Autenticação de utilizador e cliente para o Skype para Empresas Server

Um utilizador fidedigno é aquele cujas credenciais são autenticadas por um servidor fidedigno no Skype para Empresas Server. Normalmente, este servidor é um servidor Standard Edition, Um Servidor front-end do Enterprise Edition ou um Director. O Skype para Empresas Server baseia-se nos Serviços de Domínio do Active Directory como o repositório de back-end único e fidedigno das credenciais de utilizador.

Autenticação é o provisionamento de credenciais de usuário em um servidor confiável. O Skype para Empresas Server utiliza os seguintes protocolos de autenticação, consoante o estado e a localização do utilizador.

• Protocolo de segurança MIT Kerberos versão 5 para utilizadores internos com credenciais do Active Directory. O Kerberos requer conectividade do cliente aos Serviços de Domínio do Active Directory, razão pela qual não pode ser utilizado para autenticar clientes fora da firewall empresarial.

• Protocolo NTLM para utilizadores com credenciais do Active Directory que se estão a ligar a partir de um ponto final fora da firewall empresarial. O serviço Access Edge transmite pedidos de início de sessão a um Director, se estiverem presentes, ou a um Servidor front-end para autenticação. O próprio serviço Access Edge não efetua nenhuma autenticação.

  Nota

  O protocolo NTLM oferece proteção contra ataques mais fraca que o Kerberos; assim, algumas organizações minimizam o uso de NTLM. Como resultado, o acesso ao Skype para Empresas Server pode estar restrito a clientes internos ou ligados através de uma ligação VPN ou DirectAccess.

• Protocolo Digest para os chamados usuários anônimos. Os utilizadores anónimos são utilizadores externos que não reconheceram credenciais do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação resumida não é utilizada para outras interações do cliente.

A autenticação do Skype para Empresas Server consiste em duas fases:

1. Uma associação de segurança é estabelecida entre o cliente e o servidor.

2. O cliente e o servidor usam a associação de segurança existente para assinar mensagens enviadas e para verificar as mensagens recebidas. As mensagens não autenticadas de um cliente não são aceites quando a autenticação está ativada no servidor.

Uma marca da confiança do usuário é anexada a cada mensagem originária de um usuário, não à identidade do usuário em si. O servidor verifica se há credenciais de usuário válidas em cada mensagem. Se as credenciais de usuário forem válidas, a mensagem não será contestada nem pelo primeiro servidor, nem pelos outros servidores da nuvem de servidores confiáveis.

Os utilizadores com credenciais válidas emitidas por um parceiro federado são fidedignos, mas opcionalmente impedidos por outras restrições de usufruir de todo o leque de privilégios concedidos aos utilizadores internos.

Os protocolos ICE e TURN também utilizam o mecanismo de desafio Digest, conforme descrito no IETF TURN RFC.

Os certificados de cliente fornecem uma forma alternativa para os utilizadores serem autenticados pelo Skype para Empresas Server. Em vez de fornecer um nome de usuário e senha, os usuários possuem um certificado e a chave privada correspondente ao certificado exigida para resolver um desafio criptográfico. (Este certificado tem de ter um nome de requerente ou nome alternativo do requerente que identifique o utilizador e seja emitido por uma AC de Raiz fidedigna pelos servidores que executam o Skype para Empresas Server, estar dentro do período de validade do certificado e não ter sido revogado.) Para serem autenticados, os utilizadores só precisam de escrever um número de identificação pessoal (PIN). Os certificados são úteis para telefones, telemóveis e outros dispositivos onde é difícil introduzir um nome de utilizador e palavra-passe.

Requisitos criptográficos devido ao ASP .NET 4.5

A partir do Skype para Empresas Server 2015 CU5, a AES não é suportada para ASP.NET 4.6, o que pode fazer com que a Aplicação Reuniões do Skype não seja iniciada. Se um cliente estiver a utilizar a AES como o valor de validação da chave de computador, terá de repor o valor da chave da máquina para SHA-1 ou outro algoritmo suportado ao nível do site da Aplicação Reuniões do Skype no IIS. Se necessário, veja IIS 8.0 ASP.NET Configuration Management para obter instruções.

Outros valores suportados são:

• HMACSHA256

• HMACSHA384

• HMACSHA512

  Os valores AES, 3DES e MD5 já não são permitidos, uma vez que já estiveram em ASP.NET 4. As Melhorias Criptográficas no ASP.NET 4.5, pt. 2 têm mais detalhes.