Compartilhar via


Configurando a autenticação baseada em formulários para o Outlook Web Access

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2008-11-24

Este tópico explica a autenticação baseada em formulários para o Microsoft Office Outlook Web Access no Microsoft Exchange Server 2007. A autenticação baseada em formulários habilita uma página de logon para o Outlook Web Access que usa um cookie para armazenar as credenciais de logon criptografadas de um usuário no navegador da Internet. O controle do uso desse cookie permite que o servidor Exchange monitore a atividade das sessões do Outlook Web Access em computadores públicos e particulares. Se uma sessão fica inativa por muito tempo, o servidor bloqueia o acesso até que o usuário faça uma nova autenticação.

Usando cookies para controlar o acesso

Na primeira vez que o nome do usuário e a senha são enviados ao servidor de Acesso para Cliente para autenticar uma sessão do Outlook Web Access, é criado um cookie criptografado que é usado para controlar a atividade do usuário. Quando o usuário fecha o navegador da Internet ou clica em Sair para sair da sessão do Outlook Web Access, o cookie é limpo. O nome do usuário e a senha são enviados para o servidor de Acesso para Cliente apenas no logon inicial do usuário. Depois que o logon inicial é concluído, somente o cookie é usado para autenticação entre o computador cliente e o servidor de Acesso para Cliente.

Por padrão, quando um usuário seleciona a opção Este é um computador público ou compartilhado na página de logon do Outlook Web Access, o cookie no computador expira automaticamente e o logoff do usuário é realizado depois de 15 minutos de inatividade do Outlook Web Access.

O tempo limite automático é útil, pois ajuda a proteger as contas dos usuários contra o acesso não autorizado. Para atender aos requisitos de segurança de sua organização, você pode configurar os valores de tempo limite de inatividade no servidor de Acesso para Cliente do Exchange.

Embora o tempo limite automático reduza muito o risco do acesso não autorizado, não elimina a possibilidade de que um usuário não autorizado acesse uma conta do Outlook Web Access caso uma sessão seja deixada em execução em um computador público. Portanto, certifique-se de alertar os usuários para que tomem as precauções apropriadas a fim de evitar riscos, instruindo-os a sair do Outlook Web Access e fechar o navegador da Web quando terminarem de usar o Outlook Web Access.

Para obter mais informações sobre como configurar os valores de tempo limite de cookie para computadores públicos, consulte Como definir o valor de tempo limite de cookie do computador público de autenticação baseada em formulários.

Quando um usuário seleciona a opção Este é um computador particular na página de logon do Outlook Web Access, o servidor Exchange permite um período mais longo de inatividade antes de encerrar automaticamente a sessão do Outlook Web Access. O tempo limite padrão para logon particular é de oito horas. A opção de tempo limite de cookie do computador particular visa beneficiar os usuários do Outlook Web Access que usam o próprio computador ou um computador que esteja em uma rede corporativa. 

É importante alertar os usuários sobre os riscos associados à seleção da opção Este é um computador particular. Um usuário deve selecionar a opção de computador particular somente se for o único operador do computador e se o computador estiver em conformidade com as diretivas de segurança da organização.

Para obter mais informações sobre como configurar os valores de tempo limite de cookie para computadores particulares, consulte Como definir o valor de tempo limite de cookie do computador particular de autenticação baseada em formulários.

Determinando a atividade do usuário

Depois um certo tempo de inatividade em uma sessão do Outlook Web Access, o servidor de Acesso para Cliente não terá mais a chave de descriptografia para ler o cookie e o acesso será negado ao usuário até que ele faça uma nova autenticação.

O Exchange 2007 usa as informações a seguir para determinar a atividade do usuário:

  • A interação entre o computador cliente e o servidor de Acesso para Cliente iniciada pelo usuário é considerada uma atividade. Por exemplo, se um usuário abrir, enviar ou salvar um item; alternar entre as pastas ou módulos; ou atualizar o modo de exibição ou a janela do navegador da Web, o Exchange 2007 considerará isso uma atividade.

    Dica

    A interação entre o computador cliente e o servidor gerada automaticamente pelo servidor de Acesso para Cliente não é considerada uma atividade. Por exemplo, novas notificações de email e lembretes gerados pelo servidor de Acesso para Cliente em uma sessão do Outlook Web Access não são considerados atividade.

  • No Outlook Web Access Light, qualquer atividade de usuário, exceto digitação de texto, é considerada atividade. No Outlook Web Access Premium, qualquer interação do usuário, inclusive digitação de texto em uma mensagem de email ou solicitação de reunião, é considerada atividade.

Configurando o prompt de logon usado pela autenticação baseada em formulários

Em vez de uma janela pop-up, a autenticação baseada em formulários cria uma página de logon para o Outlook Web Access. Você pode configurar o texto do prompt de logon fornecido pela autenticação baseada em formulários usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange. As alterações de configuração que você faz alteram apenas o texto do prompt de logon. Elas não alteram o formato no qual o usuário deve fazer logon. Por exemplo, é possível configurar a página de logon de autenticação baseada em formulários para solicitar que os usuários forneçam suas informações de logon no formato domínio\nome de usuário. Entretanto, um usuário também pode digitar o seu nome de usuário principal (UPN) e o logon será bem-sucedido.

Os tipos de prompts de logon a seguir podem ser usados pela autenticação baseada em formulários na página de logon do Outlook Web Access. Selecione o prompt de compreensão e utilização mais fácil para os usuários.

  • FullDomain   O domínio e o nome do usuário no formato domínio\nome do usuário. Por exemplo, Contoso\Kweku.

  • PrincipalName   O UPN. O UPN tem duas partes: o prefixo do UPN, que é o nome da conta de usuário, e o sufixo do UPN, que é o nome de domínio DNS. O prefixo e o sufixo são unidos pelo símbolo de arroba (@) para que o UPN fique completo. Por exemplo, Kweku@contoso.com. Os usuários podem acessar o Outlook Web Access digitando seu endereço de email principal ou seu UPN.

  • UserName   Nome do usuário apenas. O nome de domínio não é incluído. Por exemplo, Kweku. Este formato de logon funcionará apenas se o nome de domínio tiver sido configurado.

    Dica

    Se necessário, você pode alterar o formato que o usuário deve usar para fazer logon no Outlook Web Access, configurando o serviço de diretório do Active Directory e o IIS (Serviços de Informações da Internet). O uso do Active Directory e do IIS para definir os formatos de nome de usuário que os usuários podem inserir para serem autenticados é independente do prompt de autenticação baseada em formulários do Outlook Web Access, tratado anteriormente.

Compreendendo a criptografia para logon do usuário em computadores públicos e particulares

A criptografia das credenciais de logon do usuário para os tipos de logon públicos e particulares do Outlook Web Access envolve um conjunto de seis HMACs (códigos de autenticação de mensagem hash). HMACs são chaves de 160 bits geradas pelo servidor de Acesso para Cliente. Eles aprimoram a segurança de logon, combinando algoritmos de hash com funções criptográficas para criptografar as credenciais de logon do usuário. A criptografia e a descriptografia de um cookie são realizadas pelo mesmo servidor de Acesso para Cliente. Somente o servidor de Acesso para Cliente que gerou a chave de autenticação tem a chave para descriptografar o cookie.

Quando a autenticação baseada em formulários do Outlook Web Access for usada, o servidor de Acesso para Cliente percorrerá um conjunto de três chaves para cada tipo de logon, público e particular, a uma taxa definida. Isso é conhecido como tempo de reciclagem. O tempo de reciclagem de uma chave é a metade do valor de tempo limite para o logon. Por exemplo, quando o valor de tempo limite de logon público estiver definido como 15 minutos, o tempo de reciclagem da chave pública será de 7,5 minutos. 

As seis chaves de logon são criadas pelo servidor de Acesso para Cliente quando os diretórios virtuais do Outlook Web Access são iniciados. Três são usadas com logons de computador público e três são usadas com logons de computador particular. Quando um usuário faz logon, a chave atual de seu tipo de logon é usada para criptografar as informações de autenticação do usuário em um cookie.

Quando o tempo de reciclagem passa, o servidor de Acesso para Cliente vai para a chave seguinte. Depois que todas as três chaves de um tipo de logon tiverem sido usadas, o servidor de Acesso para Cliente exclui a chave mais antiga e cria uma nova. O servidor de Acesso para Cliente sempre mantém três chaves disponíveis para cada tipo de logon: a chave atual e duas chaves mais recentes. A reciclagem das chaves continua enquanto o Outlook Web Access está em execução no servidor de Acesso para Cliente. As mesmas chaves são usadas para todos os usuários.

Um cookie que tenha sido criptografado com uma chave ativa será aceito. Quando a solicitação de atividade de um usuário for recebida pelo servidor de Acesso para Cliente, o cookie dessa solicitação será substituído por um novo cookie que foi criptografado usando a chave mais nova. Uma sessão de usuário tem seu tempo limite esgotado quando o cookie associado a ela tiver sido criptografado por uma chave mais antiga que foi descartada.

Devido ao relacionamento entre o tempo de reciclagem das chaves de criptografia e o tempo limite de usuário configurado no servidor, o período de tempo limite real de um usuário pode ficar entre o tempo limite configurado e o tempo limite configurado mais metade desse valor. Por exemplo, se o tempo limite configurado for 30 minutos, o tempo limite real de uma sessão de usuário poderá ficar entre 30 e 45 minutos.

A Tabela 1 fornece informações sobre tempo limite de cookie e tempo de reciclagem da chave de autenticação com base em um logon de usuário de um computador público ou particular.

Logon Valor do tempo limite de cookie Tempo de reciclagem para chave de autenticação se você usar o valor de tempo limite padrão

Público

De um minuto a 30 dias. O padrão é 15 minutos.

7,5 minutos

Particular

De um minuto a 30 dias. O padrão é 8 horas.

4 horas

Dica

Você pode configurar o valor de tempo limite de cookie em minutos usando o registro. O tempo de reciclagem da chave de autenticação é no mínimo um terço e no máximo metade do valor de tempo limite do cookie.

Usando o SSL para ajudar a proteger o Outlook Web Access

Por padrão, a criptografia SSL (Secure Sockets Layer) é ativada quando você instala a função de servidor de Acesso para Cliente. Se o SSL não for usado, o nome do usuário e a senha serão enviados em texto não criptografado no logon inicial. Quando o SSL é usado, ele criptografa toda a comunicação entre o computador cliente e o servidor de Acesso para Cliente e ajuda a impedir que informações importantes, como nomes de usuário, senhas e mensagens de email, sejam visualizadas por terceiros.

Um certificado SSL padrão é instalado com a função de servidor de Acesso para Cliente, mas não é confiável. Se você usar o certificado SSL padrão, ele deve ser confiável, ou um prompt será exibido perguntando se os usuários confiam no certificado sempre que eles fizerem logon no Outlook Web Access. Para obter informações sobre como usar o certificado SSL padrão, consulte Como substituir o certificado SSL padrão por outro certificado confiável.

Para obter mais informações