Authentifizierung und EWS in Exchange
Hier finden Sie Informationen, die Sie dabei unterstützen, den richtigen Authentifizierungsstandard für Ihre EWS-Anwendung für Exchange zu finden.
Die Authentifizierung ist ein wichtiger Bestandteil Ihrer Exchange Web Services-Anwendung (EWS). Exchange Online, Exchange Online als Teil von Office 365 und lokale Versionen von Exchange ab Exchange Server 2013 unterstützen standardmäßige Webauthentifizierungsprotokolle, um die Sicherheit der Kommunikation zwischen Ihrer Anwendung und dem Exchange-Server zu gewährleisten.
Wenn Sie auf Exchange Online abzielen, muss die von Ihnen gewählte Authentifizierungsmethode HTTPS zum Verschlüsseln der Anforderungen und Antworten, die Ihre Anwendung sendet, verwenden. Auch wenn Sie auf lokalen Servern HTTP mit Exchange verwenden können, empfehlen wir die Verwendung von HTTPS für alle Anforderungen, die Ihre Anwendung an einen EWS-Endpunkt sendet, um auf diese Weise die Kommunikation zwischen der Anwendung und einem Exchange-Server zu sichern.
Exchange bietet die folgenden Authentifizierungsoptionen:
OAuth 2.0 (nur Exchange Online)
NTLM (nur lokales Exchange)
Standard (nicht mehr empfohlen)
Welche Authentifizierungsmethode Sie auswählen, hängt von den Sicherheitsanforderungen Ihres Unternehmens ab sowie davon, ob Sie Exchange Online oder lokales Exchange verwenden und ob Sie Zugriff auf einen Drittanbieter haben, der OAuth-Token ausstellen kann. In diesem Artikel finden Sie Informationen, die Sie bei der Auswahl des passenden Authentifizierungsstandard für Ihre Anwendung unterstützt.
OAuth-Authentifizierung
Wir empfehlen die Verwendung des OAuth-Standards für alle neuen Anwendungen, die sich mit Exchange Online-Diensten verbinden. Der Vorteil, den diese Authentifizierung im Vergleich zur Standardauthentifizierung bietet, rechtfertigt den zusätzlichen Aufwand, der zum Implementieren von OAuth in Ihre Anwendung notwendig ist. Beachten Sie hierbei jedoch auch, dass es durchaus einige Nachteile gibt.
Tabelle 1. Vor- und Nachteile von OAuth
Vorteile | Nachteile |
---|---|
OAuth ist ein Authentifizierungsprotokoll nach Branchenstandard. Die Authentifizierung wird durch einen Drittanbieter verwaltet. Ihre Anwendung muss keine Exchange-Anmeldeinformationen sammeln und speichern. Hierum müssen Sie sich also nicht kümmern. Ihre Anwendung enthält nur ein verdecktes Token vom Authentifizierungsanbieter. Daher wird bei einer Sicherheitsverletzung nur das Token aufgedeckt, jedoch keine Exchange-Anmeldeinformationen des Benutzers. |
OAuth ist von einem Drittpartei-Authentifizierungsanbieter abhängig. Dies kann zusätzliche Kosten für Ihr Unternehmen oder Ihre Kunden verursachen. Der OAuth-Standard ist schwieriger zu implementieren als die Standardauthentifizierung. Um OAuth implementieren zu können, müssen Sie Ihre Anwendung sowohl mit dem Authentifizierungsanbieter als auch dem Exchange-Server integrieren. |
Um die Nachteile zu minimieren, können Sie die Microsoft Entra Authentication Library (ADAL) verwenden, um Benutzer bei Active Directory Domain Services (AD DS) in der Cloud oder lokal zu authentifizieren und dann Zugriffstoken zum Sichern von Aufrufen an einen Exchange-Server abzurufen. Exchange Online erfordert Token, die vom Microsoft Entra-Dienst ausgestellt wurden, der von der ADAL unterstützt wird. Sie können jedoch eine beliebige Drittanbieterbibliothek verwenden.
Weitere Informationen über die Verwendung der OAuth-Authentifizierung in der EWS-Anwendung finden Sie in den folgenden Ressourcen:
Office 365-Testversion zum Einrichten eines Exchange-Servers zum Testen der Clientanwendung.
Konfigurieren von Microsoft Entra, um Ihrer Anwendung die Verwendung von OAuth-Token für die Authentifizierung zu ermöglichen.
Beispielcode finden Sie unter Authentifizieren einer EWS-Anwendung mit OAuth.
NTLM-Authentifizierung
Die NTLM-Authentifizierung ist nur für lokale Exchange-Server verfügbar. Für Anwendungen, die innerhalb der Unternehmensfirewall ausgeführt werden, bietet die Integration der NTLM-Authentifizierung und von .NET Framework eine integrierte Möglichkeit, Ihre Anwendung zu authentifizieren.
Tabelle 2. Vor- und Nachteile der NTLM-Authentifizierung
Vorteile | Nachteile |
---|---|
Ist sofort einsatzbereit zur Verwendung mit dem Exchange-Server. Sie können den Zugriff auf Exchange-Dienste konfigurieren, indem Sie ein Exchange Management Shell-Cmdlet verwenden. Verwenden Sie das CredentialCache-Objekt von .NET Framework, um die Anmeldeinformationen des Benutzers automatisch abzurufen. Es sind Codebeispiele unter verfügbar, die die Anmeldeinformationen des angemeldeten Benutzers für die Authentifizierung bei einem lokalen Exchange-Server verwenden. |
Benutzer müssen bei einer Domäne angemeldet sein, um die NTLM-Authentifizierung verwenden zu können. Es kann schwierig sein, auf E-Mail-Konten zuzugreifen, die nicht dem Domänenkonto des Benutzers zugeordnet sind. Dienstanwendungen müssen über ein Domänenkonto verfügen, um die NTLM-Authentifizierung nutzen zu können. |
Standardauthentifizierung
Die Standardauthentifizierung bietet eine grundlegende Sicherheitsstufe für Ihre Clientanwendung. Es wird empfohlen, dass alle neuen Anwendungen entweder NTLM oder das OAuth-Protokoll für die Authentifizierung verwenden. Die Standardauthentifizierung kann jedoch unter bestimmten Umständen die richtige Wahl für Ihre Anwendung sein.
Tabelle 3. Vor- und Nachteile der Standardauthentifizierung
Vorteile | Nachteile |
---|---|
Ist sofort einsatzbereit zur Verwendung mit dem Exchange-Server. Sie können den Zugriff auf Exchange-Dienste konfigurieren, indem Sie ein Exchange Management Shell-Cmdlet verwenden. Windows-Anwendungen können die standardmäßigen Anmeldeinformationen des angemeldeten Benutzers verwenden. Es stehen zahlreiche Codebeispiele zur Verfügung, die demonstrieren, wie Sie EWS mit Standardauthentifizierung aufrufen. |
Macht das Erfassen und Speichern der Anmeldeinformationen des Benutzers durch die Anwendung erforderlich. Sie müssen die NTLM-Authentifizierung deaktivieren, wenn Sie die Standardauthentifizierung für alle Benutzer erzwingen möchten. Wenn in Ihrer Anwendung eine Sicherheitsverletzung auftritt, kann dies die E-Mail-Adresse und das Kennwort des Benutzers für den Angreifer offenlegen. |
Sie müssen entscheiden, ob die Standardauthentifizierung die Sicherheitsanforderungen Ihrer Organisation und Ihrer Kunden erfüllt. Die Standardauthentifizierung kann die richtige Wahl sein, wenn Sie umfangreiche Einrichtungsmaßnahmen vermeiden möchten, wenn Sie Anwendungen zum Beispiel nur zu Test- oder Demonstrationszwecken verwenden möchten.
Hinweis
Die Standardauthentifizierung wird für EWS zum Herstellen einer Verbindung zu Exchange Online nicht mehr unterstützt. Verwenden Sie die OAuth-Authentifizierung in all Ihren neuen oder bestehenden EWS-Anwendungen, um eine Verbindung zu Exchange Online herzustellen. Die OAuth-Authentifizierung für EWS ist in Exchange Online nur im Rahmen von Microsoft 365 verfügbar. EWS-Anwendungen, die OAuth verwenden, müssen zuerst bei Microsoft Entra registriert werden.
Siehe auch
- Authentifizieren einer EWS-Anwendung mit OAuth
- Erste Schritte mit Webdiensten in Exchange
- Hinzufügen der Anmeldung zu Ihrer Webanwendung mit Microsoft Microsoft Entra
- Steuern des Zugriffs auf EWS in Exchange
- Steuern des Clientanwendungszugriffs auf EWS in Exchange
- Unterstützte Token- und Anspruchstypen