設定 Outlook Web Access 的驗證
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-04-10
本主題說明可對 Microsoft Exchange Server 2007 中的 Microsoft Office Outlook Web Access 使用的驗證類型。最適合您組織的驗證方法視您組織的安全性需求而定。Outlook Web Access 預設會使用表單型驗證,並設定為使用安全通訊端層 (SSL) 加密。
附註: |
---|
Microsoft Exchange Server 2003 後端伺服器支援表單型、基本、整合式 Windows 以及摘要驗證。Exchange Server 2003 前端伺服器不支援整合式 Windows 或摘要驗證。 |
表單型驗證
表單型驗證啟用 Outlook Web Access 的登入頁面,而此登入頁面在網際網路瀏覽器中使用 Cookie 儲存使用者的加密登入認證。追蹤此 Cookie 的使用,可以讓 Exchange 伺服器監視公用及私人電腦上之 Outlook Web Access 工作階段的活動。如果工作階段未作用的時間過長,則除非使用者重新驗證,否則伺服器會封鎖存取。
第一次將使用者名稱及密碼傳送給 Client Access Server 以驗證 Outlook Web Access 工作階段時,會建立加密 Cookie,並使用此加密 Cookie 追蹤使用者活動。在使用者關閉網際網路瀏覽器,或按一下 [登出] 登出他們的 Outlook Web Access 工作階段時,會清除 Cookie。只有在使用者最初登入時,才會將使用者名稱及密碼傳送給 Client Access Server。初始登入完成後,該 Cookie 只用於用戶端電腦與 Client Access Server 之間的驗證。
如需表單型驗證及其設定方式的相關資訊,請參閱:
設定 Cookie 逾時值
Cookie 逾時是根據使用者在 Outlook Web Access 登入頁面上選擇 [這是公用或共用電腦] 選項或 [這是私人電腦] 選項而設定。電腦上的 Cookie 預設會自動到期,而且如果使用者選取了公用電腦選項,但有 15 分鐘未使用 Outlook Web Access,或者如果使用者選取了私人電腦選項,但有八小時未使用 Outlook Web Access,使用者便會登出。
自動逾時非常實用,有助於保護使用者帳戶免於未經授權的存取。為了符合組織的安全性需求,您可以在 Exchange Client Access Server 上設定閒置逾時值。
雖然自動逾時會明顯降低未經授權存取的風險,但是如果讓工作階段繼續在公用電腦上執行,仍然無法完全排除未經授權使用者存取 Outlook Web Access 帳戶的可能性。因此,請確定警告使用者要注意避免風險,例如告訴使用者在使用完 Outlook Web Access 時登出 Outlook Web Access,並關閉 Web 瀏覽器。
如需如何設定私人電腦及公用電腦之 Cookie 逾時值的相關資訊,請參閱:
標準驗證方法
本主題說明標準驗證方法,這些方法可協助您針對 Outlook Web Access 確保 Exchange 2007 Client Access Server 的安全。
在 Exchange 2007 中,Client Access Server 支援 Exchange 2007 虛擬目錄的整合式 Windows 驗證與 HTTP 1.1 摘要驗證。只執行 Client Access server role 之伺服器上的 Exchange 2000 與 Exchange 2003 虛擬目錄只支援基本與表單型驗證。
如需標準驗證方法的相關資訊,請參閱設定 Outlook Web Access 的標準驗證方法。
基本驗證
基本驗證是 HTTP 規格所定義的簡單驗證機制,它可先將使用者的登入名稱與密碼編碼,再傳送使用者認證至伺服器。
基本驗證不支援單一登入。Windows Server 2003 驗證會對所有網路資源啟用單一登入。使用單一登入,使用者可使用單一密碼或智慧卡登入網域一次,然後對網域中的任何一台電腦驗證。
所有 Web 瀏覽器都支援基本驗證,不過除非您需要安全通訊端層 (SSL) 加密,否則並不安全。
如需如何於 Outlook Web Access 虛擬目錄上設定基本驗證的相關資訊,請參閱如何設定基本驗證。
摘要驗證
摘要驗證會將密碼當作雜湊值在網路上傳輸,以增加安全性。摘要驗證只能在 Microsoft Windows Server 2003 與 Microsoft Windows 2000 Server 網域中使用,供具有儲存在 Active Directory 目錄服務中之帳戶的使用者使用。如需摘要驗證的相關資訊,請參閱 Windows Server 2003 與網際網路資訊服務 (IIS) 管理員說明文件。
摘要驗證只能在 Exchange 2007 虛擬目錄上使用。
重要事項: |
---|
若您正在使用摘要或基本驗證,當使用者使用 kiosk 時,若使用者無法關閉瀏覽器或無法結束工作階段之間的瀏覽器程序,將認證快取便會導致安全性風險。發生此風險是因為下一個使用者存取 kiosk 時,使用者的認證仍然保留在快取中。若要在 kiosk 上啟用 Outlook Web Access,請確定使用者能關閉工作階段之間的瀏覽器,並結束瀏覽器處理程序。否則,請考慮使用能合併這兩種驗證的協力廠商產品 (其中,使用者必須提供實體 Token 與密碼),才能在 kiosk 上使用 Outlook Web Access。 |
如需如何在 Outlook Web Access 虛擬目錄上設定摘要驗證的相關資訊,請參閱如何設定摘要驗證。
整合式 Windows 驗證
整合式 Windows 驗證需要使用者具有有效的 Windows 2000 Server 或 Windows Server 2003 使用者帳戶名稱與密碼,才能存取資訊。使用者登入區域網路時,不會出現要求輸入使用者名稱與密碼的提示。不過,伺服器會透過安裝在用戶端電腦上的 Windows 安全性套件進行交涉。此方法可讓伺服器不提示使用者輸入登入資訊就能驗證使用者。驗證資訊會受到保護,但除非使用 SSL,否則所有其他通訊會用純文字傳送。
若所存取的伺服器已啟用整合式 Windows 驗證,則 Microsoft Internet Explorer 允許包含 Outlook Web Access Web 組件的 Web 應用程式進行單一登入。使用者只需要針對每個瀏覽器工作階段輸入一次認證即可。不過,會在瀏覽器處理程序中快取其認證。
在只安裝 Client Access server role 的 Exchange 2007 伺服器上,整合式 Windows 驗證只能搭配 Exchange 2007 虛擬目錄使用。在同時安裝有 Client Access 和 Mailbox role 的伺服器上,整合式 Windows 驗證可以搭配任何虛擬目錄使用。如需整合式 Windows 驗證的相關資訊,請參閱 Windows Server 2003 文件。
附註: |
---|
只有執行 Windows 作業系統與 Internet Explorer 的電腦才支援整合式 Windows 驗證。若已將其他 Web 瀏覽器設為將使用者的登入認證傳送至要求驗證的伺服器,那麼它們也能使用整合式 Windows 驗證。 |
如需如何在 Outlook Web Access 虛擬目錄上設定整合式 Windows 驗證的相關資訊,請參閱如何設定整合式 Windows 驗證。
相關資訊
- 如需如何協助確保 Outlook Web Access 安全的相關資訊,請參閱管理 Outlook Web Access 安全性。
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.