Introducción a la autenticación para el servidor de SharePoint

SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365

SharePoint Server requiere autenticación para los siguientes tipos de interacciones:

• usuarios que tienen acceso a recursos de SharePoint local

• aplicaciones que tienen acceso a recursos de SharePoint local

• servidores de recursos locales que tienen acceso a recursos de SharePoint locales, o viceversa

Obtenga información sobre la autenticación de SharePoint en Microsoft 365.

Autenticación de usuarios en SharePoint Server

La autenticación de usuario es la validación de la identidad de un usuario frente a un proveedor de autenticación, que es un directorio o base de datos que contiene las credenciales del usuario y puede comprobar que el usuario las envió correctamente. La autenticación de usuario se produce cuando un usuario intenta tener acceso a un recurso de SharePoint.

SharePoint Server admite la autenticación basada en notificaciones.

El resultado de una autenticación basada en notificaciones es un token de seguridad basado en notificaciones, que genera el Servicio de token de seguridad (STS) de SharePoint.

SharePoint Server admite la autenticación de notificaciones basada en Windows, basada en formularios, lenguaje de marcado de aserción de seguridad (SAML) y Open ID Connect (OIDC). Para obtener información sobre cómo funcionan Windows, los métodos de autenticación basados en formularios y SAML, consulte los vídeos siguientes. Para obtener información sobre cómo funciona la autenticación de OIDC, consulte la guía de configuración de OIDC.

Vídeo sobre la autenticación de notificaciones en SharePoint Server 2013 y 2016

Vídeo sobre la autenticación de notificaciones basadas en formularios en SharePoint Server 2013 y 2016

Vídeo sobre la autenticación de notificaciones basadas en SAML en SharePoint Server 2013 y 2016

Para obtener más información, vea Planear los métodos de autenticación de usuario en SharePoint Server.

Autenticación de aplicaciones en SharePoint Server

La autenticación de aplicaciones es la validación de una identidad de aplicaciones de SharePoint remota y la autorización de la aplicación y de un usuario asociado de una solicitud de recursos protegidos de SharePoint. La autenticación de aplicaciones se produce cuando un componente externo de una aplicación Tienda SharePoint o Catálogo de aplicaciones, como un servidor web que se encuentra en la intranet o Internet, intenta obtener acceso a un recurso protegido de SharePoint.

Por ejemplo, suponga que un usuario abre una página de SharePoint que contiene un IFRAME de una aplicación de SharePoint y que IFRAME necesita un componente externo, como un servidor de intranet o Internet, para tener acceso a un recurso protegido de SharePoint para representar la página. El componente externo de la aplicación de SharePoint se debe autenticar y autorizar para que SharePoint ofrezca la información solicitada y la aplicación pueda procesar la página para el usuario.

Si la aplicación de SharePoint no requiere un recurso protegido de SharePoint para representar la página del usuario, no se necesita la autenticación de la aplicación. Por ejemplo, una aplicación de SharePoint que proporciona información de previsión meteorológica y solo tiene que acceder a un servidor de información meteorológica en Internet no tiene que usar la autenticación de aplicaciones.

La autenticación de aplicaciones es una combinación de dos procesos:

• Autenticación

  Comprobar que la aplicación se ha registrado correctamente con un agente de la identidad de confianza

• Autorización

  Comprobar que la aplicación y el usuario asociado para la solicitud tienen los permisos apropiados para realizar sus operaciones, como tener acceso a una lista o una carpeta o ejecutar una consulta

Para realizar la autenticación de aplicaciones, la aplicación obtiene un token de acceso del servicio de control de acceso de Microsoft Azure (ACS) o mediante un token de acceso de certificado de firma propia en el que SharePoint Server confía. El token de acceso garantiza una solicitud de acceso a un recurso específico de SharePoint y contiene información que identifica la aplicación y el usuario asociado, en lugar de la validación de las credenciales del usuario. El token de acceso no es un token de inicio de sesión.

El siguiente es un ejemplo del proceso de autenticación de aplicaciones de la Tienda SharePoint:

1. Un usuario abre una página web de SharePoint que contiene un IFRAME que debe representar una aplicación Tienda SharePoint, que está alojada en Internet y utiliza ACS como agente de confianza. Para representar el IFRAME para el usuario, la aplicación Tienda SharePoint debe tener acceso a un recurso de SharePoint.

2. El STS SharePoint solicita y recibe un token de contexto de ACS.

3. SharePoint envía la página web solicitada junto con el token de contexto para el explorador del usuario web.

4. El explorador del usuario web envía una solicitud de contenido del IFRAME y el token de contexto al servidor de aplicaciones Tienda SharePoint de Internet.

5. El servidor de aplicaciones Tienda SharePoint solicita y recibe un token de acceso de ACS.

6. El servidor de aplicaciones Tienda SharePointenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.

7. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.

8. Si se permite, SharePoint envía los datos solicitados al servidor de aplicaciones Tienda SharePoint de Internet.

9. El servidor de aplicaciones Tienda SharePoint de Internet envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.

Observe cómo la aplicación Tienda SharePoint ha obtenido acceso a los recursos de servidor de SharePoint sin tener que obtener las credenciales del usuario. El acceso se ha autenticado a través de ACS, en la que el servidor que ejecuta SharePoint Server confía, y se ha autorizado a través del conjunto de permisos de usuario y aplicaciones.

El siguiente es un ejemplo del proceso de autenticación de aplicaciones del catálogo de aplicaciones de SharePoint

1. un usuario abre una página web de SharePoint que contiene un IFRAME que debe representarse mediante una aplicación Catálogo de aplicaciones que se aloja en la intranet y utiliza un certificado autofirmado para sus token de acceso. Para representar el IFRAME para el usuario, la aplicación Catálogo de aplicaciones debe tener acceso a un recurso de SharePoint.

2. SharePoint, envía la página solicitada junto con el IFRAME al explorador de web del usuario.

3. El explorador web del usuario envía una solicitud para el contenido del IFRAME al servidor de aplicaciones Catálogo de aplicaciones de la intranet.

4. El servidor de aplicaciones Catálogo de aplicaciones autentica al usuario y genera un token de acceso, firmado con su certificado autofirmado.

5. El servidor de aplicaciones Catálogo de aplicacionesenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.

6. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.

7. Si se permite, el servidor de SharePoint envía los datos solicitados al servidor de aplicaciones Catálogo de aplicaciones de la intranet.

8. El servidor de aplicaciones Catálogo de aplicaciones envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.

Para obtener más información, consulte Planear la autenticación de aplicaciones en SharePoint Server.

Autenticación de servidor a servidor en SharePoint Server

La autenticación de servidor a servidor es la validación de la solicitud de un servidor para los recursos que se basa en una relación de confianza establecida entre el STS del servidor que ejecuta SharePoint Server y el STS de otro servidor que admite el protocolo de servidor a servidor de OAuth, como el local que ejecuta SharePoint Server, Exchange Server 2016, Skype Empresarial 2016, o Servicio de flujo de trabajo de Azure y SharePoint Server que se ejecutan en Microsoft 365. Gracias a esta relación de confianza, un servidor solicitante puede obtener acceso a los recursos protegidos del servidor de SharePoint en nombre de una cuenta de usuario especificada, en función de los permisos de usuario y servidor.

Por ejemplo, un servidor que ejecute Exchange Server 2016 puede solicitar recursos de un servidor que ejecute SharePoint Server para una cuenta de usuario. Esta aprovisionamiento contrasta con la autenticación de la aplicación, en la que la aplicación no tiene acceso a la información de credenciales de la cuenta de usuario. El usuario podrá iniciar sesión actualmente en el servidor que hace la solicitud de recursos o no, dependiendo del servicio y la solicitud.

Cuando un servidor que ejecuta SharePoint Server intenta obtener acceso a un recurso en un servidor o un servidor intenta obtener acceso a un recurso de un servidor que ejecuta SharePoint Server, se debe autenticar la solicitud de acceso entrante para que el servidor la acepte junto con los datos subsiguientes. La autenticación de servidor a servidor comprueba que el servidor que ejecuta SharePoint Server y el usuario al que representa son de confianza.

El token que se usa para una autenticación de servidor a servidor es un token de servidor a servidor, no un token de inicio de sesión. El token de servidor a servidor contiene información acerca del servidor que solicita el acceso y la cuenta de usuario en cuyo nombre actúa el servidor.

Para los servidores locales, un proceso básico de ejemplo es el siguiente:

1. Un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, la visualización de la lista de tareas de SharePoint Server y Exchange Server 2016).

2. SharePoint Server genera un token de servidor a servidor.

3. SharePoint Server envía el token de servidor a servidor a otro servidor.

4. El otro servidor valida el token de servidor a servidor de SharePoint.

5. El otro servidor envía un mensaje a SharePoint Server para indicar que el token de servidor a servidor enviado era válido.

6. El servicio del servidor que ejecuta SharePoint Server obtiene acceso a los datos del servidor.

7. El servicio del servidor que ejecuta SharePoint Server presenta la página para el usuario.

Cuando los dos servidores se ejecutan en Microsoft 365, un proceso de ejemplo es el siguiente:

1. Un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, la visualización de la lista de tareas de SharePoint y Exchange Online).

2. SharePoint solicita y recibe un token de servidor a servidor de ACS.

3. SharePoint envía el token de servidor a servidor al servidor Microsoft 365.

4. El servidor Microsoft 365 comprueba la identidad del usuario del token de servidor a servidor con ACS.

5. El servidor Microsoft 365 envía un mensaje a SharePoint para indicar que el token de servidor a servidor enviado era válido.

6. El servicio de SharePoint accede a los datos del servidor Microsoft 365.

7. El servicio de SharePoint presenta la página para el usuario.

Para más información, vea Planear la autenticación de servidor a servidor en SharePoint Server.