共用方式為


設定 Outlook Web Access 的表單型驗證

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2008-11-24

本主題說明 Microsoft Exchange Server 2007 中之 Microsoft Office Outlook Web Access 的表單型驗證。表單型驗證啟用 Outlook Web Access 的登入頁面,而此登入頁面在網際網路瀏覽器中使用 Cookie 儲存使用者的加密登入認證。追蹤此 Cookie 的使用,可以讓 Exchange 伺服器監視公用及私人電腦上之 Outlook Web Access 工作階段的活動。如果工作階段未作用的時間過長,則除非使用者重新驗證,否則伺服器會封鎖存取。

第一次將使用者名稱及密碼傳送給 Client Access server 以驗證 Outlook Web Access 工作階段時,會建立加密 Cookie,並使用此加密 Cookie 追蹤使用者活動。在使用者關閉網際網路瀏覽器,或按一下 [登出] 登出他們的 Outlook Web Access 工作階段時,會清除 Cookie。只有在初始使用者登入時,才會將使用者名稱及密碼傳送給 Client Access server。初始登入完成後,該 Cookie 只用於用戶端電腦與 Client Access server 之間的驗證。

在使用者選取 Outlook Web Access 登入頁面上的 [這是公用或共用電腦] 選項時,電腦上的 Cookie 預設會自動到期,而且會在使用者 15 分鐘未使用 Outlook Web Access 後登出使用者。

自動逾時非常實用,有助於保護使用者帳戶免於未經授權的存取。為了符合組織的安全性需求,您可以在 Exchange Client Access Server 上設定閒置逾時值。

雖然自動逾時會明顯降低未經授權存取的風險,但是如果讓工作階段繼續在公用電腦上執行,仍然無法排除未經授權使用者存取 Outlook Web Access 帳戶的可能性。因此,請確定警告使用者要注意避免風險 (如告訴使用者在使用完 Outlook Web Access 時登出 Outlook Web Access,並關閉網頁瀏覽器)。

如需如何設定公用電腦之 Cookie 逾時值的相關資訊,請參閱如何設定表單型驗證公用電腦 Cookie 逾時值

在使用者選取 Outlook Web Access 登入頁面上的 [這是私人電腦] 選項時,Exchange 伺服器允許在自動結束 Outlook Web Access 工作階段之前有較長的閒置期間。私人登入的預設逾時值是 8 個小時。私人電腦 Cookie 逾時選項主要是協助 Outlook Web Access 使用者,而這類使用者使用的是他們自己的電腦或位在公司網路上的電腦。

警告使用者選取 [這是私人電腦] 選項的相關風險是很重要的。只有在使用者為電腦的唯一操作員,而且電腦遵守組織的安全性原則時,使用者才應該選取私人電腦選項。

如需如何設定私人電腦之 Cookie 逾時值的相關資訊,請參閱如何設定表單型驗證私人電腦 Cookie 逾時值

判斷使用者活動

在 Outlook Web Access 工作階段閒置特定的一段時間後,Client Access server 就不會再有解密金鑰可以讀取 Cookie,而且除非使用者再次進行驗證,否則會拒絕使用者的存取。

Exchange 2007 使用下列資訊來判斷使用者活動:

  • 用戶端電腦與使用者初始化的 Client Access Server 之間的互動視為活動。例如,如果使用者開啟、傳送或儲存項目;切換資料夾或模組;或更新檢視或網頁瀏覽器視窗,Exchange 2007 會將這些都視為活動。

    note附註:
    用戶端電腦與 Client Access server 自動產生之伺服器間的互動則不視為活動。例如,Client Access server 在 Outlook Web Access 工作階段中產生的新電子郵件通知及提醒都不視為活動。
  • 在 Outlook Web Access (基本) 中,輸入文字以外的所有使用者活動都視為活動。在 Outlook Web Access (高階) 中,所有使用者互動 (包括在電子郵件或會議邀請中輸入文字) 都視為活動。

設定表單型驗證使用的登入提示

表單型驗證不使用快顯視窗,而是建立 Outlook Web Access 的登入頁面。您可以使用 Exchange 管理主控台或 Exchange 管理命令介面,設定表單型驗證提供的登入提示文字。所進行的組態變更只會變更登入提示文字。並不會變更使用者必須用來登入的格式。例如,您可以設定表單型驗證登入頁面,提示使用者以「網域\使用者名稱」的格式來提供他們的登入資訊。然而,使用者也可以輸入其主要名稱 (UPN),登入將會成功。

表單型驗證可以在 Outlook Web Access 登入頁面上使用下列類型的登入提示。請選取使用者最容易了解及使用的提示。

  • FullDomain   使用者的網域及使用者名稱,格式為「網域\使用者名稱」。例如,Contoso\Kweku。

  • PrincipalName   UPN。UPN 有兩個部分:UPN 前置詞 (使用者帳戶名稱) 及 UPN 尾碼 (DNS 網域名稱)。會用 @ 符號連接前置詞及尾碼,以產生完整 UPN。例如,Kweku@contoso.com。使用者可以藉由輸入他們的主要電子郵件地址或 UPN 來存取 Outlook Web Access。

  • UserName   只有使用者名稱。不包括網域名稱。例如,Kweku。只有在已設定網域名稱時,此登入格式才會作用。

    note附註:
    必要時,可以設定 Active Directory 目錄服務及網際網路資訊服務 (IIS),變更使用者必須用來登入 Outlook Web Access 的格式。使用 Active Directory 及 IIS 設定使用者可以輸入以進行驗證的使用者名稱格式,與稍早所討論的 Outlook Web Access 表單型驗證提示無關。

了解公用及私人電腦之使用者登入的加密

公用及私人 Outlook Web Access 登入類型的使用者登入認證加密,包含一組六個雜湊訊息驗證碼 (HMAC)。HMAC 是在 Client Access Server 上產生的 160 位元金鑰。HMAC 結合雜湊演算法與加密功能以加密使用者登入認證,改善了登入安全性。Cookie 的加密及解密是由相同 Client Access server 所執行。只有產生驗證金鑰的 Client Access server 具有金鑰可以將該 Cookie 解密。

使用 Outlook Web Access 的表單型驗證時,Client Access server 會以設定的速率針對每個類型的登入 (公用及私人) 循環使用三個金鑰的組合。這稱為重複使用時間。金鑰的重複使用時間是登入逾時值的一半。例如,公用登入的逾時值設為 15 分鐘時,公開金鑰重複使用時間為 7.5 分鐘。

Client Access server 會在啟動 Outlook Web Access 虛擬目錄時建立這六個登入金鑰。其中三個是與公用電腦登入搭配使用,而另三個是與私人電腦登入搭配使用。使用者登入時,會使用他們登入類型的目前金鑰將使用者的驗證資訊加密至 Cookie 中。

過了重複使用時間時,Client Access server 會移至下個金鑰。在使用完該登入類型的所有三個金鑰後,Client Access server 會刪除最舊的金鑰,並建立新的金鑰。Client Access server 一律會為每個登入類型保留三個可用的金鑰:目前金鑰及兩個最新的金鑰。只要 Outlook Web Access 是在 Client Access Server 上執行,就會繼續重複使用金鑰。所有使用者都會使用相同的金鑰。

使用使用中金鑰加密的所有 Cookie 都會被接受。Client Access Server 收到使用者活動要求時,該要求的 Cookie 會取代為使用最新金鑰來加密的新 Cookie。使用已捨棄的較舊金鑰來加密與使用者工作階段關聯的 Cookie 時,該使用者工作階段會逾時。

因為加密金鑰之重複使用時間與伺服器上設定之使用者逾時間的關係,所以使用者的實際逾時期間可以介於設定之逾時與設定之逾時加上該值一半之間。例如,如果設定的逾時是 30 分鐘,則任何使用者工作階段的實際逾時可能是介於 30 分鐘與 45 分鐘之間。

表 1 是根據公用或私人電腦的使用者登入,提供 Cookie 逾時及驗證金鑰重複使用時間的相關資訊。

登入 Cookie 逾時值 如果使用預設逾時值,則為驗證金鑰的重複使用時間

公用

1 分鐘到 30 天。預設為 15 分鐘。

7.5 分鐘

私人

1 分鐘到 30 天。預設值為 8 小時。

4 小時

note附註:
您可以使用登錄來設定 Cookie 逾時值 (分鐘)。驗證金鑰的重複使用時間最小是 Cookie 逾時值的 1/3,而且不大於 1/2。

使用 SSL 協助保護 Outlook Web Access 安全

安裝 Client Access server role 時,預設會開啟安全通訊端層 (SSL) 加密。如果未使用 SSL,則會在初始登入時以純文字格式傳送使用者名稱及密碼。使用 SSL 時,會加密用戶端電腦與 Client Access server 間的所有通訊,並協助防止第三方檢視敏感資訊 (如使用者名稱、密碼及電子郵件)。

預設 SSL 憑證是與 Client Access server role 一起安裝,但不受信任。如果您使用預設 SSL 憑證,它必須受到信任,否則每次使用者登入 Outlook Web Access 時便會出現提示,詢問使用者是否信任該憑證。如需如何使用預設 SSL 憑證的相關資訊,請參閱如何以另一個信任憑證取代預設 SSL 憑證

相關資訊