Benutzer- und Clientauthentifizierung für Skype for Business Server

  • Artikel

Ein vertrauenswürdiger Benutzer ist ein Benutzer, dessen Anmeldeinformationen von einem vertrauenswürdigen Server in Skype for Business Server authentifiziert wurden. Dieser Server ist in der Regel ein Standard Edition-Server, Enterprise Edition Front-End-Server oder Director. Skype for Business Server basiert auf Active Directory Domain Services als einzelnes, vertrauenswürdiges Back-End-Repository mit Benutzeranmeldeinformationen.

Authentifizierung bedeutet die Bereitstellung von Benutzeranmeldeinformationen für einen vertrauenswürdigen Server. Skype for Business Server verwendet je nach status und Standort des Benutzers die folgenden Authentifizierungsprotokolle.

  • MIT Kerberos Version 5-Sicherheitsprotokoll für interne Benutzer mit Active Directory-Anmeldeinformationen. Kerberos erfordert Clientkonnektivität für Active Directory Domain Services, weshalb es nicht für die Authentifizierung von Clients außerhalb der Unternehmensfirewall verwendet werden kann.

  • NTLM-Protokoll für Benutzer mit Active Directory-Anmeldeinformationen, die eine Verbindung von einem Endpunkt außerhalb der Unternehmensfirewall herstellen. Der Access Edge-Dienst übergibt Anmeldeanforderungen zur Authentifizierung an einen Director (sofern vorhanden) oder an einen Front-End-Server. Der Access Edge-Dienst selbst führt keine Authentifizierung durch.

    Hinweis

    Da der Angriffsschutz des NTLM-Protokolls schwächer ist als der von Kerberos, minimieren einige Organisationen die Nutzung von NTLM. Daher kann der Zugriff auf Skype for Business Server auf interne Oder Clients beschränkt sein, die über eine VPN- oder DirectAccess-Verbindung verbunden sind.

  • Das Digestprotokoll für sogenannte anonyme Benutzer. Anonyme Benutzer sind externe Benutzer, die nicht über anerkannte Active Directory-Anmeldeinformationen verfügen, aber zu einer lokalen Konferenz eingeladen wurden und einen gültigen Konferenzschlüssel besitzen. Die Digestauthentifizierung wird nicht für andere Clientinteraktionen verwendet.

Skype for Business Server Authentifizierung besteht aus zwei Phasen:

  1. Zwischen dem Client und dem Server wird eine Sicherheitszuordnung eingerichtet.

  2. Client und Server verwenden die vorhandene Sicherheitszuordnung, um Nachrichten, die sie senden, zu signieren, und Nachrichten, die sie empfangen, zu überprüfen. Nicht authentifizierte Nachrichten von einem Client werden nicht akzeptiert, wenn die Authentifizierung auf dem Server aktiviert ist.

Die Benutzervertrauenswürdigkeit ist mit jeder Nachricht verbunden, die von einem Benutzer stammt, nicht mit der Benutzeridentität selbst. Der Server überprüft jede Nachricht auf gültige Benutzeranmeldeinformationen. Wenn die Benutzeranmeldeinformationen gültig sind, wird die Nachricht weder vom ersten Server, der sie empfängt, noch von allen anderen Servern in der vertrauenswürdigen Servercloud herausgefordert.

Benutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgegeben wurden, sind vertrauenswürdig, erhalten aber optional aufgrund zusätzlicher Einschränkungen nicht sämtliche Berechtigungen, die internen Benutzern erteilt werden.

Die Protokolle ICE und TURN verwenden ebenfalls die Digestherausforderung, wie im IETF TURN RFC beschrieben.

Clientzertifikate bieten eine alternative Möglichkeit für die Authentifizierung von Benutzern durch Skype for Business Server. Anstelle der Angabe eines Benutzernamens und eines Kennworts haben die Benutzer ein Zertifikat und den privaten Schlüssel, der dem Zertifikat entspricht, das zum Auflösen einer kryptografischen Aufforderung benötigt wird. (Dieses Zertifikat muss über einen Antragstellernamen oder einen alternativen Antragstellernamen verfügen, der den Benutzer identifiziert, und muss von einer Stammzertifizierungsstelle ausgestellt werden, die von Servern mit Skype for Business Server vertrauenswürdig ist, innerhalb des Gültigkeitszeitraums des Zertifikats liegt und nicht widerrufen wurde.) Um authentifiziert zu werden, müssen Benutzer nur eine persönliche Identifikationsnummer (PIN) eingeben. Zertifikate sind besonders nützlich für Telefone, Mobiltelefone und andere Geräte, bei denen es schwierig ist, einen Benutzernamen und ein Kennwort einzugeben.

Kryptografische Anforderungen aufgrund von ASP .NET 4.5

Ab Skype for Business Server 2015 CU5 wird AES für ASP.NET 4.6 nicht unterstützt. Dies kann dazu führen, dass die Skype-Besprechungs-App nicht gestartet wird. Wenn ein Client AES als Computerschlüsselvalidierungswert verwendet, müssen Sie den Computerschlüsselwert auf SHA-1 oder einen anderen unterstützten Algorithmus auf der Websiteebene der Skype-Besprechungs-App auf IIS zurücksetzen. Anweisungen finden Sie bei Bedarf unter IIS 8.0 ASP.NET Configuration Management .

Weitere unterstützte Werte: