商務用 Skype Server使用者和用戶端驗證

  • 發行項

受信任的使用者,其認證已由商務用 Skype Server中受信任的伺服器驗證。 此伺服器通常是 Standard Edition 伺服器、Enterprise Edition Front End Server 或 Director。 商務用 Skype Server仰賴Active Directory 網域服務做為使用者認證的單一信任後端存放庫。

驗證是指將使用者認證布建到信任的伺服器。 商務用 Skype Server會根據使用者的狀態和位置使用下列驗證通訊協定。

  • 適用于具有 Active Directory 認證之內部使用者的MIT Kerberos 版本 5 安全性通訊協定。 Kerberos 需要用戶端連線到Active Directory 網域服務,因此無法用來驗證公司防火牆以外的用戶端。

  • NTLM 通訊協定 適用于從公司防火牆外部端點連線的 Active Directory 認證使用者。 Access Edge 服務會將登入要求傳遞給目錄、如果有,或是透過前端伺服器進行驗證。 Access Edge 服務本身不會執行任何驗證。

    注意事項

    NTLM 通訊協定提供比 Kerberos 更安全的攻擊防護,因此有些組織會將 NTLM 使用量降到最低。 因此,存取商務用 Skype Server可能僅限於透過 VPN 或 DirectAccess 連線連線的內部或用戶端。

  • 適用于所謂的匿名使用者的摘要通訊協定。 匿名使用者是指未辨識 Active Directory 認證但受邀參加內部部署會議並擁有有效會議金鑰的外部使用者。 摘要驗證不會用於其他用戶端互動。

商務用 Skype Server驗證封裝含兩個階段:

  1. 用戶端和伺服器之間會建立安全性關聯。

  2. 用戶端和伺服器會使用現有的安全性關聯來簽署他們傳送的郵件,並驗證他們收到的郵件。 當伺服器上啟用驗證時,不會接受來自用戶端的未經驗證訊息。

使用者信任會附加至來自使用者的每封郵件,而不是使用者身分識別本身。 伺服器會檢查每封郵件是否為有效的使用者認證。 如果使用者認證有效,郵件不僅會由第一個伺服器接收,而且受到信任伺服器雲端中所有其他伺服器的回應。

擁有同盟合作夥伴所簽發有效認證的使用者會受到信任,但因其他限制式而選擇性地無法享受提供給內部使用者的完整許可權。

ICE 和 TURN 通訊協定也會使用 [摘要] 挑戰,如 IETF TURN RFC 中所述。

用戶端憑證提供替代方式,讓使用者經由商務用 Skype Server進行驗證。 使用者沒有提供使用者名稱和密碼,而是擁有解決密碼編譯問題所需的憑證和對應的憑證和私密金鑰。 (此憑證必須具有可識別使用者的主體名稱或主旨替代名稱,而且必須由執行 商務用 Skype Server 之伺服器信任的 Root CA 發行、在憑證的有效期間內,且尚未撤銷。) 若要進行驗證,使用者只需要輸入個人識別碼 (PIN) 。 對於難以輸入使用者名稱和密碼的電話、行動電話及其他裝置而言,憑證特別實用。

由於 ASP .NET 4.5 的密碼編譯需求

自 2015 年 商務用 Skype Server 月 4 日起,ASP.NET 4.6 不支援 AES,這可能會導致 Skype 會議應用程式無法啟動。 如果用戶端使用 AES 做為電腦金鑰驗證值,您將需要將電腦金鑰值重設為 SHA-1 或 IIS 上 Skype 會議 App 網站層級上的另一個支援的演算法。 如有需要,請參閱 IIS 8.0 ASP.NET 設定管理 ],以取得相關指示。

其他支援的值如下: