Condividi tramite

Informazioni sull'autenticazione per Outlook Web App

  • Articolo

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2009-10-14

L'argomento descrive i tipi di autenticazione disponibili per Applicazione Web Outlook in Microsoft Exchange Server 2010. Il miglior metodo di autenticazione per l'organizzazione dipende dalle esigenze di protezione dell'organizzazione stessa. Per impostazione predefinita, Applicazione Web Outlook utilizza l'autenticazione basata su form ed è configurato per l'utilizzo della crittografia SSL (Secure Sockets Layer).

Autenticazione basata su form

L'autenticazione basata su form attiva una pagina di accesso per Applicazione Web Outlook che utilizza un cookie per archiviare le credenziali di accesso crittografate di un utente nel browser Internet. Tenendo traccia dell'utilizzo di questo cookie è possibile per il server di Exchange monitorare l'attività delle sessioni di Applicazione Web Outlook su computer pubblici e privati. Se una sessione rimane inattiva troppo a lungo, il server blocca l'accesso fino a quando l'utente ripete l'autenticazione.

La prima volta che il nome utente e la password vengono inviati al server Accesso client per l'autenticazione di una sessione di Applicazione Web Outlook, viene creato un cookie crittografato utilizzato per tenere traccia dell'attività dell'utente. Quando l'utente chiude il browser Internet o fa clic su Disconnetti per disconnettersi dalla sessione di Applicazione Web Outlook, il cookie viene cancellato. Il nome utente e la password vengono inviati al server Accesso client solo nel corso del primo accesso. Una volta completato il primo accesso, solo il cookie viene utilizzato per l'autenticazione tra il computer client e il server Accesso client.

Per ulteriori informazioni sull'autenticazione basata su form e sulla configurazione, vedere:

Single Sign On per Outlook Web App e il pannello di controllo di Exchange

Per supportare Single Sign On tra Applicazione Web Outlook e il pannello di controllo di Exchange, è disponibile il nuovo servizio di autenticazione basata su form di Exchange in Exchange 2010. Per utilizzare questa nuova funzionalità controllare che la modalità di autenticazione per Applicazione Web Outlook e per le directory virtuali del pannello di controllo di Exchange sia impostata sull'autenticazione basata su form.

Il timeout dei cookie viene impostato in base alla scelta dell'utente, ovvero se è stata selezionata l'opzione Computer pubblico o condiviso o Computer privato nella pagina di accesso a Applicazione Web Outlook. Per impostazione predefinita, il cookie sul computer scade automaticamente e l'utente viene disconnesso se non utilizza Applicazione Web Outlook per un periodo compreso tra i 15 e 22,5 minuti se è stata selezionata l'opzione computer pubblico e se non utilizza Applicazione Web Outlook per un periodo compreso tra le otto e le 12 ore se è stata selezionata l'opzione computer privato..

Il timeout automatico è utile perché consente di proteggere gli account dell'utente da accessi non autorizzati. È possibile configurare i valori di timeout per inattività sul server Accesso Client di Exchange in base ai requisiti specifici di protezione dell'organizzazione.

Sebbene il timeout automatico riduca notevolmente il rischio di accessi non autorizzati, non elimina completamente la possibilità che un utente non autorizzato possa accedere a una cassetta postale Exchange se una sessione su un computer pubblico viene lasciata aperta. È necessario pertanto avvertire gli utenti perché adottino le misure necessarie a evitare rischi, ad esempio disconnettersi da Applicazione Web Outlook e chiudere il browser dopo aver terminato di utilizzare Applicazione Web Outlook.

Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer pubblici e privati, vedere:

Inizio pagina

Metodi di autenticazione standard

In Exchange 2010, i server Accesso client supportano l'autenticazione integrata di Windows e l'autenticazione di digest HTTP 1.1 per le directory virtuali di Exchange 2010.

Per ulteriori informazioni sui metodi di autenticazione standard, vedere Configurazione dei metodi di autenticazione standard per Outlook Web App.

Autenticazione di base

L'autenticazione di base è un meccanismo di autenticazione semplice definito dalla specifica HTTP che codifica il nome di accesso e la password dell'utente prima che le sue credenziali vengano inviate al server.

L'autenticazione di base non supporta Single Sign-On. L'autenticazione di Windows Server 2008 e Windows Server 2003 consente Single Sign-On in tutte le risorse di rete. Con Single Sign-On, un utente può accedere al dominio una volta utilizzando un'unica password o smart card ed essere autenticato da qualsiasi computer nel dominio.

L'autenticazione di base è supportata da tutti i Web browser, ma non è protetta a meno che non richieda la crittografia SSL.

Per ulteriori informazioni sulla configurazione dell'autenticazione di base in una directory virtuale di Applicazione Web Outlook, vedere Configurazione dell'autenticazione di base.

Autenticazione del digest

L'autenticazione del digest trasmette le password sulla rete come valore hash per una protezione ulteriore. L'autenticazione del digest può essere utilizzata solo nei domini di Windows Server 2008, Windows Server 2003 e Microsoft Windows 2000 Server per gli utenti che dispongono di un account archiviato in Active Directory. Per ulteriori informazioni sull'autenticazione del digest, vedere la documentazione relativa a Windows Server 2003 e alla Gestione Internet Information Services (IIS).

L'autenticazione del digest è disponibile solo sulle directory virtuali di Exchange 2010.

Importante

Quando un utente utilizza un chiosco multimediale, se viene utilizzata l'autenticazione di base o digest, le credenziali memorizzate nella cache potrebbero mettere a rischio la protezione se l'utente non può chiudere il browser e terminare il processo browser tra le sessioni. Questo rischio esiste perché le credenziali dell'utente rimangono nella cache quando l'utente successivo accede al chiosco multimediale. Per abilitare Applicazione Web Outlook su un chiosco multimediale, assicurarsi che l'utente possa chiudere il browser tra le sessioni e terminare i processi browser. In alternativa, utilizzare un prodotto di terze parti che incorpori l'autenticazione a due fattori, in cui sia necessario che l'utente presenti un token fisico unitamente a una password per utilizzare Applicazione Web Outlook sul chiosco multimediale.

Per ulteriori informazioni sulla configurazione dell'autenticazione del digest in una directory virtuale di Applicazione Web Outlook, vedere Configurazione dell'autenticazione del digest.

Inizio pagina

Autenticazione integrata di Windows

L'autenticazione Windows integrata richiede agli utenti di disporre di una password e di un nome account utente di Windows Server 2008, Windows Server 2003 o Windows 2000 Server validi per accedere alle informazioni. Agli utenti connessi alla rete locale non viene richiesta né la password né il nome utente. Piuttosto è il server a effettuare la negoziazione con i pacchetti di protezione di Windows installati nel computer client. Questo metodo consente al server di autenticare gli utenti senza richiedere le informazioni di accesso. Le credenziali di autenticazione sono protette, mentre tutte le altre comunicazioni vengono inviate con il testo normale, a meno che non si utilizzi SSL.

Microsoft Internet Explorer consente Single Sign-On per applicazioni Web che includono Web part di Applicazione Web Outlook se è abilitata l'autenticazione integrata di Windows sul server a cui si accede. Gli utenti devono immettere le credenziali solo una volta per ciascuna sessione del browser. Tuttavia, le credenziali vengono memorizzate nella cache del processo browser.

Su un server di Exchange 2010 in cui sia installato esclusivamente il ruolo del server Accesso client, l'autenticazione integrata di Windows può essere utilizzata solo con le directory virtuali di Exchange 2010. Su un server in cui siano installati entrambi i ruoli Accesso client e Cassette postali, l'autenticazione integrata di Windows può essere utilizzata con qualsiasi directory virtuale. Per ulteriori informazioni sull'autenticazione integrata di Windows, vedere la documentazione di Windows Server 2003.

Nota

L'autenticazione integrata di Windows è supportata solo su computer su cui è in esecuzione il sistema operativo Windows e Internet Explorer. L'autenticazione Windows integrata può essere utilizzata con altri Web browser se sono stati configurati per passare le credenziali di accesso dell'utente al server che richiede l'autenticazione.

Per ulteriori informazioni sull'autenticazione integrata di Windows in una directory virtuale di Applicazione Web Outlook, vedere Configurazione di Autenticazione Windows integrata.