Informazioni sull'autenticazione per Outlook Web App

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2011-08-19

L'argomento descrive i tipi di autenticazione disponibili per Outlook Web App in Microsoft Exchange Server 2010. Il miglior metodo di autenticazione per l'organizzazione dipende dalle esigenze di protezione dell'organizzazione stessa. Per impostazione predefinita, Outlook Web App utilizza l'autenticazione basata su form ed è configurato per l'utilizzo della crittografia SSL (Secure Sockets Layer).

Autenticazione basata su form

L'autenticazione basata su form attiva una pagina di accesso per Outlook Web App che utilizza un cookie per archiviare le credenziali di accesso crittografate di un utente nel browser Internet. Tenendo traccia dell'utilizzo di questo cookie è possibile per il server di Exchange monitorare l'attività delle sessioni di Outlook Web App su computer pubblici e privati. Se una sessione rimane inattiva troppo a lungo, il server blocca l'accesso fino a quando l'utente ripete l'autenticazione.

La prima volta che il nome utente e la password vengono inviati al server Accesso client per l'autenticazione di una sessione di Outlook Web App, viene creato un cookie crittografato utilizzato per tenere traccia dell'attività dell'utente. Quando l'utente chiude il browser Internet o fa clic su Disconnetti per chiudere la sessione di Outlook Web App, il cookie viene cancellato. Il nome utente e la password vengono inviate al server Accesso client solo per il primo accesso. Dopo il completamento dell'accesso iniziale, per l'autenticazione tra il computer client e il server Accesso client viene utilizzato solo il cookie.

Per ulteriori informazioni sull'autenticazione basata su form e sulla configurazione, vedere:

• Configurazione dell'autenticazione basata su moduli per Outlook Web App

• Configurazione dell'autenticazione basata su moduli per Outlook Web App

Single Sign On per Outlook Web App e il pannello di controllo di Exchange

Per supportare single sign on tra Outlook Web App e il pannello di controllo di Exchange, è disponibile il nuovo servizio di autenticazione basata su form di Exchange in Exchange 2010. Per utilizzare questa nuova funzionalità controllare che la modalità di autenticazione per Outlook Web App e per le directory virtuali del pannello di controllo di Exchange sia impostata sull'autenticazione basata su form.

Impostazione del valore di timeout dei cookie

Il timeout dei cookie viene impostato in base alla scelta dell'utente, ovvero se è stata selezionata l'opzione Computer pubblico o condiviso o Computer privato nella pagina di accesso a Outlook Web App. Per impostazione predefinita, il cookie sul computer scade automaticamente e l'utente viene disconnesso se non utilizza Outlook Web App per un periodo compreso tra i 15 e 22,5 minuti se è stata selezionata l'opzione computer pubblico e se non utilizza Outlook Web App per un periodo compreso tra le otto e le 12 ore se è stata selezionata l'opzione computer privato.

Il timeout automatico è utile perché consente di proteggere gli account dell'utente da accessi non autorizzati. È possibile configurare i valori di timeout per inattività sul server Accesso Client di Exchange in base ai requisiti specifici di protezione dell'organizzazione.

Sebbene il timeout automatico riduca notevolmente il rischio di accessi non autorizzati, non elimina completamente la possibilità che un utente non autorizzato possa accedere a una cassetta postale Exchange se una sessione su un computer pubblico viene lasciata aperta. È necessario pertanto avvertire gli utenti perché adottino le misure necessarie a evitare rischi, ad esempio disconnettersi da Outlook Web App e chiudere il browser dopo aver terminato di utilizzare Outlook Web App.

Per ulteriori informazioni sulla configurazione dei valori di timeout del cookie per computer pubblici e privati, vedere:

• Impostazione del valore di timeout del cookie di un computer pubblico per l'autenticazione basata su moduli

• Impostazione del valore di timeout del cookie di un computer privato per l'autenticazione basata su moduli

Autenticazione basata su form

Metodi di autenticazione standard

In Exchange 2010, i server Accesso client supportano l'autenticazione integrata di Windows e l'autenticazione di digest HTTP 1.1 per le directory virtuali di Exchange 2010.

Per ulteriori informazioni sui metodi di autenticazione standard, vedere Configurazione dei metodi di autenticazione standard per Outlook Web App.

Autenticazione di base

L'autenticazione di base è un meccanismo di autenticazione semplice definito dalla specifica HTTP che codifica il nome di accesso e la password dell'utente prima che le sue credenziali vengano inviate al server.

L'autenticazione di base non supporta Single Sign-On. L'autenticazione di Windows Server 2008 e Windows Server 2003 consente Single Sign-On in tutte le risorse di rete. Con Single Sign-On, un utente può accedere al dominio una volta utilizzando un'unica password o smart card ed essere autenticato da qualsiasi computer nel dominio.

L'autenticazione di base è supportata da tutti i Web browser, ma non è protetta a meno che non richieda la crittografia SSL.

Per ulteriori informazioni sulla configurazione dell'autenticazione di base in una directory virtuale di Outlook Web App, vedere Configurazione dell'autenticazione di base.

Autenticazione del digest

L'autenticazione del digest trasmette le password sulla rete come valore hash per una protezione ulteriore. L'autenticazione del digest può essere utilizzata solo nei domini di Windows Server 2008, Windows Server 2003 e Microsoft Windows 2000 Server per gli utenti che dispongono di un account archiviato in Active Directory. Per ulteriori informazioni sull'autenticazione del digest, vedere la documentazione relativa a Windows Server 2003 e alla Gestione Internet Information Services (IIS).

L'autenticazione del digest è disponibile solo sulle directory virtuali di Exchange 2010.

Importante

Quando un utente utilizza un chiosco multimediale, se viene utilizzata l'autenticazione di base o digest, le credenziali memorizzate nella cache potrebbero mettere a rischio la protezione se l'utente non può chiudere il browser e terminare il processo browser tra le sessioni. Questo rischio esiste perché le credenziali dell'utente rimangono nella cache quando l'utente successivo accede al chiosco multimediale. Per abilitare Outlook Web App su un chiosco multimediale, assicurarsi che l'utente possa chiudere il browser tra le sessioni e terminare i processi browser. In alternativa, utilizzare un prodotto di terze parti che incorpori l'autenticazione a due fattori, in cui sia necessario che l'utente presenti un token fisico unitamente a una password per utilizzare Outlook Web App sul chiosco multimediale.

Per ulteriori informazioni sulla configurazione dell'autenticazione del digest in una directory virtuale di Outlook Web App, vedere Configurazione dell'autenticazione del digest.

Autenticazione basata su form

Autenticazione integrata di Windows

L'autenticazione Windows integrata richiede agli utenti di disporre di una password e di un nome account utente di Windows Server 2008, Windows Server 2003 o Windows 2000 Server validi per accedere alle informazioni. Agli utenti connessi alla rete locale non viene richiesta né la password né il nome utente. Piuttosto è il server a effettuare la negoziazione con i pacchetti di protezione di Windows installati nel computer client. Questo metodo consente al server di autenticare gli utenti senza richiedere le informazioni di accesso. Le credenziali di autenticazione sono protette, mentre tutte le altre comunicazioni vengono inviate con il testo normale, a meno che non si utilizzi SSL.

MicrosoftInternet Explorer consente single sign-on per applicazioni Web che includono Web part di Outlook Web App se è abilitata l'autenticazione integrata di Windows sul server a cui si accede. Gli utenti devono immettere le credenziali solo una volta per ciascuna sessione del browser. Tuttavia, le credenziali vengono memorizzate nella cache del processo browser.

Su un server di Exchange 2010 in cui sia installato esclusivamente il ruolo del server Accesso client, l'autenticazione integrata di Windows può essere utilizzata solo con le directory virtuali di Exchange 2010. Su un server nel quale sono installati i ruoli Accesso client e Cassette postali, l'autenticazione integrata di Windows può essere utilizzata con qualunque directory virtuale. Per ulteriori informazioni sull'autenticazione integrata di Windows, vedere la documentazione di Windows Server 2003.

Nota

L'autenticazione integrata di Windows è supportata solo su computer su cui è in esecuzione il sistema operativo Windows e Internet Explorer. L'autenticazione Windows integrata può essere utilizzata con altri Web browser se sono stati configurati per passare le credenziali di accesso dell'utente al server che richiede l'autenticazione.

Per ulteriori informazioni sull'autenticazione integrata di Windows in una directory virtuale di Outlook Web App, vedere Configurazione di Autenticazione Windows integrata.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.