Authentification utilisateur et client pour Skype Entreprise Server
Un utilisateur approuvé est un utilisateur dont les informations d’identification sont authentifiées par un serveur approuvé dans Skype Entreprise Server. Ce serveur est généralement un serveur Standard Edition, un serveur frontal Enterprise Edition ou un directeur. Skype Entreprise Server s’appuie sur les services de domaine Active Directory comme référentiel principal unique et approuvé des informations d’identification de l’utilisateur.
L’authentification consiste à fournir des informations d’identification d’utilisateur à un serveur approuvé. Skype Entreprise Server utilise les protocoles d’authentification suivants, en fonction de l’état et de l’emplacement de l’utilisateur.
Protocole de sécurité MIT Kerberos version 5 pour les utilisateurs internes avec des informations d’identification Active Directory. Kerberos nécessite une connectivité du client aux services de domaine Active Directory, c’est pourquoi il ne peut pas être utilisé pour l’authentification des clients en dehors du pare-feu d’entreprise.
Protocole NTLM pour les utilisateurs disposant d’informations d’identification Active Directory qui se connectent à partir d’un point de terminaison en dehors du pare-feu d’entreprise. Le service Access Edge transmet les demandes de connexion à un directeur, le cas échéant, ou à un serveur frontal pour l’authentification. Le service Access Edge lui-même n’effectue aucune authentification.
Remarque
Le protocole NTLM offrant une protection plus faible que Kerberos contre les attaques, certaines organisations minimisent l’utilisation de NTLM. Par conséquent, l’accès à Skype Entreprise Server peut être limité aux clients internes ou connectés via une connexion VPN ou DirectAccess.
Protocole Digest pour utilisateurs anonymes. Les utilisateurs anonymes sont des utilisateurs externes qui n’ont pas d’informations d’identification Active Directory reconnues, mais qui ont été invités à une conférence locale et qui possèdent une clé de conférence valide. L’authentification Digest n’est pas utilisée pour les autres interactions client.
L’authentification Skype Entreprise Server se compose de deux phases :
Une association de sécurité est établie entre le client et le serveur.
Le client et le serveur utilisent l’association de sécurité existante pour signer les messages qu’ils envoient et vérifier les messages qu’ils reçoivent. Les messages non authentifiés d’un client ne sont pas acceptés lorsque l’authentification est activée sur le serveur.
La confiance de l’utilisateur est associée à chaque message qui provient d’un utilisateur, et non à l’identité de l’utilisateur. Le serveur vérifie chaque message à la recherche d’informations d’identification d’utilisateur valides. Si les informations sont valides, le message est accepté non seulement par le premier serveur qui le reçoit mais par tous les autres serveurs dans le cloud de serveurs approuvés.
Les utilisateurs disposant d’informations d’identification valides émises par un partenaire fédéré sont approuvés, mais éventuellement empêchés par d’autres contraintes de bénéficier de la gamme complète des privilèges accordés aux utilisateurs internes.
Les protocoles ICE et TURN utilisent également le défi Digest tel que décrit dans le RFC TURN de l’IETF.
Les certificats clients fournissent un autre moyen pour les utilisateurs d’être authentifiés par Skype Entreprise Server. Au lieu de fournir un nom d’utilisateur et un mot de passe, les utilisateurs disposent d’un certificat et d’une clé privée correspondant au certificat requis pour résoudre un défi cryptographique. (Ce certificat doit avoir un nom d’objet ou un autre nom d’objet qui identifie l’utilisateur et qui est émis par une autorité de certification racine approuvée par les serveurs exécutant Skype Entreprise Server, être dans la période de validité du certificat et n’a pas été révoqué.) Pour être authentifiés, les utilisateurs doivent uniquement taper un numéro d’identification personnel (PIN). Les certificats sont utiles pour les téléphones, les téléphones mobiles et d’autres appareils où il est difficile d’entrer un nom d’utilisateur et un mot de passe.
Exigences de chiffrement dues à ASP .NET 4.5
Depuis Skype Entreprise Server 2015 CU5, AES n’est pas pris en charge pour ASP.NET 4.6, ce qui peut entraîner l’échec du démarrage de l’application Réunions Skype. Si un client utilise AES comme valeur de validation de clé de machine, vous devez réinitialiser la valeur de la clé de machine à SHA-1 ou à un autre algorithme pris en charge au niveau du site de l’application Réunions Skype sur IIS. Si nécessaire, consultez IIS 8.0 ASP.NET Configuration Management pour obtenir des instructions.
Les autres valeurs prises en charge sont les suivantes :
HMACSHA256
HMACSHA384
HMACSHA512
Les valeurs AES, 3DES et MD5 ne sont plus autorisées, car elles se trouvaient autrefois dans ASP.NET 4. Améliorations de chiffrement dans ASP.NET 4.5, pt. 2 contient plus de détails.