Autenticación de usuarios y clientes para Skype Empresarial Server 2015User and client authentication for Skype for Business Server 2015

Un usuario confianza es aquel cuyas credenciales se han autenticado por un servidor de confianza en Skype para Business Server 2015.A trusted user is one whose credentials have been authenticated by a trusted server in Skype for Business Server 2015. Este servidor suele ser un servidor Standard Edition, servidor Enterprise Edition de Front-End o Director.This server is usually a Standard Edition server, Enterprise Edition Front End Server, or Director. Skype para Business Server se basa en servicios de dominio de Active Directory como repositorio de fondo único, confianza de credenciales de usuario.Skype for Business Server relies on Active Directory Domain Services as the single, trusted back-end repository of user credentials.

La autenticación consiste en proporcionar credenciales de usuario a un servidor de confianza.Authentication is the provision of user credentials to a trusted server. Skype para Business Server utiliza los siguientes protocolos de autenticación, según el estado y la ubicación del usuario.Skype for Business Server uses the following authentication protocols, depending on the status and location of the user.

  • Protocolo de MIT Kerberos versión 5 seguridad para los usuarios internos con credenciales de Active Directory.MIT Kerberos version 5 security protocol for internal users with Active Directory credentials. Kerberos requiere conectividad de cliente para servicios de dominio de Active Directory, por eso no puede utilizarse para autenticar a clientes fuera del firewall corporativo.Kerberos requires client connectivity to Active Directory Domain Services, which is why it cannot be used for authenticating clients outside the corporate firewall.

  • Protocolo NTLM para los usuarios con credenciales de Active Directory que se conecten desde un extremo fuera del firewall corporativo.NTLM protocol for users with Active Directory credentials who are connecting from an endpoint outside the corporate firewall. El servicio de servidor perimetral de acceso pasa las solicitudes de inicio de sesión a un Director, si está presente, o un servidor Front-End para la autenticación.The Access Edge service passes logon requests to a Director, if present, or a Front End Server for authentication. El servicio de servidor perimetral de acceso no realiza autenticación.The Access Edge service itself performs no authentication.

    Nota

    El protocolo NTLM ofrece una protección contra ataques más débil que la de Kerberos, por lo que algunas organizaciones minimizan el uso de NTLM.NTLM protocol offers weaker attack protection than Kerberos, so some organizations minimize usage of NTLM. Como resultado, puede estar restringido el acceso a Skype para Business Server 2015 internos o los clientes conectados a través de una conexión VPN o de DirectAccess.As a result, access to Skype for Business Server 2015 might be restricted to internal or clients connected through a VPN or DirectAccess connection.

  • Protocolo de autenticación implícita para los usuarios denominados anónimos. Los usuarios anónimos son usuarios externos que no tienen credenciales de Active Directory reconocidas, pero que han recibido una invitación a una conferencia local y tienen una clave de conferencia válida. La autenticación implícita no se utiliza para otras interacciones del cliente.Digest protocol for so-called anonymous users. Anonymous users are outside users who do not have recognized Active Directory credentials but who have been invited to an on-premises conference and possess a valid conference key. Digest authentication is not used for other client interactions.

Skype para la autenticación de servidor de negocios 2015 consta de dos fases:Skype for Business Server 2015 authentication consists of two phases:

  1. Se establece una asociación de seguridad entre el cliente y el servidor.A security association is established between the client and the server.

  2. El cliente y el servidor utilizan la asociación de seguridad existente para firmar los mensajes que envían y comprobar los que reciben. Cuando la autenticación está habilitada en el servidor, no se aceptan los mensajes no autenticados de un cliente.The client and server use the existing security association to sign messages that they send and to verify the messages they receive. Unauthenticated messages from a client are not accepted when authentication is enabled on the server.

La confianza en un usuario se adjunta a cada mensaje que procede del usuario, no a la identidad del usuario. El servidor comprueba cada mensaje para determinar si las credenciales de usuario son válidas. Si lo son, no solo el primer servidor en recibir el mensaje no lo desafía, sino que tampoco lo hacen los demás servidores de la nube de servidores de confianza.User trust is attached to each message that originates from a user, not to the user identity itself. The server checks each message for valid user credentials. If the user credentials are valid, the message is unchallenged not only by the first server to receive it but by all other servers in the trusted server cloud.

Los usuarios con credenciales válidas emitidas por un socio federado son de confianza pero, de manera opcional, algunas restricciones adicionales impiden que disfruten de todos los privilegios otorgados a los usuarios internos.Users with valid credentials issued by a federated partner are trusted but optionally prevented by additional constraints from enjoying the full range of privileges accorded to internal users.

Los protocolos ICE y TURN también usan el desafío de autenticación implícita que se describe en la RFC del IETF referente a TURN.The ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Certificados de cliente ofrecen un método alternativo para que los usuarios se autentiquen mediante Skype para Business Server 2015.Client certificates provide an alternate way for users to be authenticated by Skype for Business Server 2015. En vez de proporcionar un nombre de usuario y una contraseña, los usuarios cuentan con un certificado y una clave privada correspondiente al certificado necesario para resolver un desafío criptográfico.Instead of providing a user name and password, users have a certificate and the private key corresponding to the certificate that is required to resolve a cryptographic challenge. (Este certificado debe tener un nombre de asunto o nombre alternativo del sujeto que identifica al usuario y debe ser emitido por una CA raíz de confianza en servidores que ejecuten Skype para Business Server 2015, estar dentro del período de validez del certificado y no ha sido revocado.) Para ser autenticados, los usuarios sólo tiene que escribir en un número de identificación personal (PIN).(This certificate must have a subject name or subject alternative name that identifies the user and must be issued by a Root CA that is trusted by servers running Skype for Business Server 2015, be within the certificate's validity period, and not have been revoked.) To be authenticated, users only need to type in a personal identification number (PIN). Los certificados son particularmente útiles en el caso de teléfonos fijos, teléfonos móviles y otros dispositivos donde resulta complicado escribir un nombre de usuario y una contraseña.Certificates are particularly useful for telephones, mobile phones, and other devices where it is difficult to enter a user name and password.