Plan de asignaciones alternativas de acceso para SharePoint

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Las asignaciones de acceso alternativas dirigen a los usuarios hacia las direcciones URL correctas cuando interactúan con SharePoint Server 2016 (por ejemplo, al explorar la página principal de un sitio web de SharePoint Server 2016). Las asignaciones de acceso alternativas permiten a SharePoint Server asignar solicitudes web a los sitios y aplicaciones web correctos, y permiten que SharePoint Server devuelva el contenido correcto al usuario.

Como las características de las asignaciones de acceso alternativas ya no se usan, se recomienda recurrir en su lugar a las colecciones de sitios con nombre de host.

Para más información sobre cómo planear las colecciones de sitios con nombre de host, vea Arquitectura e implementación de colecciones de sitios con nombre de host en SharePoint Server.

Las asignaciones de acceso alternativas se implementaron porque hay escenarios comunes de implementación de Internet en los que la URL de solicitud web que recibe Internet Information Services (IIS) es distinta de la URL que escribe el usuario. Este hecho se produce con mayor frecuencia en escenarios de implementación que incluyen equilibrio de carga y publicación de proxy inverso.

Nota:

Aunque el equilibrio de carga no suele aplicarse a las colecciones de sitios de encabezado host, debe configurarse en las asignaciones de acceso alternativas. Para la URL pública de la zona predeterminada debe establecerse una URL de dominio que resulte adecuada para que la vean todos los usuarios. De no hacerlo así, es posible que se muestren los nombres de los servidores web o las direcciones IP en los parámetros que se envían entre las páginas de SharePoint Server 2016.

Información sobre las asignaciones de acceso alternativas

Las asignaciones de acceso alternativas habilitan a las aplicaciones web que reciben la solicitud de una URL interna en una de las cinco zonas para devolver páginas con vínculos a la URL pública de dicha zona. Si desea asociar una aplicación web, puede hacerlo con una colección de asignaciones entre URL internas y públicas. Interno hace referencia a la dirección URL de una solicitud web tal como la recibe SharePoint Server. Las URL públicas son aquellas con las que SharePoint construirá los vínculos correspondientes a las solicitudes que coincidan con las URL internas de la zona al devolver una respuesta. La dirección URL pública es la dirección URL base que SharePoint Server usa en las páginas que devuelve. Si la URL interna se modifica desde un dispositivo de proxy inverso, es posible que varíe respecto de la URL pública.

Nota:

Las colecciones de sitios con nombre de host no pueden usar asignaciones de acceso alternativas y se procesan de forma automática en la zona predeterminada. La URL de la solicitud debe ser idéntica para el usuario y el servidor.

Se pueden asociar varias direcciones URL internas a una sola dirección URL pública. Las colecciones de asignaciones pueden contener hasta cinco zonas de autenticación. Pero cada zona solo puede tener una única dirección URL pública. Las colecciones de asignaciones corresponden a las zonas de autenticación siguientes:

  • Predeterminada

  • Intranet

  • Internet

  • Personalizada

  • Extranet

Publicación de proxy inverso

Un proxy inverso es un dispositivo que se sitúa entre los usuarios y el servidor web. Todas las solicitudes que se realizan al servidor web se reciben en primer lugar en este dispositivo y, si superan el filtrado de seguridad del proxy, este las reenvía al servidor web.

Integración de la asignación de acceso alternativa con los proveedores de autenticación

Las asignaciones de acceso alternativas permiten exponer una aplicación web en cinco zonas diferentes, con un sitio web de IIS de respaldo en cada zona.

Nota:

Respecto a este hecho, algunas personas afirman erróneamente que disponen de hasta cinco aplicaciones web diferentes que comparten las mismas bases de datos de contenido. Sin embargo, en realidad hay solo una aplicación web.

Estas zonas no solo permiten usar varias URL para acceder a la misma aplicación web, sino también varios proveedores de autenticación.

Para extender una aplicación web a una zona, use la autenticación de Windows de IIS. A continuación, podrá cambiar la zona para usar un tipo de autenticación diferente.

Para cambiar la configuración de autenticación para una zona, aplique el procedimiento siguiente.

Para cambiar el tipo de autenticación para una zona

  1. En Herramientas administrativas, abra Administración central.

  2. En la página principal de Administración central, haga clic en Administración de aplicaciones.

  3. En la página Administración de aplicaciones, vaya a la sección Seguridad de aplicaciones y haga clic en Proveedores de autenticación.

  4. En la página Proveedores de autenticación, seleccione la aplicación web que aparece en el cuadro Aplicación web.

  5. Haga clic en el nombre de la zona cuya configuración de autenticación desea cambiar.

    Nota:

    Solo podrá seleccionar entre las zonas que tienen un sitio web de IIS de respaldo. A estas zonas se les asignó un sitio web de IIS durante el procedimiento "Extender una aplicación web existente".

  6. En la página Editar autenticación, vaya a la sección Tipos de autenticación de notificaciones y seleccione el tipo de autenticación que desea usar en esta zona:

    • Autenticación de Windows (valor predeterminado)

    • Autenticación básica

    • Autenticación basada en formularios (FBA)

    • Proveedor de identidad de confianza

  7. Cambie la configuración de autenticación restante conforme a sus necesidades y haga clic en Guardar.

En este momento, puede cambiar los valores de configuración de autenticación para cualquier otra zona. Puede configurar opciones de autenticación completamente independientes para diferentes zonas con acceso al mismo contenido. Por ejemplo, puede configurar algún contenido para que esté disponible de forma anónima mientras que otro contenido requiere credenciales. Puede configurar una zona para que tenga habilitado el acceso anónimo y todas las demás formas de autenticación deshabilitadas, lo que garantiza que solo estará disponible el contenido anónimo. Al mismo tiempo, otra zona puede tener el acceso anónimo deshabilitado mientras está habilitada la autenticación NTLM, lo que garantiza que solo se habilitará el acceso autenticado. Además, puede tener diferentes tipos de cuentas para acceder al mismo contenido: una zona se puede configurar para usar cuentas de Active Directory en Windows, mientras que otra zona se puede configurar para usar cuentas que no son de Active Directory que usan ASP.NET autenticación basada en formularios.

Integración de la asignación de acceso alternativa con las directivas de aplicación web

Las directivas de aplicación web permiten a los administradores conceder o denegar el acceso a las cuentas y los grupos de seguridad para todos los sitios que se exponen a través de una zona. Este procedimiento puede resultar útil para muchos escenarios.

Por ejemplo, el rastreador de búsqueda de SharePoint Server debe someterse a la misma infraestructura de autorización que cualquier otro usuario: solo puede rastrear el contenido al que tiene acceso. Sin embargo, es posible que los usuarios deseen rastrear contenido restringido de modo que los usuarios autorizados accedan a dicho contenido en los resultados de búsqueda. El servicio de búsqueda usa la directiva Acceso completo de lectura en las aplicaciones web para conceder al rastreador permiso de lectura para todo el contenido de la aplicación web. De este modo, puede rastrear e indizar todo el contenido existente y futuro, incluido el contenido para el que el administrador del sitio no le ha concedido acceso de forma explícita.

Otro ejemplo sería el personal del departamento de soporte técnico que necesita acceso administrativo a los sitios de SharePoint Server para que puedan ayudar a los usuarios. En este caso, puede crear una directiva de aplicación web que conceda a las cuentas de este personal el permiso Control total para ofrecerles acceso administrativo completo a todos los sitios presentes y futuros de la aplicación web.

Las directivas se encuentran vinculadas tanto a las aplicaciones web como a sus zonas correspondientes, por lo que, si lo desea, puede garantizar que la directiva que se aplica a una zona no afectará a las demás. Esto puede resultar muy útil si dispone de contenido que se expone tanto en la red corporativa como en Internet. Por ejemplo, suponga que ha concedido a una cuenta del departamento de soporte técnico el permiso Control total para la zona de una aplicación web que se encuentra asignada a la red corporativa. Si algún usuario intenta acceder al sitio a través de Internet con esta cuenta, la directiva Control total no se aplicará porque reconocerá que la URL corresponde a una zona diferente. Por lo tanto, no se concederá a la cuenta de forma automática acceso administrativo para el sitio.

Asignación de acceso alternativa y de recursos externos

SharePoint Server permite ampliar la funcionalidad de asignación de acceso alternativa al contenido que no está hospedado en la granja de servidores de SharePoint Server. Para configurar esta funcionalidad, vaya a la página Asignaciones de acceso alternativas y, a continuación, haga clic en Asignar a un recurso externo. A continuación, se le pedirá que cree una entrada para un recurso externo, que puede considerar como otra aplicación web. Después de tener un recurso externo, puede asignarle distintas direcciones URL y zonas de la misma manera que lo hace para las aplicaciones web. Esta característica no se usa en SharePoint Server, pero los productos de terceros que se compilan en SharePoint Server pueden usarla.

Por ejemplo, la tecnología de búsqueda en SharePoint Server puede rastrear contenido externo a la granja de servidores, como recursos compartidos de archivos y sitios web. Si el contenido se encuentra disponible en URL diferentes de redes distintas, tal vez desee realizar la búsqueda de modo que devuelva los resultados con las URL precisas de la red actual del usuario. Con la tecnología de asignación de recursos externos de la asignación de acceso alternativa, la búsqueda puede reasignar las URL externas de los resultados para coincidir con la zona del usuario.

Vea también

Conceptos

Configurar las asignaciones alternativas de acceso en SharePoint Server