Share via

Configuración del servicio de token de seguridad (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se proporciona una orientación para configurar el servicio de token de seguridad (STS) de Microsoft SharePoint Server 2010. Un STS es un servicio web especializado diseñado para responder las solicitudes de tokens de seguridad y para proporcionar administración de identidades. La funcionalidad principal de cada STS es la misma, pero la naturaleza de las tareas que lleva a cabo cada STS depende del rol que éste desempeña en relación con los otros servicios web del STS en el diseño general.

En este artículo:

  • Cómo funcionan las aplicaciones web que usan un STS

  • Configuración de una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

  • Edición de enlaces

  • Configuración de una aplicación web que usa un STS

Cómo funcionan las aplicaciones web que usan un STS

Las aplicaciones web que usan un servicio de token de seguridad controlan las solicitudes para emitir, administrar y validar tokens de seguridad. Los tokens de seguridad constan de una colección de notificaciones de identidad (como el nombre de un usuario, un rol o un identificador anónimo). Los tokens se pueden emitir en diferentes formatos, por ejemplo tokens del lenguaje de marcado de aserción de seguridad (SAML). Los tokens de seguridad se pueden proteger con un certificado X.509 para proteger el contenido en tránsito y para habilitar la validación de emisores de confianza. Para obtener más información sobre el servicio de token de seguridad, vea Planeación de los métodos de autenticación (SharePoint Server 2010).

Un servicio de token de seguridad proveedor de identidad (IP-STS) es un servicio web que atiende solicitudes de notificaciones de identidad de confianza. Los IP-STS usan una base de datos llamada almacén de identidades para almacenar y administrar las identidades y sus atributos asociados. El almacén de identidades de un proveedor de identidad puede ser simple, como una tabla de base de datos de SQL. Un IP-STS también puede usar un almacén de identidades complejo, como los Servicios de dominio de Active Directory (AD DS) o el Servicio de directorio ligero de Active Directory (AD LDS).

Los IP-STS están disponibles para clientes que desean crear y administrar identidades y para aplicaciones de usuario de confianza que deben validar las identidades que presentan los clientes. Cada IP-STS tiene una relación de confianza federada con aplicaciones web STS de usuario de confianza asociado a la federación y emite tokens para esas aplicaciones, cada una de las cuales se denomina RP-STS. Los clientes pueden crear o aprovisionar tarjetas de información administradas (mediante un selector de tarjetas como CardSpace) que representen identidades registradas en el IP-STS. Los clientes interactúan con el IP-STS al solicitar tokens de seguridad que representan una identidad que se encuentra en el almacén de identidades del IP-STS. Después de la autenticación, el IP-STS emite un token de seguridad de confianza que el cliente puede presentar ante una aplicación de usuario de confianza. Las aplicaciones de usuario de confianza pueden establecer relaciones de confianza con un IP-STS. Esto les permite validar los tokens de seguridad emitidos por un IP-STS. Una vez establecida la relación de confianza, las aplicaciones de usuario de confianza pueden examinar los tokens de seguridad que presentaron los clientes y determinar la validez de las notificaciones de identidad que contienen.

Un STS de usuario de confianza (RP-STS) es un STS que recibe tokens de seguridad de un IP-STS asociado a la federación de confianza. A su vez, el RP-STS emite nuevos tokens de seguridad que consumirá una aplicación de usuario de confianza local. El uso de las aplicaciones web del RP-STS en federación con las aplicaciones web del IP-STS permite a las organizaciones ofrecer inicio de sesión web único (SSO) a usuarios de organizaciones asociadas. Cada organización continuará administrando sus propios almacenes de identidades.

Configuración de una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

Lleve a cabo los siguientes procedimientos para usar Windows PowerShell para configurar una aplicación web basada en notificaciones de SharePoint.

Para configurar una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

  1. Compruebe si cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. En el menú Inicio, haga clic en Todos los programas.

  3. Haga clic en Productos de Microsoft SharePoint 2010.

  4. Haga clic en Consola de administración de SharePoint 2010.

  5. Desde el símbolo del sistema de Windows PowerShell (es decir, PS C:\>), cree un objeto x509Certificate2, como se muestra en el siguiente ejemplo:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Cree una asignación de tipo de notificación para usarla en el proveedor de autenticación, como se muestra en el siguiente ejemplo:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Cree un proveedor de inicio de sesión de confianza; para ello, cree un valor para el parámetro realm, como se muestra en el siguiente ejemplo:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Cree un valor para el parámetro signinurl que apunte a la aplicación web, como se muestra en el siguiente ejemplo:

    $signinurl = "https://test-2/FederationPassive/"

  9. Cree el proveedor de inicio de sesión de confianza con el mismo valor IdentifierClaim que en una asignación de notificaciones ($map1.InputClaimType), como se muestra en el siguiente ejemplo:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Cree una aplicación web; para ello, cree un valor para la cuenta del grupo de aplicaciones (para el usuario actual) en primer lugar, como se muestra en el siguiente ejemplo:

    $account = "DOMAIN\" + $env:UserName

    Nota

    La cuenta del grupo de aplicaciones debe ser una cuenta administrada. Para crear una cuenta administrada, use New-SPManagedAccount.

  11. Cree un valor para la dirección URL de la aplicación web ($webappurl = "https://" + $env:ComputerName), como se muestra en el siguiente ejemplo:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Cree un sitio; para ello, cree un objeto de notificación en primer lugar, como se muestra en el siguiente ejemplo:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Cree un sitio, como se muestra en el siguiente ejemplo:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Edición de enlaces

Después de configurar una aplicación web basada en notificaciones de SharePoint, edite los enlaces.

Para editar los enlaces

  1. Escriba INETMGR en el símbolo del sistema para iniciar el Administrador de IIS.

  2. Vaya al sitio de la aplicación web de notificaciones en IIS.

  3. En el panel izquierdo, haga clic con el botón secundario en la aplicación web de notificaciones y seleccione Modificar enlaces.

  4. Seleccione https y haga clic en Editar.

  5. En Certificado SSL, seleccione los certificados que aparezcan.

Configuración de una aplicación web que usa un STS

Después de configurar una aplicación web basada en notificaciones de SharePoint Server 2010, editar los enlaces y configurar el archivo Web.Config, puede usar el procedimiento que se describe en esta sección para configurar una aplicación web con servicio de token de seguridad.

Para configurar una aplicación web que usa un STS

  1. Abra la consola de administración de los Servicios de federación de Active Directory (ADFS) 2.0.

  2. En el panel izquierdo, expanda Directiva y seleccione Usuarios de confianza.

  3. En el panel derecho, haga clic en Agregar usuario de confianza. Se abrirá el asistente para configuración de Servicios de federación de Active Directory (ADFS) 2.0.

  4. En la primera página del asistente, haga clic en Inicio.

  5. Haga clic en Especificar manualmente configuración de usuario de confianza y, a continuación, en Siguiente.

  6. Escriba el nombre del usuario de confianza y haga clic en Siguiente.

  7. Asegúrese de que Perfil del servidor de Servicios de federación de Active Directory (ADFS) 2.0 esté seleccionado y haga clic en Siguiente.

  8. Si no planea usar un certificado de cifrado, haga clic en Siguiente.

  9. Seleccione Permitir compatibilidad con la federación de identidades basada en explorador web.

  10. Escriba el nombre de la dirección URL de la aplicación web y agregue /_trust/ (por ejemplo: https://nombreServidor/_trust/). Haga clic en Siguiente.

  11. Escriba el identificador y haga clic en Agregar. Haga clic en Siguiente.

  12. En la página de resumen, haga clic en Siguiente y, a continuación, haga clic en Cerrar. Se abrirá la consola de administración del editor de reglas. Use esta consola para configurar la asignación de notificaciones desde una aplicación web LDAP a SharePoint.

  13. En el panel izquierdo, expanda Nueva regla y seleccione Regla predefinida.

  14. Seleccione Crear notificaciones desde almacén de atributos LDAP.

  15. En el panel derecho, seleccione Almacén de cuentas de usuario de Active Directory de empresa de la lista desplegable Almacén de atributos.

  16. En Atributo LDAP, seleccione sAMAccountName.

  17. En Tipo de notificación saliente, seleccione Dirección de correo electrónico.

  18. En el panel izquierdo, haga clic en Guardar.