Compartir a través de


Planeación de métodos de autenticación (Windows SharePoint Services)

En este artículo:

  • Autenticación

  • Métodos de autenticación compatibles

  • Configuración de la autenticación

  • Planeación de la autenticación para el contenido de rastreo

  • Planeación de zonas para el diseño de autenticación

  • Selección de métodos de autenticación permitidos en el entorno

  • Hoja de trabajo

Este artículo describe los métodos de autenticación compatibles con Windows SharePoint Services 3.0. Tras leer el artículo, podrá:

  • Entender cómo se implementa la autenticación en Windows SharePoint Services 3.0.

  • Identificar los métodos de autenticación adecuados para su entorno.

Autenticación

La autenticación es el proceso de validar la identidad de un usuario. Después de validar la identidad de un usuario, el proceso de autorización determina los sitios, el contenido y demás características a los que puede obtener acceso el usuario.

En Windows SharePoint Services 3.0, Internet Information Services (IIS) realiza el proceso de autenticación. Después de que IIS haya autenticado a los usuarios, las características de seguridad de Windows SharePoint Services 3.0 llevan a cabo el proceso de autorización.

Para obtener más información acerca de cómo implementar la autorización en Windows SharePoint Services 3.0, vea Planeación de la seguridad de contenidos y sitios (Windows SharePoint Services).

La planeación de la autenticación es importante no sólo para proteger la solución mediante la validación de las identidades de los usuarios, sino también para proteger las credenciales de los usuarios en la red.

Métodos de autenticación compatibles

Windows SharePoint Services 3.0 proporciona un sistema de autenticación extensible y flexible que admite la autenticación para sistemas de administración de identidades basados o no en el sistema operativo Microsoft Windows. Al integrarse con la autenticación conectable de ASP .NET, Windows SharePoint Services 3.0 admite diversos esquemas de autenticación basados en formularios. La compatibilidad con autenticación de Windows SharePoint Services 3.0 permite diversos escenarios de autenticación, entre ellos:

  • Uso de métodos de autenticación de Windows estándar.

  • Uso de una base de datos simple de nombres de usuario y contraseñas.

  • Conexión directa al sistema de administración de identidades de una organización.

  • Uso de dos o más métodos de autenticación para obtener acceso a aplicaciones de socios (por ejemplo, una conexión al sistema de administración de identidades de su compañía asociada para autenticar a los empleados de su socio al tiempo que se usan métodos de autenticación de Windows para autenticar a sus empleados internos).

  • Participación en sistemas de administración de identidades federados.

La tabla siguiente enumera los métodos de autenticación admitidos:

Método de autenticación Descripción Ejemplos

Windows

Se admiten los métodos de autenticación de Windows IIS estándar.

  • Anónima

  • Básica

  • Implícita

  • Certificados

  • Kerberos (integrada de Windows)

  • NTLM (integrada de Windows)

Formularios de ASP.NET

Windows SharePoint Services 3.0 agrega compatibilidad con los sistemas de administración de identidades que no están basados en Windows gracias a su integración con el sistema de autenticación de formularios de ASP.NET. La autenticación de ASP.NET permite a Windows SharePoint Services 3.0 trabajar con sistemas de administración de identidades que implementan la interfaz MembershipProvider. No es necesario volver a escribir las páginas de administración de seguridad ni administrar las cuentas del servicio de directorio de Active Directory secundarias.

  • Protocolo ligero de acceso a directorios (LDAP)

  • Base de datos de SQL u otra base de datos

  • Otras soluciones de autenticación de formularios basados en ASP.NET

Inicio de sesión único (SSO) web

Windows SharePoint Services 3.0 admite la autenticación federada a través de proveedores de SSO web. El SSO web habilita el inicio de sesión único en entornos que incluyen servicios que se ejecutan en plataformas distintas. No es necesario administrar cuentas de Active Directory separadas.

  • Servicios de federación de Active Directory (ADFS)

  • Otros sistemas de administración de identidades

Autenticación de cuentas del sistema

La autenticación de formularios de ASP.NET y el SSO web se pueden usar para autenticar sólo cuentas de usuario. Las cuentas de proceso usadas para conectarse al software de la base de datos de Microsoft SQL Server y ejecutar la granja de servidores web deben ser cuentas de Windows, incluso si se usan métodos de autenticación alternativos para autenticar a los usuarios.

Windows SharePoint Services 3.0 admite la autenticación de SQL Server y las cuentas de proceso de equipos locales para granjas de servidores que no ejecutan Active Directory. Por ejemplo, puede implementar cuentas locales con nombres de usuario y contraseñas idénticos en todos los servidores de una granja.

Configuración de la autenticación

Aunque configurar la autenticación de Windows es un proceso sencillo, configurar la autenticación para que use formularios de ASP.NET o el SSO web requiere una mayor planeación. En esta sección se proporciona un resumen acerca de cómo se configura la autenticación en Windows SharePoint Services 3.0. Esta información le ayudará a entender cómo preparar una estrategia de autenticación para cada solución y a determinar a quién es necesario involucrar dentro de su organización en la planeación de la autenticación.

Configuración de la autenticación para aplicaciones web de SharePoint

La autenticación en Windows SharePoint Services 3.0 se configura en el nivel de la aplicación web de SharePoint. El siguiente diagrama muestra una granja de servidores de Windows SharePoint Services configurada para hospedar sitios de varias compañías. La autenticación se configura por separado para cada una de las compañías.

Autenticación de hospedaje para dos empresas distintas

Cuando crea o extiende una aplicación web inicialmente, se le presenta un número limitado de opciones de autenticación (Kerberos, NTLM y anónima). Si va a usar uno de estos métodos, puede configurar la autenticación al crear o extender la aplicación web.

La siguiente ilustración muestra las opciones de autenticación limitadas que están disponibles al crear o extender una aplicación web inicialmente:

Configuración de autenticación predeterminada

Sin embargo, si va a usar una configuración de autenticación distinta, seleccione las opciones de autenticación predeterminadas y configure la autenticación después de crear o extender la aplicación web. (Para hacerlo, en Administración central, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, seleccione Proveedores de autenticación y haga clic en la zona para abrir la página Editar autenticación.) Las opciones que se configuran en esta página dependen del tipo de autenticación que se seleccione: Windows, formularios o SSO web.

La siguiente ilustración muestra la página Editar autenticación:

Página de edición de autenticación

Dependiendo de las opciones de autenticación que seleccione en Administración central, es posible que necesite establecer opciones de configuración adicionales. En la tabla siguiente se resumen los pasos de configuración según el método de autenticación. En ella también se indica si se necesitan funciones especializadas además de Administrador de SharePoint.

Método de autenticación Configuración adicional Funciones especializadas

Anónima

Ninguno

Ninguno

Básica

Ninguna

Ninguna

Implícita

Configure la autenticación implícita directamente en IIS.

Ninguna

Certificados

  1. Seleccione Autenticación de Windows en Administración central.

  2. Configure IIS para la autenticación de certificados.

  3. Habilite la Capa de sockets seguros (SSL).

  4. Obtenga y configure certificados de una entidad de certificación (CA).

Administrador de Windows Server 2003, para obtener y configurar certificados

NTLM (integrada de Windows)

Ninguna

Ninguna

Kerberos (integrada de Windows)

  1. Configure la aplicación web para que use la autenticación Kerberos.

  2. Configure un nombre principal de servicio (SPN) para la cuenta de usuario de dominio que se usa para la identidad del grupo de aplicaciones (cuenta de proceso del grupo de aplicaciones).

  3. Registre el SPN para la cuenta de usuario de dominio en Active Directory.

Administrador de IIS

Formularios

  1. Registre el proveedor de pertenencia en el archivo Web.config para la aplicación web de SharePoint.

  2. Registre el administrador de funciones en el archivo Web.config para la aplicación web de SharePoint (opcional).

  3. Registre el proveedor de pertenencia en el archivo Web.config para el sitio Administración central.

  • Programador de ASP.NET

  • Administrador del sistema de administración de identidades al que se va a conectar

SSO web

Además de los pasos de configuración necesarios para la autenticación de formularios de ASP.NET, registre un módulo HTTP para el proveedor de SSO web.

  • Programador de ASP.NET

  • Administrador del sistema de administración de identidades al que se va a conectar

Conexión a sistemas de administración de identidades que son externos o que no están basados en Windows

Para usar formularios de ASP.NET o el SSO web para autenticar usuarios con un sistema de administración de identidades que no está basado en Windows o que es externo, debe registrar el proveedor de pertenencia en el archivo Web.config. Además de registrar un proveedor de pertenencia, también puede registrar un administrador de funciones. Windows SharePoint Services 3.0 usa una interfaz de administrador de funciones de ASP.NET estándar para recopilar información de grupo acerca del usuario actual. El proceso de autorización de Windows SharePoint Services 3.0 trata cada función de ASP.NET como un grupo de dominio. Los administradores de funciones se registran en el archivo Web.config del mismo modo que se registran proveedores de pertenencia para la autenticación.

Si desea administrar funciones y usuarios suscritos desde el sitio Administración central, tiene la opción de registrar el proveedor de pertenencia y el administrador de funciones en el archivo Web.config del sitio de Administración central (además de registrarlos en el archivo Web.config de la aplicación web que hospeda el contenido).

Asegúrese de que el nombre del proveedor de pertenencia y el nombre del administrador de funciones que registró en el archivo Web.config coinciden con el nombre que especificó en la página .aspx de autenticación de Administración central. Si no indica el administrador de funciones en el archivo Web.config, es posible que en su lugar se use el proveedor predeterminado especificado en el archivo machine.config.

Por ejemplo, la siguiente cadena de un archivo Web.config especifica un proveedor de pertenencia a SQL:

<membership defaultProvider="AspNetSqlMembershipProvider">

Para obtener más información acerca del uso de la autenticación de formularios de ASP.NET para conectarse a un proveedor de autenticación de SQL Server, vea Ejemplos de autenticación (Windows SharePoint Services).

Finalmente, si va a usar el SSO web para conectarse a un sistema de administración de identidades externo, también debe registrar un módulo HTTP para el SSO web. Un módulo HTTP es un ensamblado que se llama en cada solicitud realizada a su aplicación. Los módulos HTTP se llaman como parte de la canalización de solicitudes de ASP.NET. Para obtener más información, vea Introducción a módulos HTTP (https://msdn.microsoft.com/es-es/library/ms178468(vs.80).aspx).

La integración con la autenticación de formularios de ASP.NET implica requisitos adicionales para el proveedor de autenticación. Además de registrar los distintos elementos en el archivo Web.config, es necesario programar el proveedor de pertenencia, el administrador de funciones y el módulo HTTP para que interactúen con los métodos de Windows SharePoint Services 3.0 y ASP.NET, tal como se indica en la tabla siguiente:

Categoría Descripción

Proveedor de pertenencia

Para que funcione con Windows SharePoint Services 3.0, el proveedor de pertenencia debe implementar los métodos siguientes:

  • GetUser (String)   Windows SharePoint Services 3.0 llama a este método para resolver nombres de usuario durante invitaciones y para obtener el nombre para mostrar del usuario.

  • GetUserNameByEmail   Windows SharePoint Services 3.0 llama a este método para resolver nombres de usuario durante invitaciones.

  • FindUsersByName, FindUsersByEmail   Windows SharePoint Services 3.0 llama a estos métodos para rellenar el control del selector de usuario de la página Agregar usuarios. Si el proveedor de pertenencia no devuelve ningún usuario, el selector no funcionará y los administradores tendrán que escribir el nombre de usuario o la dirección de correo electrónico en el cuadro de texto Agregar usuario.

Administrador de funciones

El administrador de funciones debe implementar los métodos siguientes:

  • RoleExists   Windows SharePoint Services 3.0 llama a este método durante invitaciones para comprobar que un nombre de función existe.

  • GetRolesForUser   Windows SharePoint Services 3.0 llama a este método durante la comprobación de acceso para recopilar las funciones del usuario actual.

  • GetAllRoles   Windows SharePoint Services 3.0 llama a este método para rellenar el selector de grupo y función. Si el proveedor de funciones no devuelve ningún grupo o función, el selector de Windows SharePoint Services 3.0 no funcionará y el administrador tendrá que escribir el nombre de la función en el cuadro de texto Agregar usuario.

Módulo HTTP

El módulo HTTP debe administrar los siguientes eventos:

  • AuthenticateRequest   Este evento se llama cuando ASP.NET está listo para autenticar al usuario. El módulo de SSO web debe desempaquetar la cookie de autenticación del usuario y configurar el objeto HttpContext.User con la identidad del usuario actual.

  • EndRequest   Éste es el último evento de la canalización de ASP.NET. Este evento se llama justo antes de devolver el código al cliente. El módulo del SSO web debe capturar 401 respuestas procedentes de Windows SharePoint Services 3.0 y convertirlas en una redirección 302 adecuada para la autenticación al servidor de inicio de sesión SSO web.

Habilitación del acceso anónimo

Puede habilitar el acceso anónimo para una aplicación web además de configurar un método de autenticación más seguro. Con esta configuración, los administradores de sitios de la aplicación web pueden permitir el acceso anónimo. Si los usuarios anónimos desean obtener acceso a recursos y capacidades protegidos, pueden hacer clic en un botón de inicio de sesión para enviar sus credenciales.

Uso de distintos métodos de autenticación para obtener acceso a un sitio

Puede configurar las aplicaciones web de Windows SharePoint Services 3.0 de modo que puedan obtener acceso a ellas hasta cinco métodos de autenticación o sistemas de administración de identidades diferentes. La siguiente ilustración muestra una aplicación de socio configurada para que obtengan acceso a ella los usuarios de dos sistemas de administración de identidades distintos. Los empleados internos se autentican por medio de uno de los métodos de autenticación de Windows estándar. Los empleados de la compañía asociada se autentican con su propio sistema de administración de identidades de la compañía.

Diagrama de administración de opciones de autenticación

Para configurar una aplicación web para que obtengan acceso a ella dos o más sistemas de autenticación distintos, debe configurar zonas adicionales para la aplicación web. Las zonas representan distintas rutas lógicas para obtener acceso a la misma aplicación física. Con la típica aplicación de socio, los empleados de una compañía asociada obtienen acceso a la aplicación a través de Internet, mientras que los empleados internos lo hacen directamente a través de la intranet.

Para crear una nueva zona, extienda la aplicación web. En la página Extender una aplicación web a otro sitio web de IIS, en la sección Dirección URL de carga equilibrada, especifique la dirección URL y el tipo de zona. El tipo de zona es simplemente un nombre de categoría que se aplica a la zona y no afecta a la configuración de la misma.

Después de extender la aplicación web, puede configurar otro método de autenticación para la nueva zona. La siguiente ilustración muestra la página Proveedores de autenticación para una aplicación web configurada mediante dos zonas distintas. La zona predeterminada es la zona que usan los empleados internos. La zona de Internet está configurada para el acceso de socios y usa formularios de ASP.NET para autenticar a los empleados del socio con el sistema de administración de identidades del socio.

Aplicación web configurada con dos zonas

Planeación de la autenticación para el contenido de rastreo

Para realizar rastreos correctos del contenido de una aplicación web, debe comprender los requisitos de autenticación del componente de índice del servidor de búsqueda (también conocido como rastreador). En esta sección se describe cómo configurar la autenticación para las aplicaciones web para garantizar que el contenido de dichas aplicaciones web pueda ser rastreado correctamente.

Cuando el administrador de una granja de servidores crea una aplicación web con todas las opciones de configuración predeterminadas, la zona predeterminada para esta aplicación web queda configurada para usar NTLM. El administrador de la granja de servidores puede cambiar el método de autenticación para la zona predeterminada a cualquier método de autenticación admitido por Windows SharePoint Services 3.0.

El administrador de la granja de servidores también puede extender una aplicación web una o varias veces para habilitar más zonas. Se pueden asociar hasta cinco zonas con una aplicación web determinada, y cada zona se puede configurar para usar cualquier método de autenticación admitido por Windows SharePoint Services 3.0.

Orden en el que obtiene acceso a las zonas el rastreador

A la hora de planear zonas para una aplicación web, tenga en cuenta el orden de sondeo en que el rastreador tiene acceso a las zonas al intentar autenticar. El orden de sondeo es importante, porque si el rastreador encuentra una zona configurada para usar una autenticación básica, implícita o Kerberos, la autenticación fallará y el rastreador no intentará tener acceso a la siguiente zona en el orden de sondeo. Si esto ocurre, el rastreador no rastreará contenido en dicha aplicación web.

Sugerencia

Asegúrese de que una zona configurada para NTLM es anterior en el orden de sondeo a una zona configurada para la autenticación básica, implícita o Kerberos.

El rastreador sondea las zonas en el siguiente orden:

  • Zona predeterminada

  • Zona de intranet

  • Zona de Internet

  • Zona personalizada

  • Zona de extranet

La siguiente ilustración muestra las decisiones que toma el sistema de autenticación cuando el rastreador intenta autenticar:

Muestra el orden de las zonas de sondeo del rastreador de datos.

En la siguiente tabla se describen las acciones asociadas con cada leyenda de la ilustración:

Leyenda Acción

1

El rastreador intenta autenticar mediante la zona predeterminada.

Nota

El rastreador siempre intenta usar la zona predeterminada en primer lugar al intentar autenticar una aplicación web en particular.

2

Si la zona está configurada para NTLM, el rastreador se autentica y continúa en la fase de autorización.

3

Si la zona está configurada para una autenticación básica, implícita o Kerberos, la autenticación fallará y el rastreador no intentará autenticar mediante otra zona. Esto significa que el contenido no se rastreará.

4

Si no hay más zonas en el orden de sondeo, se produce un error de autenticación y no se rastrea el contenido.

5

El rastreador intenta autenticar mediante la siguiente zona en el orden de sondeo.

Si configura la zona predeterminada para usar un método de autenticación con el que el rastreador no es compatible (por ejemplo, autenticación de formularios o SSO web), deberá crear al menos una zona adicional y configurar dicha zona para usar la autenticación NTLM. Tenga en cuenta la situación siguiente.

Escenario de autenticación

El administrador de la granja de servidores crea una aplicación web y la configura para usar la autenticación de formularios. Puesto que el administrador de la granja de servidores desea rastrear e indizar el contenido de la aplicación web, y puesto que sabe que el rastreador requiere una zona configurada con NTLM, extenderá la aplicación web y configurará la zona Intranet para usar NTLM.

Cuando el rastreador intenta autenticarse mediante la zona predeterminada, el sistema de autenticación determina que el rastreador y la zona no están configurados para usar el mismo método de autenticación. Debido a que la zona no está configurada para la autenticación básica, implícita o Kerberos y hay al menos una zona adicional en el orden de sondeo, el rastreador intentará autenticar mediante la zona de intranet. Dado que la zona Intranet está configurada para usar NTLM y el rastreador también usa NTLM, la autenticación se realizará correctamente.

Además de configurar correctamente el método de autenticación, deberá asegurarse de que el rastreador esté autorizado para rastrear contenido de la aplicación web. Para ello, debe asegurarse de que las credenciales usadas para la cuenta de acceso a contenido tengan el nivel de permiso de acceso completo de lectura o superior en la aplicación web que se va a rastrear. Los administradores de la granja de servidores pueden usar la página de la directiva de la aplicación web de Administración central para crear una directiva que conceda a la cuenta de acceso a contenido el nivel de permiso de acceso completo de lectura en una aplicación web en particular.

Rastreo de colecciones de sitios con nombre de host

El proceso y las reglas mostrados en la ilustración anterior no son aplicables a colecciones de sitios con nombre de host. Esto se debe a que dichas colecciones están disponibles sólo en la zona predeterminada. Si no configura la zona predeterminada para usar NTLM al implementar colecciones de sitios con nombre de host, deberá configurar un método alternativo para el componente de índice para tener acceso al contenido.

Para obtener más información acerca de cómo rastrear colecciones de sitios con nombre de host que no están configuradas para la autenticación NTLM, vea los artículos siguientes:

Planeación de zonas para el diseño de autenticación

Si tiene previsto implementar más de un método de autenticación para una aplicación web por medio de zonas, siga las siguientes pautas:

  • Use la zona predeterminada para implementar la configuración de autenticación más segura. Si no se puede asociar una solicitud con una zona específica, se aplican la configuración de autenticación y otras directivas de seguridad de la zona predeterminada. La zona predeterminada es la zona que se crea cuando se crea una aplicación web inicialmente. Normalmente, la configuración de autenticación más segura está diseñada para el acceso de usuarios finales. Por tanto, es probable que la zona predeterminada sea la zona a la que obtengan acceso los usuarios finales.

  • Use el número de zonas mínimo que requiera la aplicación. Cada zona está asociada con un nuevo dominio y sitio de IIS para obtener acceso a la aplicación web. Agregue nuevos puntos de acceso sólo cuando sean necesarios.

  • Si desea que el contenido de la aplicación web se incluya en los resultados de las búsquedas, asegúrese de que al menos una zona esté configurada para usar la autenticación NTLM. El componente de indización necesita la autenticación NTLM para rastrear el contenido. No cree una zona dedicada para el componente de indización a menos que sea necesario.

Selección de métodos de autenticación permitidos en el entorno

Además de entender cómo se configura la autenticación, la planeación para la autenticación implica:

  • Considerar el contexto o el entorno de seguridad de la aplicación web en Windows SharePoint Services 3.0.

  • Evaluar las recomendaciones y las desventajas de cada método.

  • Entender cómo Windows SharePoint Services 3.0 copia en memoria caché y consume las credenciales de usuario y los datos de identidad relacionados.

  • Entender cómo se administran las cuentas de usuario.

  • Asegurarse de que los métodos de autenticación sean compatibles con los exploradores que usan los usuarios.

Acción de hoja de trabajo

Use la hoja de trabajo de métodos de autenticación (https://office.microsoft.com/search/redir.aspx?AssetID=AM101587611033) para identificar los métodos de autenticación para los que está dispuesto a ofrecer compatibilidad en su entorno y registre sus decisiones y recomendaciones para cada uno. Esta hoja de trabajo se usará al planear métodos de autenticación para aplicaciones web individuales en Windows SharePoint Services 3.0.

Recomendaciones para entornos de seguridad específicos

La elección de los métodos de autenticación depende sobre todo del contexto de seguridad de cada aplicación. En la siguiente tabla se proporcionan recomendaciones basadas en los entornos de seguridad más comunes:

Entorno Consideraciones

Intranet interna

Como mínimo, proteja las credenciales de los usuarios para que no queden a plena vista. Sírvase del sistema de administración de usuarios implementado en su entorno. Si Active Directory está implementado, use los métodos de autenticación de Windows integrados en IIS.

Colaboración externa segura

Configure zonas separadas para cada compañía asociada que se conecte al sitio. Use el SSO web para la autenticación en el sistema de administración de identidades de cada socio. Así se evita tener que crear cuentas en su propio sistema de administración de identidades y se garantiza que las identidades de los colaboradores siguen manteniéndolas y validándolas los empleados del socio. Si un colaborador ya no trabaja para una compañía asociada, ya no podrá obtener acceso a su aplicación de socio.

Anónimo externo

Habilite el acceso anónimo (sin autenticación) y habilite permisos de solo lectura para los usuarios que se conectan desde Internet. Si desea proporcionar contenido dirigido o basado en funciones, puede usar la autenticación de formularios de ASP.NET para registrar usuarios mediante una base de datos simple de nombres de usuario y funciones. Use el proceso de registro para identificar usuarios por función (como doctor, paciente o farmacéutico). Cuando los usuarios inicien sesión, el sitio puede presentar contenido específico para la función de usuario. En esta situación, la autenticación no se usa para validar credenciales ni limitar quién puede obtener acceso al contenido; el proceso de autenticación simplemente constituye un método para dirigir contenido.

Recomendaciones y desventajas de los métodos de autenticación

Entender las ventajas, recomendaciones y desventajas de cada método de autenticación en particular puede ayudarle a determinar qué métodos debe usar en su entorno. En la siguiente tabla se ponen de relieve las recomendaciones y las desventajas de cada método de autenticación. Para obtener más información acerca de cada uno de los métodos de autenticación de Windows que admite IIS, vea Autenticación de IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0xC0A).

Método de autenticación Ventajas y recomendaciones Desventajas

Windows

  • Realice la autenticación por medio de las cuentas de Active Directory existentes.

  • Simplifique la administración de usuarios.

  • Aproveche los grupos de Active Directory al configurar la autorización de Windows SharePoint Services 3.0.

  • Evite escribir código personalizado.

  • Cada uno de los métodos tiene ventajas y desventajas.

  • Algunos protocolos de autenticación de IIS no son compatibles con todos los exploradores web.

Formularios de ASP.NET

  • Instale Windows SharePoint Services 3.0 en un entorno que no use Active Directory (no requiere cuentas de Windows).

  • Realice la autenticación con dos o más sistemas de administración de identidades distintos al crear aplicaciones de socio.

  • Implemente un esquema de autenticación personalizado usando criterios arbitrarios.

  • Autentique a los usuarios procedentes de Internet.

  • Requiere personalizar el archivo Web.config file.

  • Sujeto a ataques de reproducción durante la vida de la cookie, a menos que se use SSL Seguridad de la capa de transporte (TLS).

SSO web

  • Implemente Windows SharePoint Services 3.0 en un entorno que use la autenticación federada para proteger las identidades digitales en todas las organizaciones y entornos de seguridad.

  • Implemente Windows SharePoint Services 3.0 en un entorno que proporcione SSO a los servicios que se ejecutan en plataformas distintas, incluidos los entornos que no usan Active Directory.

  • Aproveche AD FS.

  • Realice la autenticación con dos o más sistemas de administración de identidades distintos al crear aplicaciones de socio.

  • Requiere un sistema de autenticación federado existente.

  • Requiere personalizar el archivo Web.config file.

  • AD FS requiere SSL. Es posible que otros sistemas con SSO tengan otros requisitos.

Administración de la información de identidad de usuarios

El modo en que Windows SharePoint Services 3.0 usa y procesa las credenciales de los usuarios y otra información de identidad puede influir en su decisión sobre qué opciones de autenticación son mejores para sus propósitos. En esta sección se explica cómo se procesa la información de identidad de usuarios en las siguientes categorías:

  • Identificadores binarios   Modo en que Windows SharePoint Services 3.0 crea o usa identificadores binarios de usuarios.

  • Almacenamiento en memoria caché   Proceso según el cual se conserva la identidad del usuario durante un período de tiempo para evitar repetir el proceso de autenticación para cada solicitud.

  • Pertenencia a grupos y funciones   Además de determinar quién son los usuarios, el proceso de autenticación también determina las funciones o los grupos a los que pertenecen. Esta información se usa durante el proceso de autorización para determinar qué acciones tiene permisos para realizar cada usuario. Al llevar a cabo la autorización, Windows SharePoint Services 3.0 trata los grupos de Active Directory y las funciones de ASP.NET como un mismo tipo de entidad.

En la siguiente tabla se explica cómo administra Windows SharePoint Services 3.0 los identificadores binarios, los datos de usuario en memoria caché y los datos de pertenencia a grupos y funciones dependiendo del método de autenticación usado:

Elemento Autenticación de Windows Formularios de ASP.NET y SSO web

Identificadores binarios

Windows SharePoint Services 3.0 usa el identificador de seguridad de Windows (SID).

Windows SharePoint Services 3.0 crea un identificador binario único combinando el nombre de proveedor con el nombre de usuario.

Almacenamiento en memoria caché

IIS, Internet Explorer y Windows copian en memoria caché y administran las credenciales de los usuarios.

ASP.NET usa una cookie cifrada para conservar las credenciales del usuario mientras dure la sesión.

Pertenencia a grupos y funciones

Windows mantiene una lista de los grupos de dominio de Active Directory a los que pertenece el usuario en el token de acceso. Windows SharePoint Services 3.0 usa información almacenada en el token de acceso.

Cuando se registra un administrador de funciones, Windows SharePoint Services usa la interfaz de administrador de funciones estándar para recopilar información de grupo del usuario actual. El proceso de autorización trata cada función de ASP.NET como un grupo de dominio. ASP.NET puede almacenar las funciones a las que pertenece el usuario en una cookie, dependiendo de la configuración establecida en el archivo Web.config.

Administración de cuentas de usuario

Entender cómo realiza Windows SharePoint Services 3.0 las típicas tareas de administración de cuentas de usuario también puede influir en el método de autenticación que se elige. Por lo general, los usuarios que son miembros de un proveedor de autenticación en una zona pueden administrar cuentas en todas las zonas siempre que se les concedan permisos. La información de la lista siguiente es aplicable independientemente del método de autenticación que se implemente:

  • Adición e invitación de nuevos usuarios   Puede agregar o invitar a un nuevo usuario desde cualquier zona y todos los métodos de autenticación configurados si el proveedor de pertenencia y el administrador de funciones están registrados en el archivo Web.config actual. Al agregar un nuevo usuario, Windows SharePoint Services 3.0 resuelve el nombre de usuario con los siguientes recursos y en el siguiente orden:

    • La tabla UserInfoList que almacena Windows SharePoint Services 3.0. La información del usuario estará en esta lista si los usuarios ya se agregaron a otro sitio.

    • El proveedor de autenticación configurado para la zona actual. Por ejemplo si un usuario es miembro del proveedor de autenticación configurado para la zona predeterminada, Windows SharePoint Services 3.0 comprueba primero este proveedor de pertenencia asociado.

    • Todos los demás proveedores de autenticación.

  • Eliminación de usuarios   Las cuentas de usuario están marcadas como eliminadas en la base de datos de Windows SharePoint Services 3.0. Sin embargo, el registro del usuario no se quita.

Algunos comportamientos de administración de cuentas de usuario en Windows SharePoint Services 3.0 difieren dependiendo del proveedor de autenticación. En la siguiente tabla se ponen de relieve varias tareas de cuentas de usuario comunes que difieren según el método de autenticación que se implemente:

Tarea Cuentas autenticadas por Windows Cuentas autenticadas por formularios de ASP.NET y autenticadas por SSO web

Adición e invitación de nuevos usuarios

Windows SharePoint Services 3.0 valida las identidades de usuario por medio de Active Directory.

Windows SharePoint Services 3.0 llama al proveedor de pertenencia y al administrador de funciones para comprobar que el usuario y las funciones existen.

Cambios en nombres de inicio de sesión

Los nombres de usuario actualizados son reconocidos automáticamente por Windows SharePoint Services 3.0. Las nuevas entradas no se agregan a la tabla UserInfoList.

Debe eliminar el nombre de cuenta anterior y, a continuación, agregar el nuevo nombre de cuenta. Los permisos no se pueden migrar.

Inicio de sesión

Si se usa la autenticación integrada de Windows (Kerberos o NTLM) y el explorador está configurado para iniciar sesión automáticamente, los usuarios no tienen que iniciar sesión en los sitios de SharePoint manualmente. De manera predeterminada, Internet Explorer está configurado para iniciar sesión en los sitios de la intranet automáticamente. Si se requiere iniciar sesión (por ejemplo, en sitios que requieren otras credenciales), sólo se pide a los usuarios un nombre de usuario y una contraseña. Sin embargo, si se usa la autenticación básica o si el usuario está usando un explorador no configurado para iniciar sesión automáticamente, es posible que se pida a los usuarios sus credenciales de inicio de sesión cuando obtengan acceso a un sitio de SharePoint.

Windows SharePoint Services 3.0 proporciona una página de inicio de sesión estándar para su uso con la autenticación de formularios. Esta página incluye los siguientes campos: Nombre de usuario, Contraseña e Iniciar sesión automáticamente (para conservar la cookie). Puede crear su propia página de inicio de sesión para agregar más controles de inicio de sesión (por ejemplo, Crear nueva cuenta o Restablecer contraseña).

Compatibilidad con exploradores

No todos los exploradores funcionan con cada uno de los métodos de autenticación admitidos. Antes de seleccionar los métodos de autenticación que se permitirán en su entorno, determine para qué exploradores necesita proporcionar compatibilidad. A continuación, determine qué métodos de autenticación admiten los exploradores. Internet Explorer funciona con todos los métodos de autenticación admitidos. Entre los otros exploradores compatibles con Windows SharePoint Services 3.0 se encuentran:

  • Netscape 8,0

  • Netscape 7.2

  • Mozilla 1.7.12

  • Firefox 1.5

  • Safari 2.02

Hoja de trabajo

Use la siguiente hoja de trabajo para registrar los métodos de autenticación que son adecuados para su entorno:

La tabla siguiente constituye un ejemplo de una hoja de trabajo completada:

Método de autenticación Permitir No permitir Notas y recomendaciones

Anónimos

x

Básica

x

Implícita

x

Certificados

x

NTLM (integrada de Windows)

x

*"Usar NTLM para todos los sitios de departamentos excepto el de finanzas."*

Kerberos (integrada de Windows)

x

*"Usar la autenticación Kerberos para los sitios con un contrato de nivel de servicio de alta seguridad."*

Formularios de ASP.NET

x

*"Usar la autenticación de formularios para permitir a las compañías asociadas el acceso a sitios hospedados en la extranet de socio. Actualmente se permite la autenticación con los siguientes sistemas de administración de identidades: Active Directory, LDAP. Colaborar con Sidney Higa para desarrollar opciones de configuración de autenticación para su uso con la autenticación de formularios."*

SSO web

x

*"Usar este método para aplicaciones de socio sólo si una compañía asociada participa en sistemas de administración de identidades federados. Consultar a David Jones para obtener más información."*

Notas adicionales: "Colaborar con Denise Smith para aprobar todas las opciones de configuración de autenticación para aplicaciones web de SharePoint Web antes de implementarlas."

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.