Configurazione dell'autenticazione basata su moduli per Outlook Web App
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
L'autenticazione basata su moduli attiva una pagina di accesso per Outlook Web App di Exchange Server 2010 che utilizza un cookie per archiviare le credenziali di accesso crittografate di un utente nel browser Internet. Tenendo traccia dell'utilizzo di questo cookie è possibile per il server di Exchange monitorare l'attività delle sessioni di Outlook Web App su computer pubblici e privati. Se una sessione rimane inattiva troppo a lungo, il server blocca l'accesso fino a quando l'utente ripete l'autenticazione.
Sommario
Utilizzo dei cookie per il controllo dell'accesso
Determinazione dell'attività utente
Configurazione del prompt di accesso utilizzato dall'autenticazione basata su moduli
Informazioni sulla crittografia per l'accesso utente da computer pubblici e privati
Protezione di Outlook Web App tramite SSL
Utilizzo dei cookie per il controllo dell'accesso
La prima volta che il nome utente e la password vengono inviati al server Accesso client per l'autenticazione di una sessione di Outlook Web App, viene creato un cookie crittografato utilizzato per tenere traccia dell'attività dell'utente. Quando l'utente chiude il browser Internet o fa clic su Disconnetti per chiudere la sessione di Outlook Web App, il cookie viene cancellato. Il nome utente e la password vengono inviate al server Accesso client solo per il primo accesso. Dopo il completamento dell'accesso iniziale, per l'autenticazione tra il computer client e il server Accesso client viene utilizzato solo il cookie.
Impostazione del valore di timeout del cookie su computer pubblici
Per impostazione predefinita, quando un utente seleziona l'opzione Computer pubblico o condiviso nella pagina di accesso di Outlook Web App, il cookie sul computer scade automaticamente e l'utente viene disconnesso dopo che Outlook Web App non viene utilizzato per 15 minuti.
Il timeout automatico è utile perché consente di proteggere gli account dell'utente da accessi non autorizzati. È possibile configurare i valori di timeout per inattività sul server Access Client di Exchange in base ai requisiti specifici di protezione dell'organizzazione.
Sebbene il timeout automatico riduca notevolmente il rischio di accessi non autorizzati, non elimina la possibilità che un utente non autorizzato possa accedere a un account di Outlook Web App se una sessione su un computer pubblico viene lasciata aperta. Quindi, è necessario avvertire gli utenti perché adottino le misure necessarie a evitare rischi, ad esempio disconnettersi da Outlook Web App e chiudere il Web browser dopo aver terminato di utilizzare Outlook Web App.
Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer pubblici, vedere Impostazione del valore di timeout del cookie di un computer pubblico per l'autenticazione basata su moduli.
Impostazione del valore di timeout del cookie su computer privati
Quando un utente seleziona l'opzione Computer privato nella pagina di accesso di Outlook Web App, il server di Exchange consente un periodo di inattività più lungo prima di terminare automaticamente la sessione di Outlook Web App. Il valore predefinito del timeout per la registrazione privata è otto ore. A causa del rapporto tra il tempo di decodifica dei termini crittografati e il valore di timeout configurato sul server, l'effettivo valore di timeout per la registrazione privata può variare dalle otto alle dodici ore. Per ulteriori informazioni, vedere Informazioni sulla crittografia per l'accesso utente da computer pubblici e privati. L'opzione di timeout del cookie per computer privati è stata messa a punto per favorire gli utenti di Outlook Web App che utilizzano un proprio computer o un computer su una rete aziendale.
È importante avvertire gli utenti dei rischi associati alla selezione dell'opzione Computer privato. L'utilizzo dell'opzione Computer privato è consigliato solo se l'utente è l'unico operatore del computer e se il computer è conforme ai criteri di protezione dell'organizzazione.
Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer privati, vedere Impostazione del valore di timeout del cookie di un computer privato per l'autenticazione basata su moduli.
Inizio pagina
Determinazione dell'attività utente
Dopo che una sessione di Outlook Web App è rimasta inattiva per un determinato periodo, il server Accesso client non dispone più della chiave di decrittografia per leggere il cookie e all'utente non è consentito l'accesso fino alla nuova autenticazione.
Exchange 2010 utilizza le informazioni seguenti per determinare l'attività dell'utente:
L'interazione tra il computer client e il server Accesso client avviata dall'utente è considerata attività. Ad esempio, se un utente apre, invia o salva un elemento, se passa da una cartella a un'altra o da un modulo a un altro, se aggiorna la visualizzazione o la finestra del Web browser, in Exchange 2010 queste operazioni vengono tutte considerate attività.
Nota
L'interazione tra il computer client e il server generato dal server Accesso client non è considerata attività. Ad esempio, le notifiche per i nuovi messaggi di posta elettronica e i promemoria generati dal server Accesso client in una sessione di Outlook Web App non sono considerati attività.
In Outlook Web App, qualsiasi interazione utente è considerata attività, inclusa l'immissione di testo in un messaggio di posta elettronica o in una convocazione di riunione. Nella versione light di Outlook Web App, qualsiasi attività utente diversa dall'immissione di testo è considerata attività.
Configurazione del prompt di accesso utilizzato dall'autenticazione basata su moduli
Invece di una finestra popup, l'autenticazione basata su moduli crea una pagina di accesso per Outlook Web App. È possibile configurare il prompt di accesso per l'autenticazione basata su moduli utilizzando Exchange Management Console o Exchange Management Shell. Le modifiche alla configurazione apportate influenzano solo il testo del prompt di accesso, non il formato in cui l'utente deve eseguire l'accesso. Ad esempio, è possibile configurare la pagina di accesso per l'autenticazione basata su moduli in modo che richieda agli utenti di specificare le proprie informazioni di accesso nel formato dominio\nome utente. Tuttavia, un utente può anche immettere il proprio nome dell'entità utente (UPN) e l'accesso verrà eseguito.
I tipi seguenti di prompt di accesso possono essere utilizzati dall'autenticazione basata su moduli nella pagina di accesso di Outlook Web App. Selezionare il prompt di più semplice comprensione e utilizzo per gli utenti.
Dominio completo Dominio e nome dell'utente nel formato dominio\nome utente. Ad esempio, Contoso\Kweku.
Nome principale Il nome dell'entità utente (UPN). L'UPN è costituito da due parti: il prefisso UPN che rappresenta il nome utente e il suffisso UPN che rappresenta il nome di dominio DNS. Il prefisso e il suffisso sono uniti dal segno @, per completare l'UPN. Ad esempio, Kweku@contoso.com. Gli utenti possono accedere a Outlook Web App inserendo il proprio indirizzo di posta elettronica principale oppure il proprio UPN.
Nome utente Solo il nome utente. Il nome di dominio non è incluso. Ad esempio, Kweku. Questo formato di accesso funzionerà solo se il nome di dominio è stato configurato.
Nota
Se necessario, è possibile modificare il formato che l'utente deve utilizzare per accedere a Outlook Web App configurando Active Directory e Internet Information Services (IIS). L'utilizzo di Active Directory e di IIS per impostare i formati del nome utente che gli utenti possono immettere per autenticarsi è indipendente dal prompt per l'autenticazione basata su moduli di Outlook Web App illustrato in precedenza.
Inizio pagina
Informazioni sulla crittografia per l'accesso utente da computer pubblici e privati
La crittografia delle credenziali di accesso utente per i tipi di accesso a Outlook Web App pubblico e privato riguarda un set di sei codici di autenticazione di messaggio hash (HMAC). Gli HMAC sono chiavi a 160 bit generate sul server Access Client. Gli HMAC migliorano la protezione in accesso combinando algoritmi di hashing con funzioni crittografiche per la crittografia delle credenziali di accesso utente. La crittografia e la decrittografia di un cookie vengono eseguite dallo stesso server Access Client. Solo il server Access Client che genera la chiave di autenticazione dispone della chiave per decrittografare il cookie.
Quando l'autenticazione basata su moduli viene utilizzata, il server Accesso client mostra in sequenza un set di tre chiavi per ogni tipo di accesso, pubblico e privato, con una frequenza determinata. Questa frequenza viene definita tempo di riciclo. Il tempo di riciclo per una chiave è pari a metà del valore di timeout per l'accesso. Ad esempio, quando il valore di timeout per l'accesso pubblico è impostato su 15 minuti, il tempo di riciclo della chiave pubblica è 7,5 minuti.
Le sei chiavi di accesso vengono create dal server Accesso client all'avvio delle directory virtuali di Outlook Web App. Tre vengono utilizzate con accessi a computer pubblici e tre con accessi a computer privati. Quando un utente esegue l'accesso, la chiave corrente per il relativo tipo di accesso viene utilizzata per crittografare le informazioni di autenticazione dell'utente in un cookie.
Quando il tempo di riciclo è trascorso, il server Access Client passa alla chiave successiva. Dopo che sono state utilizzate tutte e tre le chiavi per un tipo di accesso, il server Accesso client elimina la chiave meno recente e ne crea una nuova. Il server Accesso client mantiene sempre tre chiavi disponibili per ogni tipo di accesso: la chiave corrente e le due chiavi più recenti. Il riciclo delle chiavi continua finché Outlook Web App è in esecuzione sul server Accesso client. Le stesse chiavi vengono utilizzate per tutti gli utenti.
Qualsiasi cookie che sia stato crittografato utilizzando una chiave attiva verrà accettato. Quando una richiesta di attività utente viene ricevuta dal server Accesso client, il cookie per tale richiesta viene sostituito da un nuovo cookie crittografato con la chiave più recente. Il timeout di una sessione utente avviene quando il cookie associato a essa viene crittografato da una chiave precedente che è stata eliminata.
A causa della relazione tra il tempo di riciclo delle chiavi di crittografia e il timeout utente configurato sul server, il periodo di timeout effettivo per un utente può essere compreso tra il timeout configurato e il timeout configurato più metà del relativo valore. Ad esempio, se il timeout configurato è 30 minuti, il timeout effettivo per qualsiasi sessione utente può essere compreso tra 30 e 45 minuti.
Nella tabella seguente sono incluse informazioni sul timeout del cookie e sul tempo di riciclo della chiave di autenticazione in base a un accesso utente da un computer pubblico o privato.
Timeout del cookie predefinito e tempo di riciclo della chiave di autenticazione per ogni tipo di accesso utente
Accesso | Valore di timeout del cookie | Tempo di riciclo per la chiave di autenticazione se si utilizza il valore di timeout predefinito |
---|---|---|
Public |
Da un minuto a 30 giorni. L'impostazione predefinita è 15 minuti. |
7,5 minuti |
Privata |
Da un minuto a 30 giorni. L'impostazione predefinita è 8 ore. |
4 ore |
Nota
È possibile configurare il valore di timeout del cookie in minuti utilizzando il Registro di sistema. Il tempo di riciclo della chiave di autenticazione è almeno un terzo e non più di metà del valore di timeout del cookie.
Inizio pagina
Protezione di Outlook Web App tramite SSL
Per impostazione predefinita, la crittografia Secure Sockets Layer (SSL) è attivata quando si installa il ruolo del server Accesso client. Se SSL non viene utilizzato, il nome utente e la password verranno inviati in testo non crittografato all'accesso iniziale. Se SSL viene utilizzato, tutte le comunicazioni tra il computer client e il server Accesso client vengono crittografate, impedendo la visualizzazione delle informazioni riservate, quali nomi utente, password e messaggi di posta elettronica, da parte di terzi.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.