Configurazione dell'autenticazione basata su form per Outlook Web Access
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2008-11-24
In questo argomento viene illustrata l'autenticazione basata su moduli per Microsoft Office Outlook Web Access in Microsoft Exchange Server 2007. L'autenticazione basata su moduli attiva una pagina di accesso per Outlook Web Access che utilizza un cookie per archiviare le credenziali di accesso crittografate di un utente nel browser Internet. Tenendo traccia dell'utilizzo di questo cookie è possibile per il server di Exchange monitorare l'attività delle sessioni di Outlook Web Access su computer pubblici e privati. Se una sessione rimane inattiva troppo a lungo, il server blocca l'accesso fino a quando l'utente ripete l'autenticazione.
Utilizzo dei cookie per il controllo dell'accesso
La prima volta che il nome utente e la password vengono inviati al server Access Client per l'autenticazione di una sessione di Outlook Web Access, viene creato un cookie crittografato utilizzato per tenere traccia dell'attività dell'utente. Quando l'utente chiudere il browser Internet o fa clic su Disconnetti per disconnettere la propria sessione di Outlook Web Access, il cookie viene cancellato. Nome utente e password vengono inviati al server Access Client solo per l'accesso iniziale dell'utente. Dopo il completamento dell'accesso iniziale, per l'autenticazione tra il computer client e il server Access Client viene utilizzato solo il cookie.
Impostazione del valore di timeout del cookie su computer pubblici
Per impostazione predefinita, quando un utente seleziona l'opzione Computer pubblico o condiviso nella pagina di accesso di Outlook Web Access, il cookie sul computer scade automaticamente e l'utente viene disconnesso dopo che Outlook Web Access non viene utilizzato per 15 minuti.
Il timeout automatico è utile perché consente di proteggere gli account dell'utente da accessi non autorizzati. È possibile configurare i valori di timeout per inattività sul server Access Client di Exchange in base ai requisiti specifici di protezione dell'organizzazione.
Sebbene il timeout automatico riduca notevolmente il rischio di accessi non autorizzati, non elimina la possibilità che un utente non autorizzato possa accedere a un account di Outlook Web Access se una sessione su un computer pubblico viene lasciata aperta. Verificare pertanto di avvertire gli utenti perché adottino le misure necessarie a evitare rischi, ad esempio specificare di disconnettersi da Outlook Web Access e di chiudere il browser dpo aver terminato di utilizzare Outlook Web Access.
Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer pubblici, vedere Come impostare il valore di timeout del cookie di un computer pubblico per l'autenticazione basata su form.
Impostazione del valore di timeout del cookie su computer privati
Quando un utente seleziona l'opzione Computer privato nella pagina di accesso di Outlook Web Access, il server di Exchange consente un periodo di inattività più lungo prima di terminare automaticamente la sessione di Outlook Web Access. Il valore di timeout predefinito per l''accesso privato è di otto ore. L'opzione di timeout del cookie per computer privati è pensata a vantaggio degli utenti di Outlook Web Access che utilizzano un proprio computer o un computer su una rete aziendale.
È importante avvertire gli utenti dei rischi associati alla selezione dell'opzione Computer privato. L'utilizzo dell'opzione Computer privato è consigliato solo se l'utente è l'unico operatore del computer e se il computer è conforme ai criteri di protezione dell'organizzazione.
Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer privati, vedere Come impostare il valore di timeout del cookie di un computer privato per l'autenticazione basata su form.
Determinazione dell'attività utente
Dopo che una sessione di Outlook Web Access è rimasta inattiva per un determinato periodo, il server Access Client non dispone più della chiave di decrittografia per leggere il cookie e all'utente non è consentito l'accesso fino alla nuova autenticazione.
Exchange 2007 utilizza le informazioni seguenti per determinare l'attività utente:
L'interazione tra il computer client e il server Accesso client avviata dall'utente è considerata attività. Ad esempio, se un utente apre, invia o salva un elemento, se passa da una cartella a un'altra o da un modulo a un altro, se aggiorna la visualizzazione o la finestra del browser, in Exchange 2007 queste operazioni vengono tutte considerate attività.
Nota
L'interazione tra il computer client e il server generata dal server Access Client non è considerata attività. Ad esempio, le notifiche di nuova posta elettronica e i promemoria generati dal server Access Client in una sessione di Outlook Web Access non sono considerati attività.
In Outlook Web Access Light qualsiasi attività utente diversa dall'immissione di testo è considerata attività. In Outlook Web Access Premium qualsiasi interazione utente è considerata attività, inclusa l'immissione di testo in un messaggio di posta elettronica o in una convocazione di riunione.
Configurazione del prompt di accesso utilizzato dall'autenticazione basata su moduli
Invece di una finestra popup, l'autenticazione basata su moduli crea una pagina di accesso per Outlook Web Access. È possibile configurare il testo del prompt di accesso visualizzato dall'autenticazione basata su moduli utilizzando Exchange Management Console o Exchange Management Shell. Le modifiche alla configurazione apportate influenzano solo il testo del prompt di accesso, non il formato in cui l'utente deve eseguire l'accesso. Ad esempio, è possibile configurare la pagina di accesso per l'autenticazione basata su moduli in modo che richieda agli utenti di specificare le proprie informazioni di accesso nel formato dominio\nome utente; un utente, tuttavia, può anche immettere il proprio nome dell'entità utente (UPN, User Principal Name) e l'accesso verrà eseguito.
I tipi seguenti di prompt di accesso possono essere utilizzati dall'autenticazione basata su moduli nella pagina di accesso di Outlook Web Access. Selezionare il prompt di più semplice comprensione e utilizzo per gli utenti.
FullDomain Dominio e nome utente nel formato dominio\nome utente. Ad esempio, Contoso\Kweku.
PrincipalName L'UPN. L'UPN è costituito da due parti: il prefisso UPN che rappresenta il nome utente e il suffisso UPN che rappresenta il nome di dominio DNS. Il prefisso e il suffisso sono uniti dal segno @, per completare l'UPN. Ad esempio, Kweku@contoso.com. Gli utenti possono accedere a Outlook Web Access inserendo il proprio indirizzo di posta elettronica principale oppure il proprio UPN.
UserName Il solo nome utente. Il nome dominio non è incluso. Ad esempio, Kweku. Questo formato di accesso funzionerà solo se il nome dominio è stato configurato.
Nota
Se necessario, è possibile modificare il formato che l'utente deve utilizzare per accedere a Outlook Web Access configurando il servizio directory di Active Directory e Internet Information Services (IIS). L'utilizzo di Active Directory e di IIS per impostare i formati del nome utente che gli utenti possono immettere per autenticarsi è indipendente dal prompt per l'autenticazione basata su moduli di Outlook Web Access illustrato in precedenza.
Informazioni sulla crittografia per l'accesso utente da computer pubblici e privati
La crittografia delle credenziali di accesso utente per i tipi di accesso a Outlook Web Access pubblico e privato riguarda un set di sei codici di autenticazione di messaggio hash (HMAC). Gli HMAC sono chiavi a 160 bit generate sul server Access Client. Gli HMAC migliorano la protezione in accesso combinando algoritmi di hashing con funzioni crittografiche per la crittografia delle credenziali di accesso utente. La crittografia e la decrittografia di un cookie vengono eseguite dallo stesso server Access Client. Solo il server Access Client che genera la chiave di autenticazione dispone della chiave per decrittografare il cookie.
Quando l'autenticazione basata su moduli per Outlook Web Access è utilizzata, il server Access Client mostra in sequenza un set di tre chiavi per ogni tipo di accesso, pubblico e privato, con una frequenza determinata. Questa frequenza viene definita tempo di riciclo. Il tempo di riciclo per una chiave è pari a metà del valore di timeout per l'accesso. Ad esempio, quando il valore di timeout per l'accesso pubblico è impostato su 15 minuti, il tempo di riciclo della chiave pubblica è 7,5 minuti.
Le sei chiavi di accesso vengono create dal server Access Client all'avvio delle directory virtuali di Outlook Web Access. Tre vengono utilizzate con accessi a computer pubblici e tre con accessi a computer privati. Quando un utente esegue l'accesso, la chiave corrente per il relativo tipo di accesso viene utilizzata per crittografare le informazioni di autenticazione dell'utente in un cookie.
Quando il tempo di riciclo è trascorso, il server Access Client passa alla chiave successiva. Dopo che sono state utilizzate tutte e tre le chiavi per un tipo di accesso, il server Access Client elimina la chiave meno recente e crea una nuova chiave. Il server Access Client mantiene sempre tre chiavi disponibili per ogni tipo di accesso: la chiave corrente e le due chiavi più recenti. Il riciclo delle chiavi continua finché Outlook Web Access è in esecuzione sul server Access Client. Le stesse chiavi vengono utilizzate per tutti gli utenti.
Qualsiasi cookie che sia stato crittografato utilizzando una chiave attiva verrà accettato. Quando una richiesta di attività utente viene ricevuta dal server Access Client, il cookie per tale richiesta viene sostituito da un nuovo cookie crittografato con la chiave più recente. Il timeout di una sessione utente avviene quando il cookie associato a essa viene crittografato tramite una chiave precedente che è stata eliminata.
A causa della relazione tra il tempo di riciclo delle chiavi di crittografia e il timeout utente configurato sul server, il periodo di timeout effettivo per un utente può essere compreso tra il timeout configurato e il timeout configurato più metà del relativo valore. Ad esempio, se il timeout configurato è 30 minuti, il timeout effettivo per qualsiasi sessione utente può essere compreso tra 30 e 45 minuti.
Nella tabella 1 sono incluse informazioni sul timeout del cookie e sul tempo di riciclo della chiave di autenticazione in base a un accesso utente da un computer pubblico o privato.
Tabella 1 Timeout del cookie predefinito e tempo di riciclo della chiave di autenticazione per ogni tipo di accesso utente
Accesso | Valore di timeout del cookie | Tempo di riciclo per la chiave di autenticazione se si utilizza il valore di timeout predefinito |
---|---|---|
Public |
Da un minuto a 30 giorni. L'impostazione predefinita è 15 minuti. |
7,5 minuti |
Privata |
Da un minuto a 30 giorni. L'impostazione predefinita è 8 ore. |
4 ore |
Nota
È possibile configurare il valore di timeout del cookie in minuti utilizzando il Registro di sistema. Il tempo di riciclo della chiave di autenticazione è almeno un terzo e non più di metà del valore di timeout del cookie.
Utilizzo di SSL per la protezione di Outlook Web Access
Per impostazione predefinita, la crittografia Secure Sockets Layer (SSL) è attivata quando si installa il ruolo del server Accesso client. Se SSL non è utilizzato, il nome utente e la password saranno inviati sotto forma di testo non crittografato all'accesso iniziale. Quando SSL è utilizzato, vengono crittografate tutte le comunicazioni tra il computer client e il server Access Client, impedendo che informazioni riservate, ad esempio nomi utente, password e messaggi di posta elettronica, possano essere visualizzate da terze parti.
Un certificato SSL predefinito viene installato con il ruolo del server Accesso client, ma non è attendibile. Se si utilizza il certificato SSL predefinito, deve provenire da una Autorità di certificazione disponibile nell'elenco locale; altrimenti verrà visualizzato un messaggio in cui viene chiesto agli utenti se considerano attendibile il certificato ogni volta che accedono a Outlook Web Access. Per ulteriori informazioni sull'utilizzo del certificato SSL predefinito, vedere Come sostituire il certificato SSL predefinito con un altro certificato disponibile nell'elenco locale.
Ulteriori informazioni
Per ulteriori informazioni su come gestire SSL, vedere Gestione di SSL per un server Accesso client.
Per ulteriori informazioni sulla configurazione di una pagina di accesso per l'autenticazione basata su moduli, vedere Configurazione dell'autenticazione basata su form per Outlook Web Access.
Per ulteriori informazioni sulla configurazione del valore di timeout del cookie in una directory virtuale di Outlook Web Access su un computer pubblico, vedere Come impostare il valore di timeout del cookie di un computer pubblico per l'autenticazione basata su form.
Per ulteriori informazioni sulla configurazione del valore di timeout del cookie in una directory virtuale di Outlook Web Access su un computer privato, vedere Come impostare il valore di timeout del cookie di un computer privato per l'autenticazione basata su form.
Per ulteriori informazioni sulla protezione, vedere Gestione della protezione dell'accesso client.
Per ulteriori informazioni sulla personalizzazione della pagina di accesso per l'autenticazione basata su form, vedere Gestione delle caratteristiche avanzate di Outlook Web Access.