身份验证方法
创建虚拟服务器时,需要从身份验证机制开始指定多个关键属性的值。Communicator Web Access 提供了多个身份验证选项。
集成的(NTLM/Kerberos)密码身份验证
这是最安全的身份验证类型,也是最方便的选项。使用集成的密码身份验证时,用户不必输入用户名和密码,而是使用登录其计算机时所用的同一凭据来进行身份验证。
但是,集成的密码身份验证有两个缺点。第一,此类身份验证只能应用于内部虚拟服务器;外部用户始终需要提供凭据,这意味着处理外部登录请求的网站必须使用基于表单的身份验证或自定义身份验证。
第二,集成的密码身份验证只能供以下用户使用:从运行 Microsoft Windows 的计算机登录,并使用支持 NTLM 或 Kerberos 身份验证的 Web 浏览器。如果所有用户都是运行 Internet Explorer 和 Microsoft Windows 的内部用户,则可以将集成的密码身份验证用作唯一的身份验证机制。否则,需要同时使用集成的密码身份验证和基于表单的身份验证,或者需要使用自定义身份验证方法。
注意:
如果同时使用集成的密码身份验证和基于表单的身份验证,Communicator Web Access 将首先尝试让用户使用集成的密码身份验证进行登录。如果尝试失败,将给予用户使用基于表单的身份验证登录的机会。
基于表单的身份验证
使用基于表单的身份验证时,登录对话框中会显示尝试访问 Communicator Web Access 虚拟服务器的用户。此时,用户必须提供自己的凭据(即域、用户名和密码)才能通过身份验证,然后才能访问网站。使用基于表单的身份验证,可以向以下用户提供支持:
Macintosh 和 Linux 用户
未运行 Internet Explorer 的用户
外部用户(即从组织的防火墙外部登录的用户)
基于表单的身份验证的缺点是,这一机制不十分安全。例如,用户凭据以纯文本格式传递给服务器。因此强烈建议您,对允许进行基于表单的身份验证的虚拟服务器使用 HTTPS 连接。
自定义身份验证
除了 Windows 操作系统内置的身份验证机制外,Communicator Web Access 还支持自定义或第三方身份验证方法。例如,Communicator Web Access 支持使用双重身份验证,在双重身份验证中,用户必须提供两个标识(通常是智能卡和个人标识号 (PIN))才能进行身份验证。
Communicator Web Access 还支持单一登录身份验证,但只有 Microsoft Internet Security and Acceleration Server (ISA) 2006 提供此身份验证。使用单一登录时,用户只需登录一次,即可获得访问多个应用程序的权限。例如,用户登录到 Microsoft Outlook Web Access 的同时将自动登录到 Communicator Web Access(反之亦然)。
注意:
如果使用单一登录,应指定“注销 URL”选项,该 URL 是每次用户从 Communicator Web Access 注销时将转到的 URL。通过访问此页,用户可以确信,系统将删除存储在其计算机上的任何身份验证 Cookie。有关详细信息,请参阅自定义身份验证方法的文档。