Autenticação de usuário e cliente para Skype for Business Server

Um usuário confiável é aquele cujas credenciais foram autenticadas por um servidor confiável em Skype for Business Server. Esse servidor geralmente é um servidor Standard Edition, Edição Enterprise Front End Server ou Director. Skype for Business Server depende do Active Directory Domain Services como o repositório de back-end único e confiável das credenciais do usuário.

Autenticação é o provisionamento de credenciais de usuário em um servidor confiável. Skype for Business Server usa os seguintes protocolos de autenticação, dependendo do status e do local do usuário.

• Protocolo de segurança do MIT Kerberos versão 5 para usuários internos com credenciais do Active Directory. Kerberos requer conectividade do cliente para Active Directory Domain Services, razão pela qual não pode ser usado para autenticar clientes fora do firewall corporativo.

• Protocolo NTLM para usuários com credenciais do Active Directory que estão se conectando de um ponto de extremidade fora do firewall corporativo. O serviço Access Edge passa solicitações de logon para um Diretor, se presente, ou um Servidor front-end para autenticação. O serviço access edge em si não executa nenhuma autenticação.

  Nota

  O protocolo NTLM oferece proteção contra ataques mais fraca que o Kerberos; assim, algumas organizações minimizam o uso de NTLM. Como resultado, o acesso a Skype for Business Server pode ser restrito a clientes internos ou conectados por meio de uma conexão VPN ou DirectAccess.

• Protocolo Digest para os chamados usuários anônimos. Usuários anônimos são usuários externos que não possuem credenciais reconhecidas do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação Digest não é usada para nenhuma outra interação do cliente.

Skype for Business Server autenticação consiste em duas fases:

1. Uma associação de segurança é estabelecida entre o cliente e o servidor.

2. O cliente e o servidor usam a associação de segurança existente para assinar mensagens enviadas e para verificar as mensagens recebidas. Mensagens não autenticadas de um cliente não são aceitas quando uma autenticação está habilitada no servidor.

Uma marca da confiança do usuário é anexada a cada mensagem originária de um usuário, não à identidade do usuário em si. O servidor verifica se há credenciais de usuário válidas em cada mensagem. Se as credenciais de usuário forem válidas, a mensagem não será contestada nem pelo primeiro servidor, nem pelos outros servidores da nuvem de servidores confiáveis.

Usuários com credenciais válidas emitidas por um parceiro federado são confiáveis, porém são opcionalmente impedidos por restrições adicionais de aproveitar toda a gama de privilégios concedidos aos usuários internos.

Os protocolos ICE e TURN também utilizam o mecanismo de desafio Digest, conforme descrito no IETF TURN RFC.

Os certificados do cliente fornecem uma maneira alternativa para que os usuários sejam autenticados por Skype for Business Server. Em vez de fornecer um nome de usuário e senha, os usuários possuem um certificado e a chave privada correspondente ao certificado exigida para resolver um desafio criptográfico. (Esse certificado deve ter um nome de assunto ou um nome alternativo de assunto que identifique o usuário e deve ser emitido por uma AC Raiz confiável por servidores que executam Skype for Business Server, estar dentro do período de validade do certificado e não ter sido revogado.) Para serem autenticados, os usuários só precisam digitar um PIN (número de identificação pessoal). Os certificados são particularmente úteis para telefones, celulares e outros dispositivos onde é difícil inserir um nome de usuário e senha.

Requisitos criptográficos devido ao ASP .NET 4.5

A partir de Skype for Business Server CU5 de 2015, o AES não tem suporte para ASP.NET 4.6 e isso pode fazer com que o Aplicativo de Reuniões do Skype não seja iniciado. Se um cliente estiver usando o AES como o valor de validação da chave do computador, você precisará redefinir o valor da chave do computador para SHA-1 ou outro algoritmo com suporte no nível do site do aplicativo Skype Meetings no IIS. Se necessário, consulte IIS 8.0 ASP.NET Configuration Management para obter instruções.

Outros valores com suporte são:

• HMACSHA256

• HMACSHA384

• HMACSHA512

  Os valores AES, 3DES e MD5 não são mais permitidos, pois já estiveram em ASP.NET 4. Melhorias criptográficas no ASP.NET 4.5, pt. 2 tem mais detalhes.