Authentification pour Office Communications Server 2007 R2

Dernière rubrique modifiée : 2009-03-10

Un utilisateur approuvé est un utilisateur dont les informations d'identification ont été authentifiées par un serveur Office Communications Server approuvé. Il s'agit en général d'un serveur Standard Edition Server, d'un serveur frontal Enterprise Edition ou d'un directeur. Office Communications Server 2007 R2 utilise les services de domaine Active Directory comme unique référentiel central approuvé pour le stockage des informations d'identification des utilisateurs.

L'authentification consiste à donner des informations d'identification des utilisateurs à un serveur approuvé. Office Communications Server 2007 R2 utilise les trois protocoles d'authentification suivants, selon l'état et l'emplacement de l'utilisateur.

• le protocole MIT Kerberos, version 5 pour les utilisateurs internes disposant d'informations d'identification Active Directory. Le protocole Kerberos requiert la connexion des clients aux services de domaine Active Directory. Pour cette raison, il ne peut pas être utilisé pour authentifier des utilisateurs situés à l'extérieur du pare-feu de l'entreprise ;
• le protocole NTLM pour les utilisateurs disposant d'informations d'identification Active Directory qui se connectent à partir d'un système d'extrémité situé à l'extérieur du pare-feu de l'entreprise. Le service Edge d'accès transmet les demandes de connexion à un directeur, s'il existe, ou à un serveur frontal à des fins d'authentification. Le service lui-même ne procède pas à l'authentification ;
• le protocole Digest pour les utilisateurs dits « anonymes ». Les utilisateurs anonymes sont des utilisateurs externes qui n'ont pas d'informations d'identification Active Directory reconnues, mais qui ont été invités à une conférence sur site pour laquelle ils disposent d'une clé de conférence valide. L'authentification Digest n'est pas utilisée pour les autres interactions avec les clients.

L'authentification Office Communications Server 2007 R2 comporte deux phases :

1. Une association de sécurité est établie entre le client et le serveur.
2. Le client et le serveur utilisent l'association de sécurité existante pour signer les messages envoyés et pour vérifier les messages reçus. Les messages non authentifiés d'un client sont refusés lorsque l'authentification est activée sur le serveur.

L'approbation d'un utilisateur est attachée à chaque message envoyé par l'utilisateur, et non à l'identité de l'utilisateur proprement dite. Le serveur vérifie la validité des informations d'identification de l'utilisateur pour chaque message. Si les informations d'identification de l'utilisateur sont valides, le message n'est vérifié ni par le premier serveur qui le reçoit, ni par tous les serveurs du nuage de serveurs approuvés.

Vous pouvez utiliser d'autres contraintes, si nécessaire, pour empêcher les utilisateurs disposant d'informations d'identification valides délivrées par un partenaire fédéré d'accéder à l'ensemble des privilèges accordés aux utilisateurs internes.

Les protocoles ICE et TURN utilisent également l'authentification Digest, comme décrit dans le document RFC TURN de l'IETF. Pour plus d'informations, consultez Traversée du contenu multimédia.