Authentification utilisateur et client pour Skype Entreprise Server

  • Article

Un utilisateur approuvé est un utilisateur dont les informations d’identification ont été authentifiées par un serveur approuvé dans Skype Entreprise Server. Ce serveur est généralement un serveur Standard Edition, Êdition Entreprise serveur frontal ou Director. Skype Entreprise Server s’appuie sur services de domaine Active Directory comme référentiel principal unique et approuvé des informations d’identification de l’utilisateur.

L’authentification consiste à fournir des informations d’identification d’utilisateur à un serveur approuvé. Skype Entreprise Server utilise les protocoles d’authentification suivants, en fonction de la status et de l’emplacement de l’utilisateur.

  • Protocole de sécurité MIT Kerberos version 5 pour les utilisateurs internes avec des informations d’identification Active Directory. Kerberos nécessite une connectivité client à services de domaine Active Directory, c’est pourquoi il ne peut pas être utilisé pour l’authentification des clients en dehors du pare-feu d’entreprise.

  • Protocole NTLM pour les utilisateurs disposant d’informations d’identification Active Directory qui se connectent à partir d’un point de terminaison en dehors du pare-feu d’entreprise. Le service Access Edge transmet les demandes d’ouverture de session à un directeur, le cas échéant, ou à un serveur frontal pour l’authentification. Le service Access Edge lui-même n’effectue aucune authentification.

    Remarque

    Le protocole NTLM offrant une protection plus faible que Kerberos contre les attaques, certaines organisations minimisent l’utilisation de NTLM. Par conséquent, l’accès à Skype Entreprise Server peut être limité aux clients internes ou connectés via une connexion VPN ou DirectAccess.

  • Protocole Digest pour utilisateurs anonymes. Les utilisateurs anonymes sont des utilisateurs externes qui ne disposent pas d’informations d’identification Active Directory reconnues mais qui ont été invités à une conférence sur site et qui possèdent une clé de conférence valide. L’authentification Digest n’est pas utilisée pour d’autres interactions clients.

Skype Entreprise Server’authentification se compose de deux phases :

  1. Une association de sécurité est établie entre le client et le serveur.

  2. Le client et le serveur utilisent l’association de sécurité existante pour signer les messages qu’ils envoient et vérifier les messages qu’ils reçoivent. Les messages non authentifiés d’un client ne sont pas acceptés lorsque l’authentification est activée sur le serveur.

La confiance de l’utilisateur est associée à chaque message qui provient d’un utilisateur, et non à l’identité de l’utilisateur. Le serveur vérifie chaque message à la recherche d’informations d’identification d’utilisateur valides. Si les informations sont valides, le message est accepté non seulement par le premier serveur qui le reçoit mais par tous les autres serveurs dans le cloud de serveurs approuvés.

Les utilisateurs disposant d’informations d’identification valides émises par un partenaire fédéré sont approuvés mais peuvent éventuellement subir des contraintes supplémentaires les empêchant de profiter de la gamme complète de privilèges accordés aux utilisateurs internes.

Les protocoles ICE et TURN utilisent également le défi Digest tel que décrit dans le RFC TURN de l’IETF.

Les certificats clients fournissent un autre moyen pour les utilisateurs d’être authentifiés par Skype Entreprise Server. Au lieu de fournir un nom d’utilisateur et un mot de passe, les utilisateurs disposent d’un certificat et d’une clé privée correspondant au certificat requis pour résoudre un défi cryptographique. (Ce certificat doit avoir un nom d’objet ou un autre nom d’objet qui identifie l’utilisateur et doit être émis par une autorité de certification racine approuvée par les serveurs exécutant Skype Entreprise Server, être dans la période de validité du certificat et n’avoir pas été révoqué.) Pour être authentifiés, les utilisateurs doivent uniquement taper un numéro d’identification personnel (PIN). Les certificats s’avèrent particulièrement utiles pour les téléphones, les téléphones mobiles et autres appareils où il est difficile de saisir un nom d’utilisateur et un mot de passe.

Exigences de chiffrement dues à ASP .NET 4.5

Depuis Skype Entreprise Server 2015 CU5, AES n’est pas pris en charge pour ASP.NET 4.6, ce qui peut entraîner l’échec du démarrage de l’application Réunions Skype. Si un client utilise AES comme valeur de validation de clé de machine, vous devez réinitialiser la valeur de clé de machine à SHA-1 ou à un autre algorithme pris en charge au niveau du site de l’application Réunions Skype sur IIS. Si nécessaire, consultez IIS 8.0 ASP.NET Configuration Management pour obtenir des instructions.

Les autres valeurs prises en charge sont les suivantes :