Outlook Web Access の認証の構成
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-04-10
ここでは、Microsoft Exchange Server 2007 の Microsoft Office Outlook Web Access で使用できる認証の種類について説明します。組織に最適な認証方法は、組織のセキュリティ ニーズによって異なります。既定では、Outlook Web Access はフォーム ベース認証を使用し、SSL (Secure Sockets Layer) 暗号化を使用するように構成されます。
.gif "note") 注 : |
|---|
| Microsoft Exchange Server 2003 バックエンド サーバーは、フォーム ベース認証、基本認証、統合 Windows 認証、およびダイジェスト認証をサポートしています。Exchange Server 2003 フロントエンド サーバーは、統合 Windows 認証またはダイジェスト認証をサポートしていません。 |
フォーム ベース認証
フォーム ベース認証によって、Cookie を使用してユーザーの暗号化されたログオン資格情報をインターネット ブラウザに格納する Outlook Web Access のログオン ページが有効になります。Cookie の使用を追跡することによって、Exchange サーバーで、公共のコンピュータやプライベートのコンピュータでの Outlook Web Access セッションのアクティビティを監視することができます。セッションの非アクティブな時間が長くなりすぎた場合は、サーバーはユーザーが再度認証するまでアクセスを禁止します。
ユーザー名とパスワードが最初にクライアント アクセス サーバーに送信され、Outlook Web Access セッションの認証が行われたときに、ユーザー アクティビティを追跡するために使用される暗号化された Cookie が作成されます。ユーザーがインターネット ブラウザを閉じるか、[ログオフ] をクリックして Outlook Web Access セッションからログオフしたときに、Cookie は消去されます。ユーザー名とパスワードは、最初のユーザー ログオンのためにのみクライアント アクセス サーバーに送信されます。最初のログオンが完了した後は、クライアント コンピュータとクライアント アクセス サーバーとの間の認証には Cookie のみが使用されます。
フォーム ベース認証およびその構成方法の詳細については、以下を参照してください。
Cookie のタイムアウト値の設定
Cookie のタイムアウトは、Outlook Web Access ログオン ページの [これは公共または共有のコンピュータです] オプションまたは [これは個人のコンピュータです] オプションのユーザーによる選択に基づいて設定されます。既定では、[これは公共または共有のコンピュータです] オプションが選択されている場合、ユーザーが Outlook Web Access を 15 分間使用しないと、コンピュータ上の Cookie は自動的に期限切れになり、ユーザーはログオフされます。[これは個人のコンピュータです] オプションが選択されている場合、ユーザーが Outlook Web Access を 8 時間使用しないと、コンピュータ上の Cookie は自動的に期限切れになり、ユーザーはログオフされます。
自動タイムアウトは、権限のないアクセスからユーザーのアカウントを保護する意味で重要です。非アクティブであることによるタイムアウト値を組織のセキュリティ要件に合うように、Exchange クライアント アクセス サーバー上で構成できます。
自動タイムアウトによって、権限のないアクセスによる危険性は大幅に低減されますが、公共のコンピュータ上でセッションが実行されたままである場合、権限のないユーザーが Outlook Web Access アカウントにアクセスできる可能性が完全になくなるわけではありません。したがって、ユーザーに対し、危険を回避するためにの予防策を講じるよう通知しておきます。たとえば、Outlook Web Access での作業が終了したら、Outlook Web Access からログオフし、Web ブラウザを閉じるよう指示します。
共有のコンピュータおよび個人のコンピュータでの Cookie のタイムアウト値を構成する方法の詳細については、以下を参照してください。
- フォーム ベース認証を使用する、公共のコンピュータにおける Cookie のタイムアウト値を設定する方法
- フォーム ベース認証を使用する、プライベートのコンピュータにおける Cookie のタイムアウト値を設定する方法
標準的な認証方法
ここでは、Outlook Web Access の Exchange 2007 クライアント アクセス サーバーをセキュリティで保護する標準的な認証方法について説明します。
Exchange 2007 では、Exchange 2007 仮想ディレクトリ用に統合 Windows 認証と HTTP 1.1 ダイジェスト認証をサポートしています。クライアント アクセス サーバーの役割のみを実行するサーバー上にある Exchange 2000 および Exchange 2003 仮想ディレクトリは、基本認証とフォーム ベースの認証のみをサポートしています。
標準的な認証方法の詳細については、「Outlook Web Access の標準的な認証方法の構成」を参照してください。
基本認証
基本認証は、HTTP 仕様で定義される単純な認証機構で、サーバーにユーザーの資格情報が送信される前にユーザーのログオン名とパスワードをエンコードします。
基本認証は、シングル サインオンをサポートしていません。Windows Server 2003 の認証では、すべてのネットワーク リソースへのシングル サインオンが可能です。シングル サインオンを使用すると、ユーザーはシングル パスワードまたはスマート カードを使用してドメインに一度ログオンするだけで、ドメイン内のすべてのコンピュータを認証します。
基本認証は、すべての Web ブラウザでサポートされていますが、SSL (Secure Sockets Layer) 暗号化を要求しないとセキュリティが低下します。
Outlook Web Access 仮想ディレクトリに基本認証を構成する方法の詳細については、「基本認証を構成する方法」を参照してください。
ダイジェスト認証
ダイジェスト認証では、パスワードがネットワーク経由でハッシュ値として送信されるため、セキュリティが向上します。ダイジェスト認証は、Microsoft Windows Server 2003 および Microsoft Windows 2000 Server ドメインで、アカウントが Active Directory ディレクトリ サービスに格納されているユーザーに対してのみ使用できます。ダイジェスト認証の詳細については、Windows Server 2003 およびインターネット インフォメーション サービス (IIS) マネージャのドキュメントを参照してください。
ダイジェスト認証は Exchange 2007 仮想ディレクトリでのみ使用できます。
.gif "important") 重要 : |
|---|
| ダイジェスト認証または基本認証を使用していて、ユーザーがキオスクを使用した場合、ユーザーがセッション間でブラウザを閉じてブラウザ プロセスを終了しないと、資格情報のキャッシュがセキュリティ上の危険性につながるおそれがあります。この危険性は、次のユーザーがキオスクにアクセスしたときにユーザーの資格情報がキャッシュに残っていることが原因です。キオスクで Outlook Web Access を有効にするには、ユーザーがセッション間でブラウザを閉じてブラウザ プロセスを終了できることを確認します。また、2 要素による認証を実行するサード パーティ製品の使用も検討します。これらの製品では、ユーザーはキオスクで Outlook Web Access を使用するためのパスワードと共に物理的なトークンを提示する必要があります。 |
Outlook Web Access 仮想ディレクトリにダイジェスト認証を構成する方法の詳細については、「ダイジェスト認証を構成する方法」を参照してください。
統合 Windows 認証
統合 Windows 認証では、情報にアクセスする際、ユーザーには有効な Windows 2000 Server または Windows Server 2003 アカウント名とパスワードが必要になります。ローカル ネットワークにログオンするユーザーは、ユーザー名とパスワードを入力する必要はありません。代わりに、サーバーはクライアント コンピュータにインストールされた Windows セキュリティ パッケージと通信し、それらの情報を確認します。この方法では、ユーザーにログオン情報を求めるプロンプトを表示することなく、サーバーがユーザーを認証することができます。認証資格情報は保護されますが、その他のすべての通信は、SSL を使用しない限りクリア テキストで送信されます。
Microsoft Internet Explorer では、アクセスするサーバーで統合 Windows 認証が有効になっている場合、Outlook Web Access Web パーツを含む Web アプリケーションでシングル サインオンを使用できます。ユーザーは、各ブラウザ セッションに資格情報を 1 回だけ入力します。ただし、ユーザーの資格情報はブラウザ プロセスでキャッシュされます。
クライアント アクセス サーバーの役割だけがインストールされている Exchange 2007 サーバーでは、統合 Windows 認証は Exchange 2007 仮想ディレクトリでのみ使用できます。クライアント アクセス サーバーの役割とメールボックス サーバーの役割の両方がインストールされているサーバーでは、統合 Windows 認証をすべての仮想ディレクトリで使用できます。統合 Windows 認証の詳細については、Windows Server 2003 のドキュメントを参照してください。
| 注 : |
|---|
| 統合 Windows 認証は、Windows オペレーティング システムと Internet Explorer を実行するコンピュータでのみサポートされます。統合 Windows 認証は、他の Web ブラウザでも、認証を要求するサーバーにユーザーのログオン資格情報を渡すように構成されていれば機能する場合があります。 |
Outlook Web Access 仮想ディレクトリに統合 Windows 認証を構成する方法の詳細については、「統合 Windows 認証を構成する方法」を参照してください。
詳細情報
- Outlook Web Access をセキュリティで保護する方法の詳細については、「Outlook Web Access のセキュリティの管理」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。