Planeación de la seguridad para Duet Enterprise

Se aplica a: Duet Enterprise for Microsoft SharePoint and SAP

Última modificación del tema: 2016-11-29

En este artículo se describe cómo planear una implementación y operaciones seguras de Duet Enterprise para Microsoft SharePoint y SAP. Se presenta la arquitectura de seguridad de Duet Enterprise, se describen las estrategias de configuración de seguridad para escenarios de Duet Enterprise comunes, se describe cómo configurar permisos en Duet Enterprise en función de los roles SAP, se describe cómo implementar la seguridad de diversos elementos del entorno de Duet Enterprise y se describen los roles y cuentas que se deben tener para administrar Duet Enterprise de modo seguro.

La seguridad de Duet Enterprise en SharePoint Server se basa en las funcionalidades de seguridad de SharePoint Server 2010. Junto con este artículo, se recomienda revisar el contenido en el que se describe cómo planear e implementar una seguridad de SharePoint Server general. Para obtener más información, vea el centro de recursos de autenticación y seguridad (https://go.microsoft.com/fwlink/?linkid=196792&clcid=0xC0A). Gran parte de la comunicación entre SharePoint Server y el sistema SAP, junto con la autenticación y autorización de Duet Enterprise, se implementa mediante Servicios de conectividad empresarial de Microsoft. Por lo tanto, también se recomienda revisar el contenido sobre Servicios de conectividad empresarial de Microsoft. Para obtener información acerca de la seguridad y áreas relacionadas de Servicios de conectividad empresarial de Microsoft, vea el centro de recursos de Servicios de conectividad empresarial (https://go.microsoft.com/fwlink/?linkid=190217&clcid=0xC0A).

En este documento:

• Arquitectura de seguridad de Duet Enterprise

• Configuración de la seguridad en escenarios de autenticación de Duet Enterprise comunes

• Uso de roles SAP para obtener acceso a objetos de SharePoint

• Prácticas de seguridad recomendadas de SharePoint Server en Duet Enterprise

Arquitectura de seguridad de Duet Enterprise

En Duet Enterprise, los datos y procesos de negocio almacenados en el sistema SAP se exponen en sitios web de SharePoint Server 2010 y en clientes de Conjuntos de aplicaciones de Microsoft Office 2010 como Microsoft Outlook y SharePoint Workspace. Sin embargo, las cuentas de usuario usadas para obtener acceso a clientes de SharePoint Server 2010 y Conjuntos de aplicaciones de Microsoft Office 2010 no pueden usarse para obtener acceso a información de SAP directamente. La arquitectura de seguridad de Duet Enterprise resuelve este problema mediante la configuración del conector Windows Communications Foundation (WCF) de Servicios de conectividad empresarial de Microsoft incluido en SharePoint Server 2010. Este conector WCF interactúa con el servicio de token de seguridad de SharePoint Server 2010 y con SAP NetWeaver en el sistema SAP. El objetivo de esta implementación es asignar identidades de usuario de SharePoint Server 2010 a cuentas de usuario del sistema SAP para que un usuario que inicia sesión en el sitio web de SharePoint Server 2010 pueda obtener acceso a los datos externos almacenados en el sistema SAP sin tener que volver a iniciar sesión en el sistema SAP.

En el gráfico siguiente se muestra una visión general de cómo funciona la autenticación en Duet Enterprise. Se muestran los pasos que se llevan a cabo cuando un usuario de SharePoint obtiene acceso a información de SAP desde un sitio de Duet Enterprise en SharePoint Server.

1. La identidad del usuario de SharePoint (un token asociado con el usuario durante el inicio de sesión) se envía al conector WCF de Servicios de conectividad empresarial de Microsoft.

2. El conector envía la identidad del usuario de SharePoint al servicio de token de seguridad de SharePoint.

3. El servicio de token de seguridad de SharePoint autentica al usuario y modifica el token para identificar al usuario de SharePoint en el sistema SAP. A continuación, el servicio de token de seguridad de SharePoint devuelve el token al conector WCF.

4. Posteriormente, el token modificado se envía a SAP NetWeaver en un paquete de solicitud de SOAP.

5. Dado que durante la implementación se crea una relación de confianza entre SAP NetWeaver y el servicio de token de seguridad, SAP NetWeaver puede usar el token para buscar la cuenta de usuario de SAP asignada al usuario identificado en el token.

6. La cuenta de usuario de SAP asignada al usuario identificado en el token se devuelve a SAP NetWeaver.

7. SAP NetWeaver usa la cuenta de usuario de SAP para solicitar acceso a la información del sistema SAP y, si la cuenta de usuario está autorizada para tener acceso a dicha información, la información solicitada se envía a SAP NetWeaver.

8. SAP NetWeaver envía la información solicitada al conector WCF de Servicios de conectividad empresarial de Microsoft como una respuesta SOAP.

9. El conector WCF de Servicios de conectividad empresarial de Microsoft pasa la información al usuario de SharePoint.

Las cuentas de usuario del sistema SAP se asignan en primer lugar a las cuentas del sistema de SharePoint por parte de un administrador de SAP. Vea la guía de seguridad de Duet Enterprise de SAP para obtener información detallada sobre este proceso.

Escenarios de autenticación de Duet Enterprise comunes

En esta sección se describen los dos escenarios de Duet Enterprise más comunes y las configuraciones de autenticación recomendadas para cada escenario. Entre los factores principales que diferencian a estos escenarios se incluyen los siguientes:

• Si se implementará una sola o varias soluciones basadas en Duet Enterprise.

• Si se requiere la Capa de sockets seguros para cifrar los canales de comunicaciones.

Tal y como se describe en la sección anterior, la seguridad de Duet Enterprise abarca los roles y cuentas del sistema SAP y del sistema de SharePoint Server 2010. Esta arquitectura de autenticación integrada se implementa mediante la autenticación basada en notificaciones junto con la autenticación de Windows y estos métodos son necesarios para los dos escenarios descritos en esta sección.

Escenario: intranet empresarial mediante el proveedor de autenticación de Microsoft Windows

Este es el escenario de autenticación de Duet Enterprise más común. Por ejemplo, una organización puede mantener los datos de los empleados, como la tarjeta de horas trabajadas, el salario e información de beneficios, en un sistema SAP remoto. Todos los usuarios tienen acceso a estos datos a través del portal de intranet de Duet Enterprise corporativo. Todos los empleados tienen acceso al portal mediante el mismo proveedor de Servicios de dominio de Active Directory.

Este escenario se puede configurar de la siguiente manera:

Escenario: dos soluciones de Duet Enterprise en la intranet

En una empresa de gran tamaño, es posible que dos grupos de trabajo compartan el mismo sistema SAP, por ejemplo para interactuar con la base de datos de información del producto. Cada grupo de trabajo interactúa con los datos a través de su propia solución de Duet Enterprise. La información del sistema SAP no es confidencial en esta empresa. Por lo tanto, para incrementar el rendimiento de los sitios de Duet Enterprise, la Capa de sockets seguros no se usa en este escenario.

Este escenario se puede configurar de la siguiente manera:

Uso de roles SAP para obtener acceso a objetos de SharePoint

En la empresa, las tareas que realiza un usuario normalmente se relacionan con el rol de ese usuario. Por ello, el factor determinante con respecto a si un usuario debe tener cierto nivel de permisos en un objeto es con frecuencia el rol de dicho usuario. Por lo tanto, los roles son útiles para asignar permisos a objetos como elementos de lista, sitios web y documentos.

En SAP NetWeaver, se asigna a los usuarios uno o varios roles, como representante de ventas, jefe de proyecto, ejecutivo y especialista en recursos humanos. Los roles SAP pueden ser amplios, como Todos los jefes de ventas, o específicos, como Región oriental de jefes de ventas. En Duet Enterprise, estos roles SAP pueden usarse para obtener acceso a objetos de SharePoint Server. A cualquier objeto que se le pueda aplicar permisos en SharePoint Server se le puede asignar permisos mediante roles SAP. Entre ellos se incluyen los objetos relacionados directamente con Duet Enterprise, como informes, listas externas y acciones o tipos de contenido externo, y los objetos de SharePoint Server generales y protegibles, como sitios web o bibliotecas de documentos. Una vez concedidos los permisos a un rol en un objeto, los usuarios a los que se asigna dicho rol tendrán permiso para usar el objeto.

Solo se pueden asignar los roles a los usuarios en SAP NetWeaver. Duet Enterprise usa la característica del trabajo del temporizador de sincronización de perfiles de Duet Enterprise para trasladar las asignaciones de roles de usuario a SharePoint Server desde el sistema SAP y usa el proveedor de notificaciones de Duet Enterprise para ayudar a administrar los permisos basados en roles en objetos protegibles de SharePoint Server.

Durante la sincronización de roles, el conjunto de usuarios de SAP se importa al almacén de perfiles de usuario de SharePoint mediante Servicios de conectividad empresarial de Microsoft. Para cada usuario de SAP, todos los roles SAP asignados a dicho usuario se enumeran en el almacén de perfiles de usuario. La sincronización de roles establece una conexión de SharePoint Server con un sistema externo del lado SAP denominado servicio de usuarios de SAP, "SAPUsersService”. Este sistema externo envía las asignaciones de usuario a roles al almacén de perfiles de usuario de SharePoint. La sincronización de roles normalmente se lleva a cabo como un paso posterior a la implementación a intervalos establecidos mediante el trabajo del temporizador de sincronización de perfiles de Duet Enterprise. Puede especificar la frecuencia con la que desea sincronizar los roles y la cantidad de usuarios que se importarán por vez.

Una vez finalizada la sincronización de los roles, los usuarios pueden asignar permisos de roles SAP a un objeto de SharePoint Server. Los roles se asignan a los objetos mediante las mismas interfaces de selección de personas desde las cuales se seleccionan los grupos y los usuarios individuales. Como se muestra en el gráfico, el proveedor de notificaciones de Duet Enterprise se comunica con el sistema SAP (1 y 2) mediante el Servicio de conectividad a datos empresariales para recopilar y enumerar todos los roles SAP que el usuario puede seleccionar en el selector de personas (3). A continuación, el usuario puede asignar estos roles a cualquier objeto para el cual se puedan establecer permisos (4).

Una vez concedidos los permisos a un rol de SAP en un objeto como un elemento de lista o documento, se puede autorizar a un usuario para que use dicho objeto en función de su rol. Como se muestra en el gráfico, cuando el usuario inicia sesión por primera vez en un sitio de SharePoint (1), se emite un token de notificaciones de SAML (2) para dicho usuario que se aumenta mediante el proveedor de notificaciones de Duet Enterprise, en comunicación con el almacén de perfiles de usuario, mediante la adición de los roles SAP del usuario al token de SAML (3 y 4). A continuación, SharePoint Server puede conceder al usuario acceso al objeto si uno de los roles del usuario tiene permisos en el objeto (5 y 6).

Prácticas de seguridad recomendadas de SharePoint Server en Duet Enterprise

Duet Enterprise se implementa en granjas de servidores de SharePoint Server y en sistemas de SAP NetWeaver. En esta sección se incluyen instrucciones generales para configurar los servicios compartidos, aplicaciones web, clientes enriquecidos, canales de comunicación y otros elementos de una granja de SharePoint para mejorar la seguridad en Duet Enterprise.

Servicio de token de seguridad

El servicio de token de seguridad autentica a los usuarios de SharePoint y modifica sus tokens para identificarlos en el sistema SAP (vea Arquitectura de seguridad de Duet Enterprise). También agrega los roles de los usuarios a los tokens para admitir la autorización basada en roles (vea Uso de roles SAP para obtener acceso a objetos de SharePoint).

Por motivos de rendimiento, los tokens del servicio de token de seguridad se almacenan en la memoria caché y esta se vacía cada 24 horas. Cuando se vacía un token de la memoria caché, el servicio de token de seguridad lo vuelve a crear la próxima vez que se necesita. El servicio de token de seguridad se vacía solo una vez al día para evitar que el servicio cree tokens con demasiada frecuencia, lo que podría afectar al rendimiento del sistema.

El almacenamiento en caché de los tokens afecta a la frecuencia con la que se actualiza la información sobre roles en los tokens, ya que esta solo se agrega cuando el token se crea o vuelve a crear. Por lo tanto, puede haber un retraso de hasta 24 horas, después de que cambian los roles SAP de un usuario en el sistema SAP, para que esta información se refleje en el token que representa al usuario en SharePoint Server. Durante este retraso, es posible que no se conceda al usuario acceso a algunos datos, documentos o sitios en los que debería tener permisos, en función de los roles del usuario.

Corresponde a los administradores y arquitectos de soluciones de Duet Enterprise determinar el mejor equilibrio entre mantener un buen rendimiento de Duet Enterprise y proporcionar el acceso necesario a los objetos mediante la actualización de las asignaciones de usuario a roles. En general, se recomienda no cambiar el período de almacenamiento en caché de 24 horas predeterminado. Notifique a los usuarios de la posibilidad de que la propagación de los cambios en los roles en el sistema de SharePoint lleve dos días. Sin embargo, si la actualización de la información sobre roles es muy importante para la solución, puede configurar el intervalo de almacenamiento en caché de roles mediante Windows PowerShell.

Servicio de almacenamiento seguro

El Servicio de almacenamiento seguro almacena de forma segura las asignaciones de credenciales de SharePoint a las credenciales requeridas por sistemas externos. En Duet Enterprise, solo se usa el Servicio de almacenamiento seguro durante la implementación, cuando los modelos de Servicios de conectividad empresarial de Microsoft que representan objetos SAP se importan en SharePoint Server mediante la utilidad DuetConfig.exe.

Antes de importar los modelos BDC, un administrador del Servicio de almacenamiento seguro debe inicializar el servicio mediante la generación de una clave de cifrado. Para obtener información detallada acerca de cómo generar la clave de cifrado, vea la sección Generación de una nueva clave de cifrado de Configuración del Servicio de almacenamiento seguro (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205440&clcid=0xC0A).

Servicio de conectividad a datos empresariales

En Duet Enterprise, Servicios de conectividad empresarial de Microsoft proporciona el puente para las comunicaciones entre Microsoft SharePoint Server y el entorno de SAP. Esto permite a los usuarios conectarse e interactuar con objetos SAP como contactos de ventas, tareas y clientes. Los objetos se modelan en el repositorio de metadatos de Servicios de conectividad empresarial de Microsoft y los permisos de Servicios de conectividad empresarial de Microsoft asocian cuentas individuales, cuentas de grupo o notificaciones con uno o varios niveles de permisos en un objeto del repositorio de metadatos. Para obtener más información acerca de cómo se pueden establecer permisos en los modelos, sistemas externos, tipos de contenido externo, métodos e instancias de método del repositorio de metadatos, vea Introducción a la seguridad de Servicios de conectividad empresarial (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205679&clcid=0xC0A).

Como se describe en Uso de roles SAP para obtener acceso a objetos de SharePoint, Duet Enterprise proporciona funcionalidad de permisos adicionales. Los roles SAP pueden usarse para conceder permisos para obtener acceso a objetos de SharePoint Server y cualquier objeto al que pueda aplicarse permisos en SharePoint Server puede protegerse mediante roles SAP.

Puede usar los roles SAP para ayudar a implementar la seguridad de los objetos SAP que se modelan en Servicios de conectividad empresarial de Microsoft. De esta manera, se garantiza que los usuarios que no tienen los roles necesarios no tendrán acceso a los objetos que no son relevantes a sus responsabilidades. Por ejemplo, todos los tipos de contenido externo que definen clientes se pueden configurar de modo que se obtenga acceso a ellos y se operen solo mediante el rol de representante de ventas de SAP, SAP_SALES_REP.

Servicio de perfiles de usuario

Los usuarios de Duet Enterprise y sus roles se sincronizan con el sistema SAP y se almacenan en el almacén de perfiles del servicio de perfiles de usuario de SharePoint Server. El proceso de sincronización de las asignaciones de usuarios y roles entre Duet Enterprise y el sistema SAP se inicia en la utilidad DuetConfig. Antes de ejecutar DuetConfig para iniciar esta tarea, se debe conceder al administrador de la granja de servidores que ejecuta DuetConfig permisos de control total en el servicio de perfiles de usuario.

En algunas implementaciones de Duet Enterprise, un servicio de perfiles de usuario centralizado en una granja de SharePoint proporcionará la sincronización de roles de varias granjas de SharePoint adicionales que hospedan soluciones de Duet Enterprise. En estas configuraciones “federadas”, habrá un servicio de token de seguridad en cada granja de servidores que use el servicio de perfiles de usuario centralizado. Para que la sincronización de roles funcione desde una granja que usa un servicio de perfiles de usuario centralizado, se debe conceder a la cuenta de grupo de aplicaciones del servicio de token de seguridad de dicha granja permisos de lectura en el servicio de perfiles de usuario centralizado.

Aplicaciones cliente de Office

La autenticación de Duet Enterprise desde aplicaciones cliente de Office requiere interacciones con el servicio de token de seguridad que se ejecuta en SharePoint Server. Por lo tanto, la comunicación entre las aplicaciones cliente de Office y SharePoint Server es necesaria incluso cuando se establece una conexión al sistema SAP externo desde las aplicaciones cliente de Office. Dado que Duet Enterprise usa la autenticación de Windows, las comunicaciones entre las aplicaciones cliente de Office y SharePoint Server pueden implementarse de forma segura mediante direcciones http://. No requieren direcciones https://.

Para admitir características sin conexión de SharePoint Server, también se requieren comunicaciones entre las aplicaciones cliente de Office y el sistema SAP. (Estas conexiones se definen en los modelos que proporcionan acceso a los datos externos disponibles en el sistema SAP). Para ayudar a garantizar la seguridad del acceso al sistema SAP, la comunicación entre los clientes Office y el sistema SAP debe implementarse mediante la Capa de sockets seguros y direcciones https://.

Enrutamiento de informes

La característica de informes de Duet Enterprise combina funcionalidades de generación de informes de SAP con funcionalidades de administración de documentos de SharePoint Server. Permite a los usuarios finales solicitar informes de SAP desde dentro de un sitio de SharePoint Server. Estos informes se generan en el sistema SAP y se redirigen y almacenan correctamente en bibliotecas de documentos de SharePoint Server para que los usuarios autorizados puedan verlos. Una solución basada en Duet Enterprise puede integrar los informes en tantos sitios como sea necesario. Todos los informes para los sitios de una aplicación web concreta se redirigen a las bibliotecas correctas de dicha aplicación web mediante el servicio web OBAFileReceiver, que se conecta a la aplicación web cuando esta se configura para informes.

Tal y como se describe en el tema sobre configuración de informes (https://go.microsoft.com/fwlink/?linkid=205681&clcid=0xC0A), debe configurar todas las aplicaciones web que hospedan informes mediante la extensión de la aplicación web a una zona adicional en la que el servicio pueda ejecutarse de modo seguro. Esta zona debe tener las siguientes características:

• Debe usar la Capa de sockets seguros (SSL)

• Debe usar la autenticación de notificaciones

• Debe usar la autenticación de Windows y la autenticación básica

• Debe estar enlazada a un certificado que sea de confianza en el sistema SAP

Permisos basados en roles

Tal y como se describe en Uso de roles SAP para obtener acceso a objetos de SharePoint, Duet Enterprise usa el proveedor de notificaciones de Duet Enterprise para ayudar a administrar los permisos basados en roles en objetos protegibles de SharePoint Server. Cuando se usa un proveedor de notificaciones en una solución, este aumenta el tiempo necesario para llevar a cabo ciertas operaciones. Para promover el mejor rendimiento del proveedor de notificaciones de Duet Enterprise, se recomienda realizar lo siguiente:

1. Configure el proveedor de notificaciones de Duet Enterprise de modo que no se use de forma predeterminada. Al hacerlo, las aplicaciones web que no están relacionadas a Duet Enterprise no consultarán el proveedor de notificaciones de Duet Enterprise. Para configurar el proveedor de notificaciones de modo que no se use de forma predeterminada, use el siguiente script de Windows PowerShell:

   $myClaimPrMgr = Get-SPClaimProviderManager
   $TCP = $myClaimPrMgr.GetClaimProvider("DuetEnterpriseClaimsProvider")
   $TCP.IsUsedByDefault = False
   $myClaimPrMgr.Update()
   

2. Asocie el proveedor de notificaciones de Duet Enterprise con cada aplicación web que forme parte de la solución de Duet Enterprise. Para ello, use el siguiente script de Windows PowerShell para cada aplicación web que forme parte de la solución:

   $web = Get-SPWebApplication "http://WebApplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Add("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   En el ejemplo anterior, reemplace "http://WebApplication" por la dirección URL de la aplicación web.

   Para quitar la asociación de una aplicación web con el proveedor de notificaciones de Duet Enterprise, use el siguiente script:

   $web = Get-SPWebApplication "http://Webapplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Remove("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   En el ejemplo anterior, reemplace "http://Webapplication" por la dirección URL de la aplicación web.