Compartir a través de

Autenticación de usuario y cliente para Skype Empresarial Server

  • Artículo

Un usuario de confianza es aquel cuyas credenciales se autentican mediante un servidor de confianza en Skype Empresarial Server. Este servidor suele ser un servidor Standard Edition, Enterprise Edition Front-End Server o Director. Skype Empresarial Server se basa en Active Directory Domain Services como el único repositorio back-end de confianza de las credenciales de usuario.

La autenticación consiste en proporcionar credenciales de usuario a un servidor de confianza. Skype Empresarial Server usa los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.

  • Protocolo de seguridad Kerberos versión 5 del MIT para usuarios internos con credenciales de Active Directory. Kerberos requiere conectividad de cliente con Servicios de dominio de Active Directory, por lo que no se puede usar para autenticar clientes fuera del firewall corporativo.

  • Protocolo NTLM para usuarios con credenciales de Active Directory que se conectan desde un punto de conexión fuera del firewall corporativo. El servicio perimetral de acceso pasa solicitudes de inicio de sesión a un director, si está presente, o a un servidor front-end para la autenticación. El servicio Perimetral de acceso no realiza ninguna autenticación.

    Nota

    El protocolo NTLM ofrece una protección contra ataques más débil que la de Kerberos, por lo que algunas organizaciones minimizan el uso de NTLM. Como resultado, el acceso a Skype Empresarial Server podría estar restringido a clientes internos o conectados a través de una conexión VPN o DirectAccess.

  • Protocolo de autenticación implícita para los usuarios denominados anónimos. Los usuarios anónimos son usuarios externos que no han reconocido las credenciales de Active Directory pero que han sido invitados a una conferencia local y poseen una clave de conferencia válida. La autenticación de resumen no se usa para otras interacciones del cliente.

La autenticación de Skype Empresarial Server consta de dos fases:

  1. Se establece una asociación de seguridad entre el cliente y el servidor.

  2. El cliente y el servidor utilizan la asociación de seguridad existente para firmar los mensajes que envían y comprobar los que reciben. Los mensajes no autenticados de un cliente no se aceptan cuando se habilita la autenticación en el servidor.

La confianza en un usuario se adjunta a cada mensaje que procede del usuario, no a la identidad del usuario. El servidor comprueba cada mensaje para determinar si las credenciales de usuario son válidas. Si lo son, no solo el primer servidor en recibir el mensaje no lo desafía, sino que tampoco lo hacen los demás servidores de la nube de servidores de confianza.

Los usuarios con credenciales válidas emitidas por un socio federado son de confianza pero, opcionalmente, se impiden que otras restricciones disfruten de la gama completa de privilegios concedidos a los usuarios internos.

Los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN.

Los certificados de cliente proporcionan una forma alternativa de autenticar a los usuarios mediante Skype Empresarial Server. En vez de proporcionar un nombre de usuario y una contraseña, los usuarios cuentan con un certificado y una clave privada correspondiente al certificado necesario para resolver un desafío criptográfico. (Este certificado debe tener un nombre de asunto o un nombre alternativo de asunto que identifique al usuario y que esté emitido por una CA raíz que sea de confianza para servidores que ejecuten Skype Empresarial Server, esté dentro del período de validez del certificado y no se haya revocado). Para autenticarse, los usuarios solo necesitan escribir un número de identificación personal (PIN). Los certificados son útiles para teléfonos, teléfonos móviles y otros dispositivos en los que resulta difícil escribir un nombre de usuario y una contraseña.

Requisitos criptográficos debidos a ASP .NET 4.5

A partir de Skype Empresarial Server 2015 CU5, AES no es compatible con ASP.NET 4.6 y esto podría provocar que la aplicación Reuniones de Skype no se inicie. Si un cliente usa AES como valor de validación de clave de equipo, tendrá que restablecer el valor de la clave de equipo a SHA-1 u otro algoritmo compatible en el nivel de sitio de la aplicación Reuniones de Skype en IIS. Si es necesario, consulte Administración de configuración de IIS 8.0 ASP.NET para obtener instrucciones.

Otros valores admitidos son: