Autenticação de usuário e de cliente para o Skype for Business ServerUser and client authentication for Skype for Business Server

Um usuário confiável é aquele cujas credenciais foram autenticadas por um servidor confiável no Skype for Business Server.A trusted user is one whose credentials have been authenticated by a trusted server in Skype for Business Server. Este servidor geralmente é um servidor Standard Edition, um servidor front-end da edição Enterprise ou um diretor.This server is usually a Standard Edition server, Enterprise Edition Front End Server, or Director. O Skype for Business Server depende dos serviços de domínio Active Directory como o repositório de back-end único confiável de credenciais do usuário.Skype for Business Server relies on Active Directory Domain Services as the single, trusted back-end repository of user credentials.

Autenticação é o provisionamento de credenciais de usuário em um servidor confiável.Authentication is the provision of user credentials to a trusted server. O Skype for Business Server usa os seguintes protocolos de autenticação, dependendo do status e do local do usuário.Skype for Business Server uses the following authentication protocols, depending on the status and location of the user.

  • Protocolo de segurança MIT Kerberos versão 5 para usuários internos com credenciais do Active Directory.MIT Kerberos version 5 security protocol for internal users with Active Directory credentials. O Kerberos exige conectividade do cliente com os serviços de domínio Active Directory, o que é porque ele não pode ser usado para autenticar clientes fora do firewall corporativo.Kerberos requires client connectivity to Active Directory Domain Services, which is why it cannot be used for authenticating clients outside the corporate firewall.

  • Protocolo NTLM para usuários com credenciais do Active Directory conectadas de um ponto de extremidade fora do firewall corporativo.NTLM protocol for users with Active Directory credentials who are connecting from an endpoint outside the corporate firewall. O serviço de borda do Access passa solicitações de logon para um diretor, se estiver presente ou um servidor front-end para autenticação.The Access Edge service passes logon requests to a Director, if present, or a Front End Server for authentication. O serviço de borda de acesso não realiza nenhuma autenticação.The Access Edge service itself performs no authentication.

    Observação

    O protocolo NTLM oferece proteção contra ataques mais fraca que o Kerberos; assim, algumas organizações minimizam o uso de NTLM.NTLM protocol offers weaker attack protection than Kerberos, so some organizations minimize usage of NTLM. Como resultado, o acesso ao Skype for Business Server pode ser restrito a clientes internos ou conectados por meio de uma conexão VPN ou DirectAccess.As a result, access to Skype for Business Server might be restricted to internal or clients connected through a VPN or DirectAccess connection.

  • Protocolo Digest para os chamados usuários anônimos. Usuários anônimos são usuários externos que não possuem credenciais reconhecidas do Active Directory, mas que foram convidados para uma conferência no local e possuem uma chave de conferência válida. A autenticação Digest não é usada para nenhuma outra interação do cliente.Digest protocol for so-called anonymous users. Anonymous users are outside users who do not have recognized Active Directory credentials but who have been invited to an on-premises conference and possess a valid conference key. Digest authentication is not used for other client interactions.

A autenticação do Skype for Business Server consiste em duas fases:Skype for Business Server authentication consists of two phases:

  1. Uma associação de segurança é estabelecida entre o cliente e o servidor.A security association is established between the client and the server.

  2. O cliente e o servidor usam a associação de segurança existente para assinar mensagens enviadas e para verificar as mensagens recebidas. Mensagens não autenticadas de um cliente não são aceitas quando uma autenticação está habilitada no servidor.The client and server use the existing security association to sign messages that they send and to verify the messages they receive. Unauthenticated messages from a client are not accepted when authentication is enabled on the server.

Uma marca da confiança do usuário é anexada a cada mensagem originária de um usuário, não à identidade do usuário em si. O servidor verifica se há credenciais de usuário válidas em cada mensagem. Se as credenciais de usuário forem válidas, a mensagem não será contestada nem pelo primeiro servidor, nem pelos outros servidores da nuvem de servidores confiáveis.User trust is attached to each message that originates from a user, not to the user identity itself. The server checks each message for valid user credentials. If the user credentials are valid, the message is unchallenged not only by the first server to receive it but by all other servers in the trusted server cloud.

Usuários com credenciais válidas emitidas por um parceiro federado são confiáveis, porém são opcionalmente impedidos por restrições adicionais de aproveitar toda a gama de privilégios concedidos aos usuários internos.Users with valid credentials issued by a federated partner are trusted but optionally prevented by additional constraints from enjoying the full range of privileges accorded to internal users.

Os protocolos ICE e TURN também utilizam o mecanismo de desafio Digest, conforme descrito no IETF TURN RFC.The ICE and TURN protocols also use the Digest challenge as described in the IETF TURN RFC.

Os certificados de cliente fornecem uma maneira alternativa para os usuários serem autenticados pelo Skype for Business Server.Client certificates provide an alternate way for users to be authenticated by Skype for Business Server. Em vez de fornecer um nome de usuário e senha, os usuários possuem um certificado e a chave privada correspondente ao certificado exigida para resolver um desafio criptográfico.Instead of providing a user name and password, users have a certificate and the private key corresponding to the certificate that is required to resolve a cryptographic challenge. (Esse certificado deve ter um nome de assunto ou um nome alternativo de assunto que identifique o usuário e deve ser emitido por uma autoridade de certificação raiz que seja confiável para servidores que executam o Skype for Business Server, seja dentro do período de validade do certificado e não foram revogados.) Para ser autenticado, os usuários só precisam digitar um PIN (número de identificação pessoal).(This certificate must have a subject name or subject alternative name that identifies the user and must be issued by a Root CA that is trusted by servers running Skype for Business Server, be within the certificate's validity period, and not have been revoked.) To be authenticated, users only need to type in a personal identification number (PIN). Os certificados são particularmente úteis para telefones, celulares e outros dispositivos onde é difícil inserir um nome de usuário e senha.Certificates are particularly useful for telephones, mobile phones, and other devices where it is difficult to enter a user name and password.

Requisitos de criptografia devido ao ASP .NET 4,5Cryptographic requirements due to ASP .NET 4.5

A partir do Skype for Business Server 2015 CU5, o AES não é compatível com o ASP.NET 4,6, e isso pode fazer com que o aplicativo reuniões do Skype falhe ao iniciar.As of Skype for Business Server 2015 CU5, AES is not supported for ASP.NET 4.6 and this may cause Skype Meetings App to fail to start. Se um cliente estiver usando AES como o valor de validação da chave do computador, será necessário redefinir o valor da chave do computador para SHA-1 ou outro algoritmo compatível no nível do site do aplicativo reuniões do Skype no IIS.If a client is using AES as the machine key validation value you will need to reset the machine key value to SHA-1 or another supported algorithm on the Skype Meetings App site level on IIS. Se necessário, consulte Gerenciamento de configuração do ASP.net do IIS 8,0 para obter instruções.If necessary, see IIS 8.0 ASP.NET Configuration Management for instructions.

Outros valores compatíveis são:Other supported values are: