Configuración de la autenticación para Outlook Web Access

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-04-10

En este tema se explican los tipos de autenticación que se encuentran disponibles para Microsoft Office Outlook Web Access en Microsoft Exchange Server 2007. El mejor método de autenticación para su organización depende de las necesidades de seguridad de la misma. De forma predeterminada, Outlook Web Access se sirve de la autenticación basada en formularios y está configurada para utilizar el cifrado de Nivel de sockets seguros (SSL).

Nota

Los servidores de fondo de Microsoft Exchange Server 2003 admiten Windows basado en formularios, básico, integrado y autenticaciones implícitas. Los servidores de aplicaciones para usuario de Exchange Server 2003 no admiten autenticaciones integradas o implícitas de Windows.

Autenticación basada en formularios

La autenticación basada en formularios ofrece una página de inicio de sesión para Outlook Web Access que utiliza una cookie para almacenar las credenciales de inicio de sesión cifrado de un usuario en el explorador de Internet. Al realizar un seguimiento de esta cookie, el servidor de Exchange puede monitorizar la actividad de las sesiones de Outlook Web Access en equipos públicos y privados. Si una sesión se encuentra inactiva durante un tiempo excesivo, el servidor bloquea el acceso hasta que el usuario vuelve a realizar la autenticación.

La primera vez que se envían el nombre de usuario y la contraseña al servidor de acceso de cliente para autenticar una sesión de Outlook Web Access, se crea una cookie cifrada que se utiliza para realizar un seguimiento de la actividad del usuario. Cuando el usuario cierra el navegador de Internet o hace clic en Cerrar sesión para finalizar la sesión de Outlook Web Access, la cookie se elimina. El nombre de usuario y la contraseña sólo se envían al servidor de acceso de cliente para el inicio de sesión inicial del usuario. Una vez completado el inicio de sesión inicial, la cookie sólo se utiliza para la autenticación entre el cliente y el servidor de Acceso de cliente.

Para obtener más información sobre la autenticación basada en formularios y sobre cómo configurarla, consulte:

• Configurar la autenticación basada en formularios para Outlook Web Access

• Cómo configurar autenticación basada en formularios para Outlook Web Access

Configuración del valor de tiempo de espera de cookie

El valor de tiempo de espera de cookie se configura según la elección del usuario de la opción Es un equipo público o compartido o la opción Es un equipo privado en la página de inicio de sesión de Outlook Web Access. De forma predeterminada, la cookie en el equipo expira automáticamente y se cierra la sesión del usuario una vez hayan transcurrido 15 minutos sin utilizar Outlook Web Access, en caso de que se hubiera seleccionado la opción de equipo público, y una vez hayan transcurrido ocho horas sin utilizar Outlook Web Access, en caso de que se hubiera seleccionado la opción de equipo privado.

El tiempo de espera automático resulta de gran utilidad porque contribuye a proteger la cuenta de un usuario frente a un acceso no autorizado. Para satisfacer las necesidades de seguridad de la organización, se pueden configurar los valores de tiempo de espera de inactividad en el servidor de acceso de cliente de Exchange.

Aunque el tiempo de espera automático reduzca el riesgo de que se produzcan accesos no autorizados, no elimina completamente la posibilidad de que un usuario no autorizado pueda tener acceso a una cuenta de Outlook Web Access si se ha dejado abierta una sesión en un equipo público. Por tanto, es muy importante que informe a los usuarios para que tomen precauciones y eviten riesgos, como por ejemplo, que cierren la sesión de Outlook Web Access y cierren el explorador web tras haber terminado de utilizar Outlook Web Access.

Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos privados, consulte:

• Cómo establecer el valor de tiempo de espera de cookie de equipo público de autenticación basada en formulario

• Cómo establecer el valor de tiempo de espera de cookie de equipo privado de autenticación basada en formulario

Métodos de autenticación estándar

En este tema se describen los métodos de autenticación estándar que ayudan a proteger los servidores de acceso de cliente de Exchange 2007 para Outlook Web Access.

En Exchange 2007, los servidores de acceso de cliente admiten autenticaciones integradas de Windows y autenticaciones HTTP 1.1 Digest para directorios virtuales de Exchange 2007. Los directorios virtuales de Exchange 2000 y Exchange 2003 en un servidor que ejecute sólo la función del servidor Acceso de cliente admiten sólo autenticaciones básicas y basadas en formularios.

Para obtener más información acerca de los métodos de autenticación estándar, consulte Configurar los métodos de autenticación estándar para Outlook Web Access.

Autenticación básica

La autenticación básica es un mecanismo de autenticación simple definida por la especificación HTTP que codifica el nombre de conexión del usuario y la contraseña antes de que las credenciales del usuario se envíen al servidor.

La autenticación básica no es compatible con el inicio de sesión único. Con la autenticación de Windows Server 2003 es posible habilitar el inicio de sesión único de todos los recursos de red. Con un inicio de sesión único, un usuario puede iniciar sesión en el dominio una vez utilizando una única contraseña o tarjeta inteligente y autenticarse en cualquier equipo del dominio.

Las autenticaciones básicas se incluyen en todos los exploradores web pero no ofrece protección a no ser que necesite el cifrado de Nivel de sockets seguros (SSL).

Para obtener más información acerca de cómo configurar autenticaciones básicas en un directorio virtual de Outlook Web Access, consulte Cómo configurar la autenticación básica.

Autenticación implícita

Las autenticaciones implícitas transmiten contraseñas a través de la red como un valor hash para seguridad adicional. Las autenticaciones implícitas se pueden usar sólo en los dominios Microsoft Windows Server 2003 y Microsoft Windows 2000 Server para los usuarios que tengan una cuenta almacenada en el servicio de directorio de Active Directory. Para obtener más información acerca de la autenticación implícita, consulte Windows Server 2003 y la documentación del administrador de Internet Information Services (IIS).

La autenticación de acceso implícita está disponible sólo en los directorios virtuales de Exchange 2007.

Importante

Si utiliza una autenticación implícita o básica, cuando un usuario utiliza un quiosco, almacenando en caché credenciales puede generar un riesgo de seguridad si el usuario no cierra el explorador y finaliza el proceso del explorador entre sesiones. Este riesgo ocurre ya que las credenciales de un usuario permanecen en la memoria caché cuando el siguiente usuario tiene acceso al quiosco. Para habilitar Outlook Web Access en un quiosco, asegúrese de que el usuario puede cerrar el explorador entre sesiones y finalizar los procesos del explorador. De lo contrario, considere la posibilidad de usar un producto de terceros que incorpore autenticaciones de dos factores en los que el usuario deba presentar un testigo físico junto con una contraseña para usar Outlook Web Access en un quiosco.

Para obtener más información acerca de cómo configurar la autenticación implícita en un directorio virtual de Outlook Web Access, consulte Cómo configurar la autenticación implícita.

Autenticación de Windows integrada

La autenticación de Windows integrada necesita que los usuarios tenga un nombre de cuenta de usuario válido de Windows 2000 Server o Windows Server 2003 y una contraseña para tener acceso a la información. Los usuarios que inicien sesión en la red local no necesitan nombres de usuario ni contraseñas. En su lugar, el servidor negocia con los paquetes de seguridad de Windows instalados en el equipo del cliente. Este método permite al servidor autenticar a los usuarios sin solicitarles la información de inicio de sesión. Las credenciales de autenticación están protegidas, pero el resto de las comunicaciones se enviarán en texto sin cifrar a menos que se use SSL.

Microsoft Internet Explorer permite la firma única para las aplicaciones web que incluyan elementos web de Outlook Web Access si el servidor al que se tiene acceso tiene habilitada la autenticación de Windows integrada. Los usuarios deben escribir las credenciales sólo una vez en cada sesión del explorador. Sin embargo, las credenciales se almacenan en la memoria caché en el proceso del explorador.

En un servidor Exchange 2007 en el cual sólo está instalada la función del servidor Acceso de cliente, la autenticación de Windows integrada puede usarse sólo con directorios virtuales de Exchange 2007. En un servidor que tenga instaladas las funciones de acceso de cliente y buzón de correo, la autenticación de Windows integrada puede usarse con cualquier directorio virtual. Para obtener más información acerca de la autenticación de Windows integrada, consulte la documentación de Windows Server 2003 (en inglés).

Nota

La autenticación de Windows integrada se admite sólo en equipos que ejecuten un sistema operativo Windows y Internet Explorer. La autenticación de Windows integrada trabaja con otros exploradores web si se han configurado para pasar las credenciales de inicio de sesión de los usuarios al servidor que pide la autenticación.

Para obtener más información acerca de cómo configurar las autenticaciones de Windows integradas en un directorio virtual de Outlook Web Access, consulte Cómo configurar la autenticación de Windows integrada.

Información adicional

• Para obtener más información acerca de cómo ayudar a proteger Outlook Web Access, consulte Administración de la seguridad de Outlook Web Access.