Autenticazione di utenti e client per Skype for Business Server

Un utente attendibile è un utente le cui credenziali sono state autenticate da un server attendibile in Skype for Business Server. Questo server è in genere un server Standard Edition, edizione Enterprise Front End Server o Director. Skype for Business Server si basa su Active Directory Domain Services come singolo archivio back-end attendibile delle credenziali utente.

L'autenticazione è il provisioning delle credenziali utente a un server attendibile. Skype for Business Server utilizza i protocolli di autenticazione seguenti, a seconda dello stato e della posizione dell'utente.

• Protocollo di sicurezza MIT Kerberos versione 5 per gli utenti interni con credenziali Active Directory. Kerberos richiede la connettività client a Active Directory Domain Services, motivo per cui non può essere utilizzata per l'autenticazione dei client all'esterno del firewall aziendale.

• Protocollo NTLM per gli utenti con credenziali di Active Directory che si connettono da un endpoint all'esterno del firewall aziendale. Il servizio Access Edge passa le richieste di accesso a un director, se presente, o a un Front End Server per l'autenticazione. Il servizio Access Edge non esegue l'autenticazione.

  Nota

  Il protocollo NTLM offre una protezione agli attacchi più debole rispetto a Kerberos, quindi alcune organizzazioni riducono al minimo l'uso di NTLM. Di conseguenza, l'accesso a Skype for Business Server potrebbe essere limitato a client interni o connessi tramite una connessione VPN o DirectAccess.

• Protocollo digest per i cosiddetti utenti anonimi. Gli utenti anonimi sono utenti esterni che non hanno credenziali Active Directory riconosciute, ma che sono stati invitati a una conferenza locale e possiedono una chiave di conferenza valida. L'autenticazione digest non viene utilizzata per altre interazioni client.

Skype for Business Server l'autenticazione è costituita da due fasi:

1. Viene stabilita un'associazione di protezione tra il client e il server.

2. Il client e il server utilizzano l'associazione di protezione esistente per firmare i messaggi inviati e per verificare i messaggi ricevuti. I messaggi non autenticati da un client non vengono accettati quando l'autenticazione è abilitata sul server.

L'attendibilità dell'utente è associata a ciascun messaggio che proviene da un utente, non all'identità dell'utente stesso. Il server verifica che ogni messaggio abbia credenziali utente valide. Se le credenziali utente sono valide, il messaggio non viene contestata solo dal primo server a riceverlo, ma da tutti gli altri server nel cloud server attendibile.

Gli utenti con credenziali valide emesse da un partner federato sono attendibili ma opzionalmente limitati da vincoli aggiuntivi per cui non possono usufruire dell'intera gamma di privilegi concessi agli utenti interni.

I protocolli ICE e TURN usano anche la sfida di digest, come descritto in IETF TURN RFC.

I certificati client offrono un metodo alternativo per l'autenticazione degli utenti da parte di Skype for Business Server. Anziché fornire un nome utente e una password, gli utenti hanno un certificato e la chiave privata corrispondente al certificato necessario per risolvere un'autenticazione crittografica. Questo certificato deve avere un nome soggetto o un nome alternativo soggetto che identifichi l'utente e deve essere emesso da una CA radice attendibile dai server che eseguono Skype for Business Server, deve rientrare nel periodo di validità del certificato e non è stata revocata. Per essere autenticati, gli utenti devono digitare solo un PIN. I certificati sono particolarmente utili per telefoni, telefoni cellulari e altri dispositivi in cui è difficile immettere un nome utente e una password.

Requisiti di crittografia dovuti ad ASP .NET 4.5

A partire da Skype for Business Server 2015 CU5, AES non è supportato per ASP.NET 4.6 e ciò potrebbe causare il mancato avvio dell'app Riunioni Skype. Se un client utilizza AES come valore di convalida della chiave del computer, sarà necessario reimpostare il valore della chiave del computer su SHA-1 o un altro algoritmo supportato a livello di sito dell'app Riunioni Skype in IIS. Se necessario, vedere IIS 8.0 ASP.NET Gestione configurazione per istruzioni.

Altri valori supportati sono:

• HMACSHA256

• HMACSHA384

• HMACSHA512

  I valori AES, 3DES e MD5 non sono più consentiti, come una volta erano in ASP.NET 4. Miglioramenti della crittografia in ASP.NET 4.5, pt. 2 contiene altri dettagli.