Planejar as configurações de autenticação de aplicativos Web no Office SharePoint Server
Atualizado em: 2009-04-28
Neste artigo:
Planejar configurações de autenticação
Planejar exclusões de autenticação
Planilha
Este artigo discute as definições de configuração de autenticação que precisam ser planejadas para aplicativos Web individuais no Microsoft Office SharePoint Server 2007. Use este artigo com a planilha de configurações de autenticação do aplicativo Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73334\&clcid=0x416) Preencha uma planilha separada para cada um dos seguintes elementos que fazem parte do seu projeto de soluções do Office SharePoint Server 2007:
Aplicativos Web novos ou estendidos no Office SharePoint Server 2007.
Zonas adicionais em um aplicativo Web (com exceção da zona padrão). Incluir zonas que são criadas para a conta de pesquisa.
Planejar configurações de autenticação
Esta seção discute cada uma das configurações na página Editar Autenticação do site da Administração Central do SharePoint. Para chegar a essa página, na página Gerenciamento de Aplicativos, na seção Segurança de Aplicativo clique em Provedores de autenticação. Clique na zona onde deseja modificar as configurações de autenticação. A página Editar Autenticação será exibida.
Dependendo das opções de autenticação que você escolher, é possível especificar as configurações de autenticação diretamente ao criar ou estender o aplicativo Web no Office SharePoint Server 2007. No entanto, nem todas as opções estão disponíveis ao criar ou expandir inicialmente um aplicativo Web. Se você não conseguir configurar a autenticação ao criar ou estender o aplicativo Web, poderá aceitar as configurações de autenticação padrão inicialmente e editar as configurações na página Editar Autenticação.
Tipo de autenticação
Selecione o método que deseja usar. Se você pretender permitir acessos anônimos em vez de implementar um método de autenticação listado nesta seção, selecione uma autenticação do Windows.
Se você selecionar Windows, especifique o método de autenticação do Windows na seção Configurações de Autenticação do IIS da página Editar Autenticação. Se você selecionar Formulários ou Logon único na Web, as opções na página Editar Autenticação serão alteradas para permitir que você insira o nome do provedor de associação e o nome do gerenciador de função.
Se você desejar usar a Autenticação de certificado ou a autenticação Kerberos, analise a tabela a seguir para identificar as etapas adicionais de configuração necessárias para configurar esses métodos.
| Método de autenticação | Configuração adicional | Funções especializadas |
|---|---|---|
Certificados |
|
Administrador do Microsoft Windows Server 2003, para obter e configurar certificados |
Kerberos (Integrada do Windows) |
|
Administrador do IIS |
| Ação da planilha |
|---|
Registre a configuração adicional necessária na seção Configuração Adicional da planilha de configurações de autenticação do aplicativo Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416). |
Acesso anônimo
Indique se o acesso anônimo é permitido. Se tiver selecionado Formulários ou Logon único na Web na seção Tipo de Autenticação, marque a caixa de seleção Habilitar acesso anônimo.
Integração com cliente
É possível desabilitar a integração com cliente, que remove recursos que iniciam aplicativos clientes. É a melhor configuração para alguns cenários, por exemplo a publicação de conteúdo somente leitura na Web para acesso anônimo. Além disso, se você selecionar a autenticação de formulários ASP.NET ou a autenticação de Logon Único na Web (SSO), a integração com cliente será configurada para Não por padrão.
Se você tiver instalado o Microsoft Office SharePoint Server 2007 com Service Pack 2 (SP2), haverá suporte à integração com cliente, com exceção do suporte à integração com o Outlook. Há suporte a todos os outros tipos de integração com cliente, incluindo a criação do SharePoint Designer.
Dica
Se você não tiver instalado o Office SharePoint Server 2007 com SP2, a integração com cliente será desabilitada por padrão ao usar a autenticação baseada em formulários. Isso ocorre porque a integração com cliente não oferece suporte nativo à autenticação baseada em formulários antes do Office SharePoint Server 2007 com SP2.
Comportamentos esperados quando a integração com cliente é desabilitada
Quando a integração com cliente é desabilitada, os sites se comportam das seguintes maneiras:
Os links que iniciam os aplicativos clientes não ficam visíveis.
Os documentos são abertos no navegador e não podem ser abertos por aplicativos clientes.
Os usuários não podem editar documentos no site diretamente dos aplicativos clientes. No entanto, eles podem fazer o download do documento, editá-lo localmente e atualizá-lo.
A tabela a seguir lista comandos de menus e recursos específicos que não estão disponíveis quando a integração com cliente está desabilitada.
| Categoria | Comandos ou recursos indisponíveis |
|---|---|
Barras de ferramentas |
Novo documento Trabalhar no Microsoft Office Outlook Abrir no Windows Explorer Exportar para planilha Abrir com o Programa de Banco de Dados |
Edição de documentos |
Editar nos aplicativos do Microsoft Office como, por exemplo, o Word e o Excel. |
Modos de exibição |
Exibição no Explorer Criar um modo de exibição do Access |
Bibliotecas de imagens |
Carregar vários Editar imagem Download Enviar para |
Bibliotecas de slides |
Publicar slide Enviar para o Microsoft Office PowerPoint |
Outros |
Discussão Conexão com o Office Outlook |
Comportamentos de métodos específicos de autenticação
Além do cenário de implantação (como, por exemplo, publicação de conteúdos somente leitura), a escolha do método de autenticação pode determinar a forma de configurar a integração com cliente. Alguns desses métodos se comportam de forma diferente com os aplicativos clientes. Em alguns casos, esse comportamento depende dos navegadores clientes, que podem estar configurados para usar cookies persistentes ou cookies de sessão.
A tabela a seguir resume os possíveis comportamentos da integração com cliente quando usados com métodos específicos de autenticação.
| Método de autenticação | Comportamento |
|---|---|
Básica |
Os usuários precisam fornecer suas credenciais sempre que acessarem um documento. Outros recursos podem solicitar também que eles insiram suas credenciais novamente. |
Formulários ASP.NET e SSO na Web |
Se as condições a seguir forem verdadeiras, um cookie persistente será criado:
O cookie persistente é compartilhado por todos os aplicativos que usam o mesmo armazenamento de cookies e o usuário pode abrir documentos nos aplicativos clientes. O cookie persistente é criado com um valor de tempo limite padrão de 30 minutos. Esse valor pode ser alterado adicionando ou atualizando o parâmetro de tempo limite no nó dos formulários no arquivo Web.config. Por exemplo:
Quando o cookie expira, a integração com cliente para de funcionar. Se os usuários estiverem em um navegador, eles serão solicitados a inserir novamente as credenciais. Se o provedor de autenticação não oferecer suporte a cookies persistentes ou o usuário não tiver clicado em Conecte-me automaticamente quando fez logon, o cookie de sessão será usado. O cookie de sessão pode ser acessado apenas pelo navegador. O usuário não poderá abrir o documento diretamente nos aplicativos clientes. Se o provedor de autenticação não fornecer suporte para os cookies persistentes ou se eles não forem permitidos no seu ambiente, desative a integração com cliente. Por exemplo, os Serviços de Federação do Active Directory (AD FS) não fornecem suporte para cookies persistentes. |
Anônima |
Ao abrir um documento, as credenciais dos usuários são solicitadas várias vezes. Se eles clicarem dez vezes em Cancelar na caixa de diálogo de autenticação, o site poderá abrir o documento usando o aplicativo cliente. Devido a esse processo ineficiente, é recomendado que a integração com cliente seja desativada para cenários de acesso anônimo. |
Uso do sistema operacional Windows Vista com Internet Explorer 7
No Windows Vista, o Internet Explorer 7 inclui um recurso adicional de segurança chamado modo protegido. Por padrão, o modo protegido está habilitado para a Internet, Intranet e zonas de Sites Restritos. Como esse recurso coloca os cookies persistentes em um local que impede o compartilhamento entre aplicativos, a integração com cliente não funciona como deveria.
Para configurar o Internet Explorer 7 para trabalhar com integração com cliente, siga uma destas recomendações:
Desabilite o modo protegido.
Se o modo protegido estiver habilitado, adicione os sites do SharePoint às zonas de sites Confiáveis no Internet Explorer.
Para obter mais informações sobre como desabilitar o modo protegido, consulte a seção sobre como configurar o modo protegido no artigo sobre Entendimento e funcionamento do Internet Explorer em modo protegido (em inglês) (https://go.microsoft.com/fwlink/?linkid=78098\&clcid=0x416).
Testando as configurações de integrações com cliente
Se houver alguma dúvida sobre como ajustar a configuração de integração com cliente, teste os resultados em um ambiente de teste antes de implantar sites na produção. Se essa configuração for alterada depois de aplicada, os sites e os aplicativos clientes poderão se comportar de forma inesperada.
| Ação da planilha |
|---|
Na planilha sobre configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), na seção Habilitar Integração com Cliente, selecione Sim ou Não. |
Configurações para autenticação de formulários ASP.NET e Web SSO
Ao implementar a autenticação de formulários ASP.NET ou Web SSO, você deve desenvolver as definições da configuração para inseri-las nos arquivos Web.config aplicáveis. Consulte Amostras de autenticação para analisar exemplos de cadeias configuradas adequadamente para vários cenários comuns.
| Ação da planilha |
|---|
Na planilha sobre configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), insira os dois tipos de informações a seguir:
|
Verifique se o nome do MembershipProvider e do RoleManager que você registrou no arquivo Web.config são os mesmos que você inseriu na página authentication.aspx da Administração Central. Se você não inserir o gerenciador de função no arquivo Web.config, o provedor padrão especificado no arquivo machine.config poderá ser usado em seu lugar.
Por exemplo, a cadeia a seguir em um arquivo Web.config especifica um provedor de associação SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obter mais informações sobre requisitos para provedores de associação e gerenciadores de função, consulte a seção de conexão aos sistemas de gerenciamento de identidades que não são baseados no Windows ou que são externos, em Planejar métodos de autenticação (Office SharePoint Server).
Planejar exclusões de autenticação
Ao implementar a autenticação de formulários ASP.NET ou Web SSO, é necessário planejar as exclusões de autenticação. Se você está implementando a autenticação do Windows, não é necessário ler esta seção.
Quando você cria ou estende um aplicativo Web ou adiciona uma zona a um aplicativo Web, o IIS cria um novo site. As configurações de autenticação que forem registradas no arquivo Web.config para esse aplicativo Web são herdadas por diretórios virtuais abaixo do site. Os diretórios virtuais que forem adicionados abaixo de um aplicativo Web no Office SharePoint Server 2007 não serão gerenciados pelo Office SharePoint Server 2007 e serão considerados diretórios virtuais excluídos.
Se estiver implementando a autenticação de formulários ASP.NET ou Web SSO e pretender adicionar diretórios virtuais subordinados a esses sites, você precisará decidir se os diretórios virtuais excluídos devem herdar a autenticação de formulários ASP.NET ou as configurações Web SSO.
| Ação da planilha |
|---|
Na planilha de configurações de autenticação do aplicativo Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), indique se os diretórios virtuais excluídos serão adicionados ao IIS subordinados ao site que corresponde a esse aplicativo Web no Office SharePoint Server 2007. Se os diretórios virtuais excluídos forem adicionados, indique se as configurações de autenticação deverão ser herdadas. |
Use o seguinte procedimento para configurar o IIS de forma que as configurações de autenticação não sejam herdadas.
Configurar o IIS de forma que as configurações de autenticação não sejam herdadas
Adicione um novo diretório virtual do IIS subordinado ao site do IIS que corresponde à zona ou aplicativo Web aplicável no Office SharePoint Server 2007.
No gerenciador do IIS, clique com o botão direito do mouse no novo diretório virtual e clique em Propriedades.
Clique na guia Diretório Virtual.
Clique em Criar (isso faz com que o diretório virtual se torne um aplicativo).
Clique em Configuração.
Selecione os mapas de aplicativos de caractere curinga e clique em Remover.
Clique em Sim e em OK.
Crie um novo arquivo Web.config na raiz do caminho do sistema de arquivos do novo diretório virtual e adicione as seguintes entradas:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
Planilha
Use as seguintes planilhas para planejar e registrar as definições de configuração para todos os seus aplicativos Web no Office SharePoint Server 2007.
- Planilha de configurações de autenticação do aplicativo Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73334\&clcid=0x416)
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis no Conteúdo baixável do Office SharePoint Server 2007.