Compartir a través de

Descripción de autenticación para Outlook Web App

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2011-08-19

En este tema se explican los tipos de autenticación disponibles para Outlook Web App en Microsoft Exchange Server 2010. El método de autenticación más apropiado para una organización depende de sus necesidades de seguridad. De forma predeterminada, Outlook Web App se sirve de la autenticación basada en formularios y está configurada para usar el cifrado de Capa de sockets seguros (SSL).

Autenticación basada en formularios

La autenticación basada en formularios ofrece una página de inicio de sesión para Outlook Web App que usa una cookie para almacenar las credenciales de inicio de sesión cifrado de un usuario en el navegador de Internet. Al realizar un seguimiento de esta cookie, el servidor de Exchange puede supervisar la actividad de las sesiones de Outlook Web App en equipos públicos y privados. Si una sesión se encuentra inactiva durante un tiempo excesivo, el servidor bloquea el acceso hasta que el usuario vuelve a realizar la autenticación.

La primera vez que se envían el nombre de usuario y la contraseña al servidor de acceso de cliente para autenticar una sesión de Outlook Web App, se crea una cookie cifrada que se usa para realizar un seguimiento de la actividad del usuario. Cuando el usuario cierra el explorador de Internet o hace clic en Cerrar sesión para cerrar la sesión de Outlook Web App, la cookie se borra. El nombre de usuario y la contraseña se envían al servidor de acceso de cliente solo para que inicie sesión el usuario inicial. Después de que se completa el inicio de sesión inicial, solamente se usa la cookie para la autenticación entre el equipo cliente y el servidor de acceso de cliente.

Para obtener más información sobre la autenticación basada en formularios y sobre cómo configurarla, consulte:

Inicio de sesión único para Outlook Web App y el Panel de control de Exchange

Para posibilitar el inicio de sesión único entre el panel de control de Outlook Web App y Exchange, está disponible un servicio de autenticación FBA de Exchange en Exchange 2010. Para usar esta función nueva, asegúrese de que el modo de autenticación para los directorios virtuales del panel de control de Outlook Web App y Exchange esté configurado para la autenticación basada en formularios.

El valor de tiempo de espera de cookie se configura según la elección del usuario de la opción Es un equipo público o compartido o la opción Es un equipo privado en la página de inicio de sesión de Outlook Web App. De forma predeterminada, la cookie en el equipo expira automáticamente y se cierra la sesión del usuario una vez transcurridos de 15 a 22,5 minutos sin usar Outlook Web App, en caso de haber seleccionado la opción de equipo público, y después de haber transcurrido entre 8 y 12 horas sin usar Outlook Web App, en caso de haber seleccionado la opción de equipo privado.

El tiempo de espera automático resulta de gran utilidad porque contribuye a proteger la cuenta de un usuario frente a un acceso no autorizado. Para satisfacer las necesidades de seguridad de la organización, se pueden configurar los valores de tiempo de espera de inactividad en el servidor de acceso de cliente de Exchange.

Aunque el tiempo de espera automático reduzca considerablemente el riesgo de accesos no autorizados, no elimina del todo la posibilidad de que un usuario no autorizado pueda tener acceso a un buzón de Exchange si se ha dejado abierta una sesión en un equipo público. Por tanto, es muy importante informar a los usuarios para que tomen precauciones y eviten riesgos, por ejemplo, que cierren la sesión de Outlook Web App y cierren el explorador web después de haber terminado de usar Outlook Web App.

Para obtener información acerca de cómo configurar los valores de tiempo de espera de cookie para equipos privados, consulte:

Autenticación basada en formularios

Métodos de autenticación estándar

En Exchange 2010, los servidores de acceso de cliente admiten la autenticación de Windows integrada y la autenticación de acceso implícita HTTP 1.1 en los directorios virtuales de Exchange 2010.

Para obtener más información acerca de los métodos de autenticación estándar, consulte Configuración de métodos de autenticación estándar para Outlook Web App.

Autenticación básica

La autenticación básica es un mecanismo de autenticación simple definido por la especificación HTTP que codifica el nombre de inicio de sesión y la contraseña de un usuario antes de enviar al servidor las credenciales de dicho usuario.

La autenticación básica no permite el inicio de sesión único. Con la autenticación de Windows Server 2008 y Windows Server 2003, es posible habilitar el inicio de sesión único de todos los recursos de red. Gracias al inicio de sesión único, un usuario puede iniciar sesión en el dominio una vez mediante una única contraseña o tarjeta inteligente, y autenticarse en cualquier equipo del dominio.

Todos los exploradores web admiten las autenticaciones básicas, pero sin protección a menos que se solicite el cifrado de Capa de sockets seguros (SSL).

Para obtener más información acerca de cómo configurar autenticaciones básicas en un directorio virtual de Outlook Web App, consulte Configurar la autenticación básica.

Autenticación de acceso implícita

Las autenticaciones de acceso implícitas transmiten contraseñas a través de la red como un valor hash para seguridad adicional. Las autenticaciones de acceso implícitas se pueden usar solamente en los dominios de Windows Server 2008, Windows Server 2003 y MicrosoftWindows 2000 Server para los usuarios que tengan una cuenta almacenada en Active Directory. Para obtener más información acerca de la autenticación de acceso implícita, consulte Windows Server 2003 y la documentación del Administrador de Internet Information Services (IIS).

La autenticación de acceso implícita está disponible solo en los directorios virtuales de Exchange 2010.

Importante

Si usa una autenticación de acceso implícita o básica, cuando un usuario utiliza un quiosco, el almacenamiento en caché de credenciales puede comprometer la seguridad si el usuario no puede cerrar el explorador y finalizar el proceso del explorador entre sesiones. Es un riesgo real, ya que las credenciales de un usuario permanecen en la memoria caché cuando el siguiente usuario tiene acceso al quiosco. Para habilitar Outlook Web App en un quiosco, asegúrese de que el usuario pueda cerrar el explorador entre sesiones y finalizar los procesos del explorador. De lo contrario, considere la posibilidad de usar un producto de terceros que incorpore autenticaciones de dos factores en los que el usuario deba presentar un token físico junto con una contraseña para usar Outlook Web App en un quiosco.

Para obtener más información acerca de cómo configurar la autenticación de acceso implícita en un directorio virtual de Outlook Web App, consulte Configurar Autenticación implícita.

Autenticación basada en formularios

Autenticación de Windows integrada

La autenticación de Windows integrada requiere que los usuarios tengan un nombre de cuenta de usuario y una contraseña válidos de Windows Server 2008, Windows Server 2003 o Windows 2000 Server para tener acceso a la información. Los usuarios que inicien sesión en la red local no necesitan nombres de usuario ni contraseñas. En lugar de ello, el servidor negocia con los paquetes de seguridad de Windows instalados en el equipo del cliente. Este método permite al servidor autenticar a los usuarios sin solicitarles la información de inicio de sesión. Las credenciales de autenticación están protegidas, pero el resto de las comunicaciones se enviarán en texto sin cifrar a menos que se use SSL.

MicrosoftInternet Explorer permite el inicio de sesión único en las aplicaciones web que incluyan elementos web de Outlook Web App si el servidor al que se tiene acceso tiene habilitada la autenticación de Windows integrada. Los usuarios deben escribir las credenciales solo una vez en cada sesión del explorador. Sin embargo, las credenciales se almacenan en la memoria caché en el proceso del explorador.

En un servidor Exchange 2010 que solo tiene instalado el rol de servidor Acceso de clientes, la autenticación de Windows integrada puede usarse únicamente con directorios virtuales de Exchange 2010. En un servidor que tiene las funciones Acceso de cliente y Buzón instaladas, la autenticación Windows integrada se puede usar con cualquier directorio virtual. Para obtener más información acerca de la autenticación Windows integrada, consulte la documentación de Windows Server 2003.

Nota

La autenticación de Windows integrada se admite solo en equipos que ejecuten un sistema operativo Windows y Internet Explorer. La autenticación de Windows integrada trabaja con otros exploradores web si se han configurado para pasar las credenciales de inicio de sesión de los usuarios al servidor que solicita la autenticación.

Para obtener más información acerca de cómo configurar las autenticaciones de Windows integradas en un directorio virtual de Outlook Web App, consulte Configurar la autenticación de Windows integrada.

 © 2010 Microsoft Corporation. Reservados todos los derechos.