Autenticazione utente e client per Skype for Business Server

  • Articolo

Un utente attendibile è un utente le cui credenziali sono autenticate da un server attendibile in Skype for Business Server. Questo server è in genere un server Standard Edition, Enterprise Edition Front End Server o Director. Skype for Business Server si basa su Active Directory Domain Services come singolo archivio back-end attendibile delle credenziali utente.

L'autenticazione è il provisioning delle credenziali utente a un server attendibile. Skype for Business Server utilizza i protocolli di autenticazione seguenti, a seconda dello stato e della posizione dell'utente.

  • Protocollo di sicurezza MIT Kerberos versione 5 per gli utenti interni con credenziali Active Directory. Kerberos richiede la connettività client a Servizi di dominio Active Directory, motivo per cui non può essere usato per l'autenticazione dei client all'esterno del firewall aziendale.

  • Protocollo NTLM per gli utenti con credenziali di Active Directory che si connettono da un endpoint all'esterno del firewall aziendale. Il servizio Access Edge passa le richieste di accesso a un director, se presente, o a un Front End Server per l'autenticazione. Il servizio Access Edge non esegue l'autenticazione.

    Nota

    Il protocollo NTLM offre una protezione agli attacchi più debole rispetto a Kerberos, quindi alcune organizzazioni riducono al minimo l'uso di NTLM. Di conseguenza, l'accesso a Skype for Business Server potrebbe essere limitato a client interni o connessi tramite una connessione VPN o DirectAccess.

  • Protocollo digest per i cosiddetti utenti anonimi. Gli utenti anonimi sono utenti esterni che non hanno riconosciuto le credenziali di Active Directory ma che sono stati invitati a una conferenza locale e possiedono un codice conferenza valido. L'autenticazione del digest non viene usata per altre interazioni client.

L'autenticazione di Skype for Business Server è costituita da due fasi:

  1. Viene stabilita un'associazione di protezione tra il client e il server.

  2. Il client e il server utilizzano l'associazione di protezione esistente per firmare i messaggi inviati e per verificare i messaggi ricevuti. I messaggi non autenticati provenienti da un client non vengono accettati quando l'autenticazione è abilitata nel server.

L'attendibilità dell'utente è associata a ciascun messaggio che proviene da un utente, non all'identità dell'utente stesso. Il server verifica che ogni messaggio abbia credenziali utente valide. Se le credenziali utente sono valide, il messaggio non viene contestata solo dal primo server a riceverlo, ma da tutti gli altri server nel cloud server attendibile.

Gli utenti con credenziali valide emesse da un partner federato sono considerati attendibili, ma facoltativamente impediti da altri vincoli di usufruire dell'intera gamma di privilegi concessi agli utenti interni.

I protocolli ICE e TURN usano anche la sfida di digest, come descritto in IETF TURN RFC.

I certificati client offrono un metodo alternativo per l'autenticazione degli utenti da parte di Skype for Business Server. Anziché fornire un nome utente e una password, gli utenti hanno un certificato e la chiave privata corrispondente al certificato necessario per risolvere un'autenticazione crittografica. Il certificato deve avere un nome soggetto o un nome alternativo soggetto che identifichi l'utente e sia emesso da una CA radice attendibile dai server che eseguono Skype for Business Server, che rientri nel periodo di validità del certificato e non sia stata revocata. Per essere autenticati, gli utenti devono digitare solo un PIN. I certificati sono utili per telefoni, telefoni cellulari e altri dispositivi in cui è difficile immettere un nome utente e una password.

Requisiti di crittografia dovuti ad ASP .NET 4.5

A partire da Skype for Business Server 2015 CU5, AES non è supportato per ASP.NET 4.6 e questo potrebbe causare il mancato avvio dell'app Riunioni Skype. Se un client utilizza AES come valore di convalida della chiave del computer, dovrai reimpostare il valore della chiave del computer su SHA-1 o un altro algoritmo supportato a livello di sito dell'app Riunioni Skype in IIS. Se necessario, vedere IIS 8.0 ASP.NET Gestione configurazione per istruzioni.

Altri valori supportati sono: