共用方式為

商務用 Skype Server 的用戶和客戶端驗證

  • 發行項

受信任的使用者是經商務用 Skype Server 中信任伺服器驗證認證的使用者。 此伺服器通常是 Standard Edition 伺服器、Enterprise Edition Front End Server 或 Director。 商務用 Skype Server 仰賴 Active Directory Domain Services 做為使用者認證的單一信任後端存放庫。

驗證是指將用戶認證布建到信任的伺服器。 商務用 Skype Server 會根據使用者的狀態和位置使用下列驗證通訊協定。

  • 適用於具有 Active Directory 認證之內部使用者的 MIT Kerberos 版本 5 安全性通訊協定。 Kerberos 需要 Active Directory 網域服務的用戶端連線能力,因此無法用來驗證公司防火牆外的用戶端。

  • NTLM 通訊協定 適用於從公司防火牆外部端點連線的Active Directory認證使用者。 Access Edge 服務會將登入要求傳遞給目錄、如果有的話,或透過前端伺服器進行驗證。 Access Edge 服務本身不會執行任何驗證。

    注意事項

    NTLM 通訊協定提供比 Kerberos 更安全的攻擊防護,因此有些組織會將 NTLM 使用量降到最低。 因此,商務用 Skype Server 的存取權可能僅限於透過 VPN 或 DirectAccess 連線連線的內部或用戶端。

  • 適用於所謂的匿名使用者的摘要通訊協定。 匿名使用者是外部使用者,他們無法辨識 Active Directory 認證,但受邀參加內部部署會議並擁有有效的會議密鑰。 摘要驗證不會用於其他客戶端互動。

商務用 Skype Server 驗證包含兩個階段:

  1. 用戶端和伺服器之間會建立安全性關聯。

  2. 用戶端和伺服器會使用現有的安全性關聯來簽署他們傳送的郵件,並驗證他們收到的郵件。 當伺服器上啟用驗證時,不會接受來自用戶端的未經驗證訊息。

使用者信任會附加至來自使用者的每封郵件,而不是使用者身分識別本身。 伺服器會檢查每封郵件是否為有效的用戶認證。 如果使用者認證有效,郵件不僅會由第一個伺服器接收,而且受到信任伺服器雲端中所有其他伺服器的回應。

擁有同盟合作夥伴所簽發有效認證的使用者受到信任,但因其他限制式而選擇性地無法享受提供給內部使用者的完整許可權。

ICE 和 TURN 通訊協定也會使用 [摘要] 挑戰,如 IETF TURN RFC 中所述。

客戶端憑證提供替代方式,讓使用者經由商務用Skype Server進行驗證。 用戶沒有提供使用者名稱和密碼,而是擁有解決密碼編譯問題所需的憑證和對應的憑證和私鑰。 (此憑證必須具有可識別用戶的主體名稱或主旨替代名稱,且由執行商務用 Skype Server 的伺服器信任的 Root CA 發行、在憑證的有效期間內,且尚未撤銷。) 若要進行驗證,使用者只需要輸入個人標識號 (PIN) 。 對於難以輸入使用者名稱和密碼的電話、行動電話及其他裝置而言,憑證十分實用。

由於 ASP .NET 4.5 的密碼編譯需求

從商務用 Skype Server 2015 CU5 開始,ASP.NET 4.6 不支援 AES,這可能會導致 Skype 會議 App 無法啟動。 如果用戶端使用 AES 做為電腦金鑰驗證值,您將需要將電腦密鑰值重設為 SHA-1 或其他在 IIS 上 Skype 會議 App 網站層級支援的演算法。 如有需要,請參閱 IIS 8.0 ASP.NET 設定管理 ],以取得相關指示。

其他支援的值如下: