Authentifizierung und EWS in Exchange

Hier finden Sie Informationen, die Sie dabei unterstützen, den richtigen Authentifizierungsstandard für Ihre EWS-Anwendung für Exchange zu finden.

Die Authentifizierung ist ein wichtiger Bestandteil Ihrer Exchange Web Services-Anwendung (EWS). Exchange Online, Exchange Online als Teil von Office 365 und lokale Versionen von Exchange ab Exchange Server 2013 unterstützen standardmäßige Webauthentifizierungsprotokolle, um die Sicherheit der Kommunikation zwischen Ihrer Anwendung und dem Exchange-Server zu gewährleisten.

Wenn Sie auf Exchange Online abzielen, muss die von Ihnen gewählte Authentifizierungsmethode HTTPS zum Verschlüsseln der Anforderungen und Antworten, die Ihre Anwendung sendet, verwenden. Auch wenn Sie auf lokalen Servern HTTP mit Exchange verwenden können, empfehlen wir die Verwendung von HTTPS für alle Anforderungen, die Ihre Anwendung an einen EWS-Endpunkt sendet, um auf diese Weise die Kommunikation zwischen der Anwendung und einem Exchange-Server zu sichern.

Exchange bietet die folgenden Authentifizierungsoptionen:

  • OAuth 2.0 (nur Exchange Online)

  • NTLM (nur lokales Exchange)

  • Standard (nicht mehr empfohlen)

Welche Authentifizierungsmethode Sie auswählen, hängt von den Sicherheitsanforderungen Ihres Unternehmens ab sowie davon, ob Sie Exchange Online oder lokales Exchange verwenden und ob Sie Zugriff auf einen Drittanbieter haben, der OAuth-Token ausstellen kann. In diesem Artikel finden Sie Informationen, die Sie bei der Auswahl des passenden Authentifizierungsstandard für Ihre Anwendung unterstützt.

OAuth-Authentifizierung

Wir empfehlen die Verwendung des OAuth-Standards für alle neuen Anwendungen, die sich mit Exchange Online-Diensten verbinden. Der Vorteil, den diese Authentifizierung im Vergleich zur Standardauthentifizierung bietet, rechtfertigt den zusätzlichen Aufwand, der zum Implementieren von OAuth in Ihre Anwendung notwendig ist. Beachten Sie hierbei jedoch auch, dass es durchaus einige Nachteile gibt.

Tabelle 1. Vor- und Nachteile von OAuth

Vorteile Nachteile
OAuth ist ein Authentifizierungsprotokoll nach Branchenstandard.

Die Authentifizierung wird durch einen Drittanbieter verwaltet. Ihre Anwendung muss keine Exchange-Anmeldeinformationen sammeln und speichern.

Hierum müssen Sie sich also nicht kümmern. Ihre Anwendung enthält nur ein verdecktes Token vom Authentifizierungsanbieter. Daher wird bei einer Sicherheitsverletzung nur das Token aufgedeckt, jedoch keine Exchange-Anmeldeinformationen des Benutzers.
OAuth ist von einem Drittpartei-Authentifizierungsanbieter abhängig. Dies kann zusätzliche Kosten für Ihr Unternehmen oder Ihre Kunden verursachen.

Der OAuth-Standard ist schwieriger zu implementieren als die Standardauthentifizierung.

Um OAuth implementieren zu können, müssen Sie Ihre Anwendung sowohl mit dem Authentifizierungsanbieter als auch dem Exchange-Server integrieren.

Um die Nachteile zu minimieren, können Sie die Microsoft Azure AD Authentication Library (ADAL) zum Authentifizieren von Benutzern bei den Active Directory Domain Services (AD DS) in der Cloud oder lokal verwenden und dann Zugriffstoken zum Sichern der Aufrufe an den Exchange-Server verwenden. Für Exchange Online sind vom Azure Active Directory-Dienst ausgegebene Token erforderlich, was von ADAL unterstützt wird. Sie können jedoch jede Drittanbieterbibliothek verwenden.

Weitere Informationen über die Verwendung der OAuth-Authentifizierung in der EWS-Anwendung finden Sie in den folgenden Ressourcen:

NTLM-Authentifizierung

Die NTLM-Authentifizierung ist nur für lokale Exchange-Server verfügbar. Für Anwendungen, die innerhalb der Unternehmensfirewall ausgeführt werden, bietet die Integration der NTLM-Authentifizierung und von .NET Framework eine integrierte Möglichkeit, Ihre Anwendung zu authentifizieren.

Tabelle 2. Vor- und Nachteile der NTLM-Authentifizierung

Vorteile Nachteile
Ist sofort einsatzbereit zur Verwendung mit dem Exchange-Server. Sie können den Zugriff auf Exchange-Dienste konfigurieren, indem Sie ein Exchange Management Shell-Cmdlet verwenden.

Verwenden Sie das CredentialCache-Objekt von .NET Framework, um die Anmeldeinformationen des Benutzers automatisch abzurufen.

Es sind Codebeispiele unter verfügbar, die die Anmeldeinformationen des angemeldeten Benutzers für die Authentifizierung bei einem lokalen Exchange-Server verwenden.
Benutzer müssen bei einer Domäne angemeldet sein, um die NTLM-Authentifizierung verwenden zu können.

Es kann schwierig sein, auf E-Mail-Konten zuzugreifen, die nicht dem Domänenkonto des Benutzers zugeordnet sind.

Dienstanwendungen müssen über ein Domänenkonto verfügen, um die NTLM-Authentifizierung nutzen zu können.

Standardauthentifizierung

Die Standardauthentifizierung bietet eine grundlegende Sicherheitsebene für die Clientanwendung. Wir empfehlen, dass alle neue Anwendungen entweder NTLM oder das OAuth-Protokoll für die Authentifizierung verwenden. Die Standardauthentifizierung kann jedoch unter bestimmten Umständen die richtige Wahl für Ihre Anwendung sein.

Tabelle 3. Vor- und Nachteile der Standardauthentifizierung

Vorteile Nachteile
Ist sofort einsatzbereit zur Verwendung mit dem Exchange-Server. Sie können den Zugriff auf Exchange-Dienste konfigurieren, indem Sie ein Exchange Management Shell-Cmdlet verwenden.

Windows-Anwendungen können die standardmäßigen Anmeldeinformationen des angemeldeten Benutzers verwenden.

Es stehen zahlreiche Codebeispiele zur Verfügung, die demonstrieren, wie Sie EWS mit Standardauthentifizierung aufrufen.
Macht das Erfassen und Speichern der Anmeldeinformationen des Benutzers durch die Anwendung erforderlich.

Sie müssen die NTLM-Authentifizierung deaktivieren, wenn Sie die Standardauthentifizierung für alle Benutzer erzwingen möchten.

Wenn in Ihrer Anwendung eine Sicherheitsverletzung auftritt, kann dies die E-Mail-Adresse und das Kennwort des Benutzers für den Angreifer offenlegen.

Sie müssen entscheiden, ob die Standardauthentifizierung die Sicherheitsanforderungen Ihrer Organisation und Ihrer Kunden erfüllt. Die Standardauthentifizierung kann die richtige Wahl sein, wenn Sie umfangreiche Einrichtungsmaßnahmen vermeiden möchten, wenn Sie Anwendungen zum Beispiel nur zu Test- oder Demonstrationszwecken verwenden möchten.

Hinweis

Die Standardauthentifizierung wird für EWS zum Herstellen einer Verbindung zu Exchange Online nicht mehr unterstützt. Verwenden Sie die OAuth-Authentifizierung in all Ihren neuen oder bestehenden EWS-Anwendungen, um eine Verbindung zu Exchange Online herzustellen. Die OAuth-Authentifizierung für EWS ist in Exchange Online nur im Rahmen von Microsoft 365 verfügbar. EWS-Anwendungen, die OAuth verwenden, müssen zuerst bei Azure Active Directory registriert werden.

Siehe auch