l’ordinateur privé
Retour au début
Méthodes d'authentification standard
Dans Exchange 2010, les serveurs d'accès au client prennent en charge l'authentification Windows intégrée et l'authentification Digest HTTP 1.1 pour les répertoires virtuels Exchange 2010.
Pour plus d'informations sur les méthodes d'authentification standard, voir Configuration des méthodes d’authentification standard pour Outlook Web App.
Authentification de base
L’authentification de base est un mécanisme d’authentification simple défini par la spécification HTTP qui code le nom et le mot de passe de connexion d’un utilisateur avant d’envoyer les informations d’identification de l’utilisateur au serveur.
L'authentification de base ne prend pas en charge l'authentification unique. L'authentification Windows Server 2008 et Windows Server 2003 permet l'authentification unique pour toutes les ressources réseau. Avec une authentification unique, un utilisateur peut ouvrir une session une fois sur le domaine en utilisant un seul mot de passe ou une carte à puce et s’identifie sur un ordinateur du domaine.
L'authentification de base est prise en charge par tous les navigateurs Web mais elle n'est fiable que si vous exigez le chiffrement SSL (Secure Sockets Layer).
Pour plus d'informations sur la configuration de l'authentification de base sur un répertoire virtuel Outlook Web App, voir Configurer l’authentification de base.
Authentification Digest
L'authentification Digest transmet les mots de passe en tant que valeur de hachage pour plus de sécurité. L’authentification Digest peut uniquement être utilisée dans Windows Server 2008, Windows Server 2003 et les domaines Microsoft Windows 2000 Server pour les utilisateurs disposant d’un compte stocké dans Active Directory. Pour plus d’informations sur l’authentification Digest, consultez la documentation sur Windows Server 2003 et sur le Gestionnaire des services IIS (Internet Information Services).
L’authentification Digest n'est disponible que pour les répertoires virtuels d'Exchange 2010.
Important : |
---|
Si vous utilisez l'authentification de base ou Digest, lorsqu'un utilisateur se sert d'une borne d'accès à Internet, la mise en cache des informations d'identification peut poser un problème de sécurité si l'utilisateur ne ferme pas le navigateur et met fin au processus du navigateur entre les sessions. Ce risque est possible parce que les informations d'identification d'un utilisateur restent dans le cache lorsque l'utilisateur suivant accède à la borne d'accès à Internet. Pour activer Outlook Web App sur une borne d'accès à Internet, assurez-vous que l'utilisateur peut fermer le navigateur entre les sessions et mettre fin aux processus du navigateur. Sinon, envisagez d'utiliser un produit tiers qui intègre l'authentification à deux facteurs où l'utilisateur doit présenter un jeton physique avec un mot de passe pour utiliser Outlook Web App sur une borne. |
Pour plus d'informations sur la configuration de l'authentification Digest sur un répertoire virtuel Outlook Web App, voir Configurer l’authentification Digest.
Retour au début
Authentification Windows intégrée
L’authentification Windows intégrée requiert que les utilisateurs disposent d’un nom de compte et d’un mot de passe d’utilisateur Windows Server 2008, Windows Server 2003 ou Windows 2000 Server valides pour accéder aux informations. Les utilisateurs ayant ouvert une session sur le réseau local ne sont pas invités à entrer leurs noms et mots de passe d’utilisateur. En revanche, le serveur négocie avec les packages de sécurité Windows installés sur l'ordinateur client. Cette méthode permet au serveur d’authentifier des utilisateurs sans leur demander d’informations de connexion. Les informations d'identification sont protégées mais toute autre communication est envoyée en texte brut sauf si le chiffrement SSL est utilisé.
Microsoft Internet Explorer permet une authentification unique pour les applications Web contenant des composants WebPart Outlook Web App si le serveur auquel les utilisateurs accèdent dispose d'une authentification Windows intégrée activée. Les utilisateurs ne doivent entrer leurs informations d'identification qu'une seule fois pour chaque session de navigateur. Toutefois, leurs informations d'identification sont mises en cache dans le processus du navigateur.
Sur un serveur Exchange 2010 sur lequel seul le rôle serveur d'accès au client est installé, l'authentification Windows intégrée ne peut être utilisée qu'avec des répertoires virtuels Exchange 2010. Sur un serveur sur lequel les rôles serveur d'accès au client et serveur de boîtes aux lettres sont installés, vous pouvez utiliser l'authentification Windows intégrée avec n'importe quel répertoire virtuel. Pour plus d'informations sur l'authentification Windows intégrée, consultez la documentation de Windows Server 2003.
Remarque : |
---|
L'authentification Windows intégrée est uniquement prise en charge sur les ordinateurs exécutant un système d'exploitation Windows et Internet Explorer. L’authentification Windows intégrée peut fonctionner avec d’autres navigateurs Web s’ils ont été configurés pour transmettre les informations d’identification d’ouverture de session de l’utilisateur au serveur demandant l’authentification. |
Pour plus d'informations sur la configuration de l'authentification Windows intégrée sur un répertoire virtuel Outlook Web App, voir Configurer l’authentification Windows intégrée.