Lync 2010 : Fédération et sécurité

Cependant, l’accès à votre système de messagerie instantanée, tout comme la messagerie classique asynchrone, pourra être contrôlé au travers de différents mécanismes de confiance plus ou moins élevés :

Autoriser la détection automatique de partenaires fédérés, confiance élevé pour des domaines de confiance ou encore ne pas autoriser la détection des partenaires de la fédération.

Le premier niveau de confiance qui autorise la détection automatique de partenaires fédérés (aussi nommé fédération ouverte) est l’option qui est mise en place par défaut. Il n’y a aucune liste blanche ni liste noire mise en place. Cette solution, semblable à la déclaration de domaines de messagerie SMTP, allie sécurité et facilité de configuration et de gestion. Par exemple, si vous autorisez la détection automatique des partenaires fédérés sur votre serveur EDGE, Microsoft Lync Server 2010 permet à n’importe quel domaine fédéré de vous envoyer des communications. Par ailleurs, en cas de fédération automatique, un dispositif spécifique de protection de Lync 2010 évalue automatiquement le trafic entrant provenant des partenaires de la fédération. Ce dispositif détaillé plus loin dans ce dossier, limite ou bloque le trafic de fédération ouverte en fonction des niveaux de confiance, du volume de trafic et des paramètres de l’administrateur.

Le deuxième mécanisme de confiance consiste à autoriser la détection des partenaires de la fédération, comme précédemment, mais  en complément, l’entreprise accorde un niveau de confiance élevé à des domaines spécifiques.

Ces domaines spécifiques seront ajoutés à une liste blanche (ou verte selon les terminologies). Par exemple, si vous souhaitez accorder un niveau élevé de confiance à des partenaires utilisant le domaine SIP microsoft.com et azeo.com, il faut ajoutez ces deux domaines sous l’onglet Autoriser. L’utilisation de ce procédé pour limiter la détection permet d’établir un niveau de confiance plus élevé pour les connexions avec les domaines définis au sein de votre liste verte, tout en assurant une facilité de gestion. Il est ainsi possible de communiquer avec de nouveaux partenaires de fédération qui sont listés sous l’onglet Autoriser. Une option Domaine bloqué permet également de filtrer les domaines SIP.

La troisième et dernière solution consiste à ne pas autoriser la détection des partenaires de la fédération et limiter l’accès des partenaires fédérés aux seuls domaines ou aux seuls serveurs Edge  pour lesquels vous voulez activer les connexions. Il s’agit dans ce cas d’une fédération fermée. Les connexions avec les partenaires fédérés sont autorisées uniquement avec les domaines spécifiques qui seront alors ajoutés sous l’onglet Autoriser. Cette méthode offre un niveau de sécurité optimal, mais n’apporte aucune souplesse et apporte des contraintes en termes de gestion. Par exemple, si le nom de domaine complet d’un serveur Edge d’un partenaire fédéré change, vous devez modifier manuellement le nom de domaine complet du serveur dans la liste verte.