Configurar la autenticación basada en formularios para Outlook Web Access
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2008-11-24
En este tema se describe la autenticación basada en formularios para Microsoft Office Outlook Web Access en Microsoft Exchange Server 2007. La autenticación basada en formularios ofrece una página de inicio de sesión para Outlook Web Access que utiliza una cookie para almacenar las credenciales de inicio de sesión cifrado de un usuario en el navegador de Internet. Al realizar un seguimiento de esta cookie el servidor de Exchange puede monitorizar la actividad de las sesiones de Outlook Web Access en equipos públicos y privados. Si una sesión se encuentra inactiva durante un tiempo excesivo, el servidor bloquea el acceso hasta que el usuario vuelve a realizar la autenticación.
Utilización de cookies para controlar el acceso
La primera vez que se envían el nombre de usuario y la contraseña al servidor de acceso de cliente para autenticar una sesión de Outlook Web Access, se crea una cookie cifrada que se usa para realizar un seguimiento de la actividad del usuario. Cuando el usuario cierra el navegador de Internet o hace clic en Cerrar sesión para finalizar la sesión de Outlook Web Access, la cookie se elimina. El nombre de usuario y la contraseña sólo se envían al servidor de acceso de cliente para el inicio de sesión inicial del usuario. Una vez completado el inicio de sesión inicial, la cookie sólo se usa para la autenticación entre el cliente y el servidor de acceso de cliente.
Configuración del valor para el tiempo de espera de cookie en equipos públicos
De forma predeterminada, cuando un usuario selecciona la opción Equipo público o compartido en la página de inicio de sesión de Outlook Web Access, la cookie del equipo expira automáticamente y se cierra la sesión del usuario cuando no se utilice el Outlook Web Access durante 15 minutos.
El tiempo de espera automático resulta de gran utilidad porque contribuye a proteger la cuenta de un usuario frente a un acceso no autorizado. Para satisfacer las necesidades de seguridad de la organización, se pueden configurar los valores de tiempo de espera de inactividad en el servidor de acceso de cliente de Exchange.
Aunque el tiempo de espera automático reduzca el riesgo de que se produzcan accesos no autorizados, no elimina la posibilidad de que un usuario no autorizado pueda tener acceso a una cuenta de Outlook Web Access si se ha dejado abierta una sesión en un equipo público. Por tanto, es muy importante que informe a los usuarios para que tomen precauciones y eviten riesgos, como por ejemplo, que cierren la sesión de Outlook Web Access y cierren el navegador Web cuando hayan terminado de usar Outlook Web Access.
Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos públicos, consulte Cómo establecer el valor de tiempo de espera de cookie de equipo público de autenticación basada en formulario(en inglés).
Configuración del valor de tiempo de espera de cookie en equipos privados
Cuando un usuario selecciona la opción Equipo privado en la página de inicio de sesión de Outlook Web Access, el servidor de Exchange permite un mayor periodo de inactividad antes de que finalice automáticamente la sesión de Outlook Web Access. El valor predeterminado para el tiempo de espera en una sesión privada es de ocho horas. La opción de tiempo de espera de cookie en un equipo privado está destinada a beneficiar a los usuarios de Outlook Web Access que están utilizando su propio PC o un equipo de una red corporativa.
Es importante avisar a los usuarios acerca de los riesgos asociados a la selección de la opción Equipo privado. Un usuario debe seleccionar la opción equipo privado sólo en el caso de que el usuario sea el único que utilice el equipo y que el equipo cumpla con las directivas de seguridad de la organización.
Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos privados, consulte Cómo establecer el valor de tiempo de espera de cookie de equipo privado de autenticación basada en formulario(en inglés).
Cómo determinar la actividad del usuario
Después de que una sesión de Outlook Web Access haya estado inactiva durante determinado período de tiempo, el servidor de acceso de cliente ya no dispone de la clave de descifrado para leer la cookie y se le denegará el acceso al usuario hasta que vuelva a realizar la autenticación.
Para determinar la actividad del usuario, Exchange 2007 utiliza la siguiente información:
Se considera actividad la interacción entre el equipo del cliente y el servidor de acceso de cliente que es iniciada por el usuario. Por ejemplo, si un usuario abre, envía o guarda un elemento, cambia carpetas o módulos, o actualiza la vista o la ventana del navegador Web, Exchange 2007 lo considera actividad.
Nota
No se considera actividad la interacción entre el equipo del cliente y el servidor que se genera automáticamente por el servidor de acceso de cliente. Por ejemplo, las nuevas notificaciones de correo electrónico y los recordatorios que se generan por el servidor de acceso de cliente en una sesión de Outlook Web Access no se consideran actividad.
En Outlook Web Access Light cualquier actividad del usuario que no sea la introducción de texto se considera actividad. En Outlook Web Access Premium, cualquier actividad del usuario, incluso la introducción de texto en un mensaje de correo electrónico o en una convocatoria de reunión, se considera actividad.
Configuración de la solicitud de inicio de sesión que se usa para la autenticación basada en formularios
En lugar de una ventana emergente, la autenticación basada en formularios crea una página de inicio de sesión para Outlook Web Access. Puede configurar el texto de la solicitud de inicio de sesión que utiliza la autenticación basada en formularios utilizando la Consola de administración de Exchange o el Shell de administración de Exchange. Los cambios de configuración que se realizan sólo cambian el texto de la solicitud de inicio de sesión. No cambian el formato a través del cual el usuario debe iniciar sesión. Por ejemplo, se puede configurar la página de inicio de sesión con autenticación basada en formularios para que solicite a los usuarios que proporcionen su información de inicio de sesión en formato dominio\nombre de usuario. No obstante, un usuario también puede especificar su nombre principal de usuario (UPN) y el inicio de sesión será correcto.
La autenticación basada en formularios de la página de inicio de sesión de Outlook Web Access puede usar los siguientes tipos de solicitudes de inicio de sesión. Seleccione la solicitud que resulte más sencilla de entender y usar para los usuarios.
FullDomain El dominio y el nombre de usuario del usuario en el formato dominio\nombre de usuario. Por ejemplo, Contoso\Kweku.
PrincipalName El UPN. El UPN está formado por dos partes: el prefijo de UPN, que es el nombre de la cuenta de usuario, y el sufijo de UPN, que es el nombre del dominio DNS. El prefijo y el sufijo se unen mediante una arroba (@) para formar el UPN completo. Por ejemplo, Kweku@contoso.com. Los usuarios pueden tener acceso a Outlook Web Access escribiendo la dirección de correo electrónico principal o el nombre principal de usuario (UPN).
UserName Sólo el nombre de usuario. No incluye el nombre del dominio. Por ejemplo, Kweku. Este formato de inicio de sesión sólo funciona si se ha configurado el nombre de dominio.
Nota
En caso necesario, se puede cambiar el formato que debe usar el usuario para iniciar sesión en Outlook Web Access configurando el servicio de directorio de Active Directory y los Internet Information Services (IIS). El uso de Active Directory y de los Internet Information Services (IIS) para configurar los formatos de nombre de usuario que los usuarios pueden escribir para autenticarse es independiente de la solicitud de autenticación basada en formularios de Outlook Web Access, mencionada anteriormente.
Entender el cifrado para el inicio de sesión de usuario desde equipos públicos y privados
El cifrado de las credenciales de inicio de sesión de usuario para tipos de inicio de sesión en Outlook Web Access públicos y privados implica un conjunto de seis códigos de autenticación de mensajes cifrados mediante hash (HMAC). Los HMAC son claves de 160 bits que se generan en el servidor de acceso de cliente. Los HMAC mejoran la seguridad de inicio de sesión combinando algoritmos cifrados con hash con funciones de cifrado para cifrar las credenciales de inicio de sesión de usuario. EL cifrado y descifrado de una cookie es realizado por el propio servidor de acceso de cliente. El servidor de acceso de cliente que ha generado la clave de autenticación es el único que dispone de la clave para descifrar esa cookie.
Cuando se usa la autenticación basada en formularios para Outlook Web Access, el servidor de acceso de cliente recorre un conjunto de tres claves para cada tipo de inicio de sesión, público y privado, a un ritmo establecido. Esto se conoce como número de saltos. El tiempo de reciclado para una clave es la mitad del valor de tiempo de espera para el inicio de sesión. Por ejemplo, cuando el valor de tiempo de espera para un inicio de sesión público está configurado en 15 minutos, el tiempo de reciclado de una clave pública es de 7,5 minutos.
Las seis claves de inicio de sesión son creadas por el servidor de acceso de cliente cuando se inician los directorios virtuales de Outlook Web Access. Tres se usan en los inicios de sesión en equipos públicos y tres son para inicios de sesión en equipos privados. Cuando un usuario inicia una sesión, la clave actual para el tipo de inicio de sesión se usa para cifrar la información de autenticación de usuario en una cookie.
Cuando haya transcurrido el tiempo de reciclado, el servidor de acceso de cliente pasa a la siguiente clave. Una vez utilizadas las tres claves de un tipo de inicio de sesión, el servidor de acceso de cliente borra la clave más antigua y crea una nueva. El servidor de acceso de cliente mantiene disponibles tres claves para cada tipo de inicio de sesión: la clave actual y las dos claves más recientes. El reciclado de claves continúa siempre que Outlook Web Access se esté ejecutando en el servidor de acceso de cliente. Se utilizan las mismas claves para todos los usuarios.
Se aceptará cualquier cookie que haya sido cifrada mediante una clave activa. Cuando el servidor de acceso de cliente recibe una solicitud de actividad de usuario, la cookie de esa solicitud se sustituye por una nueva cookie que ha sido cifrada con la nueva clave. Una sesión de usuario expira cuando la cookie asociada a ella está cifrada con una clave antigua que ha sido descartada.
Debido a la relación entre el tiempo de reciclado de las claves de cifrado y el tiempo de espera de usuario configurado en el servidor, el período de tiempo de espera real para un usuario se puede situar entre el tiempo de espera configurado y el tiempo de espera configurado más la mitad de ese valor. Por ejemplo, si el tiempo de espera es 30 minutos, el tiempo de espera real de cualquier sesión de usuario puede ser de entre 30 minutos y 45 minutos.
La Tabla 1 proporciona información acerca del tiempo de espera de la cookie y del tiempo de reciclado de la clave de autenticación en función de un inicio de sesión de usuario desde un equipo público o privado.
Tabla 1 Tiempo de espera de cookie predeterminado y tiempo de reciclado de clave de autenticación para cada tipo de inicio de sesión de usuario
| Inicio de sesión | Valor de tiempo de espera de cookie | Tiempo de recorrido de ciclo para clave de autenticación si se usa el valor predeterminado de tiempo de espera |
|---|---|---|
Público |
De un minuto a 30 días. El valor predeterminado es 15 minutos. |
7,5 minutos |
Privado |
De un minuto a 30 días. El tiempo predeterminado es de 8 horas. |
4 horas |
Nota
Se puede configurar el valor de tiempo de espera de cookie en minutos utilizando el registro. El tiempo de reciclado de la clave de autenticación es al menos un tercio y no más de la mitad del valor de tiempo de espera de la cookie.
Utilización de SSL para ayudar a proteger el Outlook Web Access
De forma predeterminada, el cifrado SSL (Nivel de sockets seguros) está activado cuando se instala la función del servidor Acceso de cliente. Si no se usa el SSL, el nombre de usuario y la contraseña se enviarán como texto sin cifrar durante el inicio de sesión inicial. Cuando se usa SSL, éste cifra todas las comunicaciones entre el equipo del cliente y el servidor de acceso de cliente y ayuda a evitar que la información confidencial, como nombres de usuario, contraseñas y mensajes de correo electrónico, sea visualizada por terceros.
Con la función del servidor Acceso de cliente se instala un certificado SSL predeterminado, pero no es confiable. Si se usa el certificado SSL predeterminado, deberá ser de confianza o aparecerá una solicitud al usuario preguntando si confía en el certificado cada vez que inicie sesión en Outlook Web Access. Para obtener más información sobre cómo usar el certificado SSL predeterminado, consulte Cómo sustituir el certificado SSL predeterminado por otro certificado de confianza.
Para obtener más información
Para obtener más información acerca de cómo administrar SSL, consulte Administrar SSL para un servidor de Acceso de cliente.
Para obtener más información acerca de cómo configurar una página de inicio de sesión de autenticación basada en formularios, consulte Cómo configurar autenticación basada en formularios para Outlook Web Access(en inglés).
Para obtener más información acerca de cómo configurar el valor de tiempo de espera de cookie en un directorio virtual de Outlook Web Access de un equipo público, consulte Cómo establecer el valor de tiempo de espera de cookie de equipo público de autenticación basada en formulario(en inglés).
Para obtener más información acerca de cómo configurar el valor de tiempo de espera de cookie en un directorio virtual de Outlook Web Access de un equipo privado, consulte Cómo establecer el valor de tiempo de espera de cookie de equipo privado de autenticación basada en formulario(en inglés).
Para obtener más información acerca de la seguridad, consulte Administración de la seguridad del acceso de cliente(en inglés).
Para obtener más información acerca de cómo personalizar una página de inicio de sesión de autenticación basada en formularios, consulte Administración de las características avanzadas de Outlook Web Access(en inglés).