Procedimientos recomendados para entornos de extranet (SharePoint Server 2010)

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se describen las recomendaciones de planificación y diseño para entornos de extranet basados en SharePoint Server en los que a los usuarios que se encuentran fuera de la red interna se les proporciona acceso a los sitios. Este artículo pertenece a una serie de artículos de procedimientos recomendados para Microsoft SharePoint Server 2010.

1. Introducción a las topologías de extranet para el modelo de Productos de SharePoint 2010

Las topologías de extranet para el modelo Productos de SharePoint 2010 muestran las topologías de extranet específicas que se han probado con Productos de SharePoint 2010. También proporciona una comparación de Internet Security and Acceleration (ISA) Server, Forefront Threat Management Gateway (TMG) y Forefront Unified Access Gateway (UAG) cuando se usa como producto de puerta de enlace o firewall con Productos de SharePoint 2010.

Topologías de extranet para Productos de SharePoint 2010

Haga clic en la imagen para acercarse al modelo de productos de topología de extranet para SharePoint 2010

Descargar el modelo de productos de topologías de extranet para SharePoint 2010 (https://go.microsoft.com/fwlink/?LinkId=219527&clcid=0xC0A)

2. Elegir la licencia de servidor adecuada

La licencia o combinación de licencias para servidores depende de varios factores. Para SharePoint Server 2010 vea Planeación de granjas de servidores (SharePoint Server 2010) para ver una discusión de las distintas consideraciones y opciones de licencias que se aplican a los entornos de extranet.

3. Aprovechar varios mecanismos de autenticación

No intente estandarizar todos los usuarios en un mecanismo de autenticación único. Use el mecanismo de autenticación que ofrece la mejor experiencia para cada audiencia de usuarios. Por ejemplo, al usar la autenticación basada en notificaciones de SAML para asociados se habilita a estos usuarios para usar un conjunto de credenciales. Benefíciese de la flexibilidad que SharePoint Server ofrece para la configuración de la autenticación, en lugar de implementar un mecanismo de autenticación único para todas las personas de una organización.

Para obtener un ejemplo de un diseño que utiliza varios mecanismo de autenticación, vea Ejemplo de diseño: Implementación corporativa (SharePoint Server 2010)

4. Mantener la coherencia en la autenticación de usuario para los usuarios

Asegúrese de que los usuarios pueden usar la misma cuenta y credenciales para iniciar sesión en sitios tanto si se encuentran dentro o fuera de la red interna. Esto es importante debido a que los usuarios se conectan a los sitios a través de dos proveedores de autenticación diferentes, SharePoint Server crea dos cuentas y perfiles diferentes para cada usuario.

Si usa la autenticación de Windows internamente, hay al menos dos opciones para asegurarse de que los usuarios pueden iniciar sesión con la misma cuenta tanto interna como externamente:

• Use la autenticación basada en formularios en el producto de firewall o puerta de enlace para recopilar credenciales de Windows que se reenvían a la granja de servidores de SharePoint. Esto funciona en entornos que usan la autenticación de modo clásico en la que la autenticación basada en formularios para los sitios de SharePoint no está admitida.

• Usando la Capa de sockets seguros (SSL) para implementar únicamente una dirección URL que se puede usar tanto interna como externamente. Es decir, los empleados usan la misma zona que está configurada para SSL independientemente de donde se encuentren.

5. Configurar zonas de manera idéntica en aplicaciones web

En un entorno de extranet, el diseño de zonas es fundamental. Asegúrese de que la configuración de las zonas cumple los siguientes requisitos:

• Configure las zonas de varias aplicaciones web para que se reflejen mutuamente. La configuración de las zonas de autenticación, y de los usuarios asignados a zonas, debe ser la misma. Sin embargo, las directivas asociadas a zonas pueden ser diferentes en las aplicaciones web. Por ejemplo, asegúrese de que la zona de intranet se usa para los mismos empleados en todas las aplicaciones web. Es decir, no configure la zona de intranet para empleados internos en una aplicación web y empleados remotos en otra aplicación web.

• Configure las asignaciones de acceso alternativas de forma precisa y correcta para cada zona y cada recurso. Las asignaciones de acceso alternativas se crean automáticamente al crear la zona. Sin embargo, SharePoint Server se puede configurar para rastrear contenido en recursos externos, como un recurso compartido de archivos. Debe usar asignaciones de acceso alternativas para crear enlaces mutuamente para cada zona a estos recursos externos.

6. Beneficiarse de un servidor proxy inverso

Proteja su entorno de solicitudes de usuario directas mediante un servidor proxy inverso, donde las reglas de inspección de solicitud se pueden aplicar a cada solicitud. Un servidor proxy inverso puede evitar la divulgación de información acerca de la configuración de una red interna, y se puede usar para finalizar de manera segura las sesiones SSL de cliente para evitar la sobrecarga de SSL en los servidores web.

Forefront Unified Access Gateway (UAG) es un servidor de proxy inverso que ofrece muchas capacidades al combinarlo con SharePoint Server en entornos de extranet. Para obtener más información, vea los siguientes recursos:

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. Configurar el acceso entre firewalls y la configuración para dispositivos móviles

Una zona de acceso entre firewalls se usa para generar URLS externas para mensajes de alertas móviles. También habilita a los usuarios a hacer clic en el botón Enviar un vínculo por correo electrónico de la cinta de opciones para enviar una dirección URL accesible internamente. Se necesita alguna configuración para asegurarse de que los sitios de SharePoint son accesibles para dispositivos móviles, como Windows Phone 7, cuando los dispositivos se usan fuera del firewall corporativo.

Para obtener más información, vea los artículos siguientes:

• Configuración del acceso externo para dispositivos móviles (SharePoint Server 2010)

• Planeación de dispositivos móviles (SharePoint Server 2010)

8. Configurar el selector de personas para varios dominios

Debido a que los entornos de extranet pueden abarcar varios dominios, asegúrese de que el selector de personas devuelve usuarios, grupos y notificaciones de los dominios deseados.

Para obtener más información, vea los siguientes recursos:

• Uso del selector de personas con varios bosques o dominios

• Habilitar consultas entre bosques o entre dominios cuando se usa una confianza unidireccional

9. Configurar los valores de antivirus

SharePoint Server incluye un detector de virus que puede configurar mediante Administración central o con la herramienta de línea de comandos stsadm.

10. Usar el servicio de almacenamiento seguro para administrar credenciales para servicios que tienen acceso a orígenes de datos de servidor

Aplicaciones de servicio que usan una identidad de Windows delegada (Servicios de Excel, PerformancePoint Services, InfoPath Forms Services y Servicios de Visio) para obtener acceso a orígenes de datos externos colocan requisitos adicionales en entorno. Los orígenes de datos externos deben encontrarse dentro del mismo dominio que la granja de servidores de SharePoint que hospeda el servicio o la aplicación de servicio se debe configurar para usar el servicio de almacenamiento seguro. Si el servicio de almacenamiento seguro no se usa y los servidores de la granja de servidores se dividen entre dos dominios, los servidores de aplicaciones debe encontrarse en el mismo dominio que los orígenes de datos externos. Si los orígenes de datos externos no se encuentran en el mismo dominio, se producirá un error en la autenticación de los orígenes de datos externos.

11. Configurar DNS para dividir topologías opuestas

Si los servidores web se dividen entre la red interna y la red perimetral, asegúrese de que el DNS está configurado con los registros adecuados en cada zona de red para dirigir tráfico a los servidores web deseados.

Para obtener más información acerca de la configuración de DNS, vea “Zonas y direcciones URL” en el siguiente artículo:Ejemplo de diseño: Implementación corporativa (SharePoint Server 2010)

El equipo de publicación de contenido de SharePoint Server 2010 desea mostrar su agradecimiento a los siguientes colaboradores en este artículo:

• Ali Mazaheri, Servicios de Consultoría de Microsoft

• Bryan Porter, Servicios de Consultoría de Microsoft

• Steve Walker, Ingeniería para clientes de Microsoft SharePoint

• Tajeshwar Singh, Servicios de Consultoría de Microsoft