Autenticação de utilizador e cliente para Skype for Business Server

Um utilizador fidedigno é aquele cujas credenciais são autenticadas por um servidor fidedigno no Skype for Business Server. Normalmente, este servidor é um servidor Standard Edition, Edição Enterprise Front End Server ou Director. Skype for Business Server depende de Active Directory Domain Services como o repositório de back-end único e fidedigno das credenciais de utilizador.

Autenticação é o provisionamento de credenciais de usuário em um servidor confiável. Skype for Business Server utiliza os seguintes protocolos de autenticação, consoante a status e a localização do utilizador.

• Protocolo de segurança MIT Kerberos versão 5 para utilizadores internos com credenciais do Active Directory. O Kerberos requer conectividade de cliente para Active Directory Domain Services, razão pela qual não pode ser utilizado para autenticar clientes fora da firewall empresarial.

• Protocolo NTLM para utilizadores com credenciais do Active Directory que se estão a ligar a partir de um ponto final fora da firewall empresarial. O serviço Access Edge transmite pedidos de início de sessão a um Director, se estiverem presentes, ou a um Servidor front-end para autenticação. O próprio serviço Access Edge não efetua nenhuma autenticação.

  Nota

  O protocolo NTLM oferece proteção contra ataques mais fraca que o Kerberos; assim, algumas organizações minimizam o uso de NTLM. Como resultado, o acesso a Skype for Business Server pode ser restringido a clientes internos ou ligados através de uma ligação VPN ou DirectAccess.

• Protocolo Digest para os chamados usuários anônimos. Os utilizadores anónimos são utilizadores externos que não reconheceram credenciais do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação resumida não é utilizada para outras interações do cliente.

Skype for Business Server autenticação consiste em duas fases:

1. Uma associação de segurança é estabelecida entre o cliente e o servidor.

2. O cliente e o servidor usam a associação de segurança existente para assinar mensagens enviadas e para verificar as mensagens recebidas. As mensagens não autenticadas de um cliente não são aceites quando a autenticação está ativada no servidor.

Uma marca da confiança do usuário é anexada a cada mensagem originária de um usuário, não à identidade do usuário em si. O servidor verifica se há credenciais de usuário válidas em cada mensagem. Se as credenciais de usuário forem válidas, a mensagem não será contestada nem pelo primeiro servidor, nem pelos outros servidores da nuvem de servidores confiáveis.

Os utilizadores com credenciais válidas emitidas por um parceiro federado são fidedignos, mas opcionalmente impedidos por outras restrições de usufruir de todo o leque de privilégios concedidos aos utilizadores internos.

Os protocolos ICE e TURN também utilizam o mecanismo de desafio Digest, conforme descrito no IETF TURN RFC.

Os certificados de cliente fornecem uma forma alternativa para os utilizadores serem autenticados por Skype for Business Server. Em vez de fornecer um nome de usuário e senha, os usuários possuem um certificado e a chave privada correspondente ao certificado exigida para resolver um desafio criptográfico. (Este certificado tem de ter um nome de requerente ou nome alternativo do requerente que identifique o utilizador e seja emitido por uma AC de Raiz fidedigna por servidores que executem Skype for Business Server, estejam dentro do período de validade do certificado e não tenham sido revogados.) Para serem autenticados, os utilizadores só precisam de escrever um número de identificação pessoal (PIN). Os certificados são úteis para telefones, telemóveis e outros dispositivos onde é difícil introduzir um nome de utilizador e palavra-passe.

Requisitos criptográficos devido ao ASP .NET 4.5

A partir do Skype for Business Server 2015 CU5, a AES não é suportada para ASP.NET 4.6, o que pode fazer com que a Aplicação De Reuniões do Skype não seja iniciada. Se um cliente estiver a utilizar a AES como o valor de validação da chave de computador, terá de repor o valor da chave da máquina para SHA-1 ou outro algoritmo suportado ao nível do site da Aplicação Reuniões do Skype no IIS. Se necessário, veja IIS 8.0 ASP.NET Configuration Management para obter instruções.

Outros valores suportados são:

• HMACSHA256

• HMACSHA384

• HMACSHA512

  Os valores AES, 3DES e MD5 já não são permitidos, uma vez que já estiveram em ASP.NET 4. As Melhorias Criptográficas no ASP.NET 4.5, pt. 2 têm mais detalhes.