Authentification et EWS dans Exchange
Cette page contient des informations pour vous aider à choisir la norme d’authentification correcte pour votre application EWS qui cible Exchange.
L'authentification est un élément clé de votre application EWS (Exchange Web Services). Exchange Online, Exchange Online en tant qu'application Office 365 et les versions locales d'Exchange en commençant par Exchange Server 2013 prennent en charge les protocoles d'authentification web standard pour vous aider à sécuriser les communications entre votre application et le serveur Exchange.
Si vous ciblez Exchange Online, la méthode d'authentification que vous choisissez doit utiliser HTTPS pour chiffrer les demandes et les réponses que votre application envoie. Bien que vous puissiez utiliser HTTP avec les serveurs Exchange locaux, nous vous recommandons d'utiliser HTTPS pour toute demande que votre application envoie à un point de terminaison EWS de façon à sécuriser convenablement les communications entre votre application et un serveur Exchange.
Exchange propose les options d'authentification suivantes :
OAuth 2.0 (Exchange Online uniquement)
NTLM (Exchange en mode local uniquement)
De base (déconseillé)
La méthode d'authentification que vous choisissez dépend des exigences de sécurité de votre organisation, selon que vous utilisez Exchange Online ou Exchange en mode local et que vous avez accès à un fournisseur tiers qui peut émettre des jetons OAuth. Cet article fournit des informations qui vous aideront à sélectionner la norme d'authentification qui convient le mieux à votre application.
Authentification OAuth
Il est recommandé que toutes les nouvelles applications utilisent la norme OAuth pour se connecter aux services Exchange Online. La supériorité de ce mécanisme sur l'authentification de base vaut bien le travail supplémentaire de mise en œuvre d'OAuth dans votre application. Pour information, toutefois, il existe également un certain nombre d'inconvénients que vous devez connaître.
Tableau 1. Avantages et inconvénients de l’utilisation d’OAuth
| Avantages | Inconvénients |
|---|---|
| OAuth est un protocole d'authentification standard. L'authentification est gérée par un fournisseur tiers. Votre application ne collecte pas et ne stocke pas les informations d'identification Exchange. Cette solution est plus confortable, car votre application reçoit uniquement un jeton opaque qui émane du fournisseur d'authentification. Par conséquent, une violation de la sécurité dans votre application exposerait uniquement le jeton, et non pas les informations d'identification Exchange de l'utilisateur. |
OAuth s'appuie sur un fournisseur d'authentification tiers. Cela peut impliquer des coûts supplémentaires à votre organisation ou vos clients. La norme OAuth est plus difficile à mettre en œuvre que l'authentification de base. Pour mettre en œuvre OAuth, vous devez intégrer votre application au fournisseur d'authentification et au serveur Exchange. |
Pour réduire les inconvénients, vous pouvez utiliser la bibliothèque d’authentification Microsoft Microsoft Entra (ADAL) pour authentifier les utilisateurs auprès de services de domaine Active Directory (AD DS) dans le cloud ou localement, puis obtenir des jetons d’accès pour sécuriser les appels à un serveur Exchange. Exchange Online nécessite des jetons émis par le service Microsoft Entra, qui est pris en charge par la bibliothèque ADAL. Toutefois, vous pouvez utiliser n’importe quelle bibliothèque tierce.
Pour en savoir plus sur l'utilisation de l'authentification OAuth dans votre application EWS, consultez les ressources suivantes :
Essai Office 365 pour configurer un serveur Exchange à utiliser pour tester votre application cliente.
Configurez Microsoft Entra pour permettre à votre application d’utiliser des jetons OAuth pour l’authentification.
Consultez des exemples de code dans Authentifier une application EWS à l'aide d'OAuth pour étudier un exemple de programme.
Authentification NTLM
L'authentification NTLM est disponible uniquement pour les serveurs Exchange locaux. Pour les applications qui s'exécutent dans le pare-feu de l'entreprise, l'intégration entre l'authentification NTLM et .NET Framework fournit un moyen prédéfini d'authentifier votre application.
Tableau 2. Avantages et inconvénients de l’utilisation de l’authentification NTLM
| Avantages | Inconvénients |
|---|---|
| Prêt à l'emploi avec votre serveur Exchange. Vous pouvez configurer l'accès aux services Exchange en utilisant une applet de commande Exchange Management Shell. Utilise l'objet .NET Framework CredentialCache afin d'obtenir automatiquement les informations d'identification de l'utilisateur. exemples de code disponibles emploient les informations d'identification de l'utilisateur connecté pour l'authentifier auprès d'un serveur d'Exchange local. |
Les utilisateurs doivent être connectés à un domaine pour utiliser l'authentification NTLM. Il peut être difficile d'accéder aux comptes de messagerie qui ne sont pas associés au compte de domaine de l'utilisateur. Les applications de service doivent posséder un compte de domaine pour tirer parti de l’authentification NTLM. |
Authentification de base
L'authentification de base fournit un niveau de sécurité rudimentaire à votre application cliente. Nous recommandons que toutes les nouvelles applications utilisent NTLM ou le protocole OAuth pour l'authentification ; toutefois, l'authentification de base peut être le bon choix pour votre application dans certaines circonstances.
Tableau 3. Avantages et inconvénients de l’utilisation de l’authentification de base
| Avantages | Inconvénients |
|---|---|
| Prêt à l'emploi avec votre serveur Exchange. Vous pouvez configurer l'accès aux services Exchange en utilisant une applet de commande Exchange Management Shell. Les applications Windows peuvent utiliser les informations d'identification de l'utilisateur connecté par défaut. Nombreux sont les exemples de code qui illustrent la façon d'appeler EWS à l'aide de l'authentification de base. |
Nécessite que l'application collecte et stocke les informations d'identification de l'utilisateur. Vous devez désactiver l’authentification NTLM si vous voulez forcer tous les utilisateurs à utiliser l’authentification de base. En cas de violation de la sécurité dans votre application, ce mécanisme peut exposer l'adresse de messagerie et le mot de passe de l'utilisateur à un utilisateur malveillant. |
Vous devez décider si l'authentification de base répond aux exigences de sécurité de votre organisation et des clients. L'authentification de base peut être judicieuse si vous souhaitez éviter les tâches de configuration fastidieuses, par exemple pour les applications de démonstration ou de test simples.
Remarque
L’authentification de base n’est plus prise en charge pour EWS pour la connexion à Exchange Online. Utilisez l’authentification OAuth dans toutes les applications nouvelles ou existantes EWS pour vous connecter à Exchange Online. L’authentification OAuth pour EWS est disponible uniquement dans Exchange dans le cadre d’Office 365. Les applications EWS qui utilisent OAuth doivent d’abord être inscrites auprès de Microsoft Entra.
Voir aussi
- Authentifier une application EWS à l’aide d’OAuth
- Commencer à utiliser les services web dans Exchange
- Ajout de Sign-On à votre application web à l’aide de Microsoft Microsoft Entra
- Contrôler l’accès à EWS dans Exchange
- Contrôler l’accès des applications clientes à EWS dans Exchange
- Types de jeton et de revendication pris en charge
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour