Planeación de métodos de autenticación (Office SharePoint Server)
En este artículo:
Acerca de la autenticación
Métodos de autenticación compatibles
Configuración de la autenticación
Planeación de la autenticación para el rastreo de contenido
Planeación de zonas para el diseño de autenticación
Selección de métodos de autenticación permitidos en el entorno
Hoja de trabajo
Este artículo describe los métodos de autenticación compatibles con Microsoft Office SharePoint Server 2007. Tras leer el artículo, podrá:
Entender cómo se implementa la autenticación en Office SharePoint Server 2007.
Identificar los métodos de autenticación adecuados para su entorno.
Acerca de la autenticación
La autenticación es el proceso de validar la identidad de un usuario. Después de validar la identidad de un usuario, el proceso de autorización determina los sitios, el contenido y demás características a los que puede obtener acceso el usuario.
En Office SharePoint Server 2007, Internet Information Services (IIS) realiza el proceso de autenticación. Después de que IIS haya autenticado a los usuarios, las características de seguridad de Office SharePoint Server 2007 llevan a cabo el proceso de autorización.
Para obtener más información acerca de cómo implementar la autorización en Office SharePoint Server 2007, vea Planeación de la seguridad del sitio y el contenido (Office SharePoint Server).
La planeación de la autenticación es importante no sólo para proteger la solución mediante la validación de las identidades de los usuarios, sino también para proteger las credenciales de los usuarios en la red.
Métodos de autenticación compatibles
Office SharePoint Server 2007 proporciona un sistema de autenticación extensible y flexible que admite la autenticación para sistemas de administración de identidades basados o no en el sistema operativo Microsoft Windows. Al integrarse con la autenticación acoplable de ASP.NET, Office SharePoint Server 2007 admite diversos esquemas de autenticación basados en formularios. La compatibilidad con la autenticación presente en Office SharePoint Server 2007 permite diversos escenarios de autenticación, entre ellos:
Uso de métodos de autenticación de Windows estándar.
Uso de una base de datos simple de nombres de usuario y contraseñas.
Conexión directa al sistema de administración de identidades de una organización.
Uso de dos o más métodos de autenticación para obtener acceso a las aplicaciones de un asociado (por ejemplo, posibilidad de conectarse al sistema de administración de identidades de la compañía asociada, a través del cual se autentican los empleados del asociado y, al mismo tiempo, usar los métodos de autenticación de Windows para la autenticación de sus empleados internos).
Participación en sistemas de administración de identidades federados.
La tabla siguiente enumera los métodos de autenticación admitidos:
| Método de autenticación | Descripción | Ejemplos |
|---|---|---|
Windows |
Se admiten los métodos de autenticación de Windows estándar de IIS. |
|
Formularios de ASP.NET |
Office SharePoint Server 2007 agrega compatibilidad con los sistemas de administración de identidades que no están basados en Windows gracias a su integración con el sistema de autenticación mediante formularios de ASP.NET. La autenticación de ASP.NET permite a Office SharePoint Server 2007 trabajar con sistemas de administración de identidades que implementan la interfaz MembershipProvider. No es necesario volver a escribir las páginas de administración de seguridad ni administrar las cuentas del servicio de directorio de Active Directory secundarias. |
|
Inicio de sesión web único |
Office SharePoint Server 2007 admite la autenticación federada a través de proveedores de inicio de sesión web único. El inicio de sesión web único habilita el inicio de sesión único en entornos que incluyen servicios que se ejecutan en plataformas distintas. No es necesario administrar cuentas de Active Directory separadas. |
|
Autenticación de cuentas del sistema
La autenticación mediante formularios de ASP.NET y el inicio de sesión web único se pueden usar para autenticar sólo cuentas de usuario. Las cuentas de proceso usadas para conectarse al software de la base de datos de Microsoft SQL Server y ejecutar la granja de servidores web deben ser cuentas de Windows, incluso si se usan métodos de autenticación alternativos para autenticar a los usuarios.
Office SharePoint Server 2007 admite la autenticación de SQL Server y las cuentas de proceso de equipos locales para granjas de servidores que no ejecutan Active Directory. Por ejemplo, puede implementar cuentas locales con nombres de usuario y contraseñas idénticos en todos los servidores de una granja.
Configuración de la autenticación
Aunque configurar la autenticación de Windows es un proceso sencillo, configurar la autenticación para que use formularios de ASP.NET o el inicio de sesión web único requiere una mayor planeación. En esta sección se proporciona un resumen acerca de cómo se configura la autenticación en Office SharePoint Server 2007. Esta información le ayudará a entender cómo preparar una estrategia de autenticación para cada solución y a determinar a quién es necesario involucrar dentro de su organización en la planeación de la autenticación.
Configuración de la autenticación para aplicaciones web de SharePoint
La autenticación en Office SharePoint Server 2007 se configura en el nivel de aplicación web de SharePoint. El siguiente diagrama muestra una granja de servidores de Windows SharePoint Services configurada para hospedar sitios de varias compañías. La autenticación se configura por separado para cada una de las compañías.
.gif "Autenticación de hospedaje para dos empresas distintas")
Cuando crea o extiende una aplicación web inicialmente, se le presenta un número limitado de opciones de autenticación (Kerberos, NTLM y anónima). Si va a usar uno de estos métodos, puede configurar la autenticación al crear o extender la aplicación web.
La siguiente ilustración muestra las opciones de autenticación limitadas que están disponibles cuando se crea o extiende inicialmente una aplicación web:
.gif "Configuración de autenticación predeterminada")
Sin embargo, si va a usar una configuración de autenticación distinta, seleccione las opciones de autenticación predeterminadas y configure la autenticación después de crear o extender la aplicación web. (Para hacerlo, en Administración central, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, seleccione Proveedores de autenticación y haga clic en la zona para abrir la página Editar autenticación.) Las opciones que se configuran en esta página dependen del tipo de autenticación que se seleccione: Windows, formularios o inicio de sesión web único.
La siguiente ilustración muestra la página Editar autenticación:
.gif "Página de edición de autenticación")
Dependiendo de las opciones de autenticación que seleccione en Administración central, es posible que necesite establecer opciones de configuración adicionales. En la tabla siguiente se resumen los pasos de configuración según el método de autenticación. En ella también se indica si se necesitan funciones especializadas además de Administrador de SharePoint.
| Método de autenticación | Configuración adicional | Funciones especializadas |
|---|---|---|
Anónima |
Ninguna |
Ninguna |
Básica |
Ninguna |
Ninguna |
Implícita |
Configure la autenticación implícita directamente en IIS. |
Ninguna |
Certificados |
|
Administrador de Windows Server 2003, para obtener y configurar certificados |
NTLM (integrada de Windows) |
Ninguna |
Ninguna |
Kerberos (integrada de Windows) |
|
Administrador de IIS |
Formularios |
|
|
Inicio de sesión web único |
Además de los pasos de configuración necesarios para la autenticación mediante formularios de ASP.NET, registre un módulo HTTP para el proveedor del inicio de sesión único web. |
|
Conexión a sistemas de administración de identidades que son externos o que no están basados en Windows
Para usar formularios de ASP.NET o el inicio de sesión web único para autenticar usuarios en un sistema de administración de identidades que no está basado en Windows o que es externo, debe registrar el proveedor de pertenencia en el archivo Web.config. Además de registrar un proveedor de pertenencia, también puede registrar un administrador de funciones. Office SharePoint Server 2007 usa una interfaz de administrador de funciones de ASP.NET estándar para recopilar información de grupo acerca del usuario actual. El proceso de autorización de Office SharePoint Server 2007 trata cada función de ASP.NET como un grupo de dominio. Los administradores de funciones se registran en el archivo Web.config del mismo modo que se registran los proveedores de pertenencia para la autenticación.
Si desea administrar funciones y usuarios suscritos desde el sitio de Administración central, tiene la opción de registrar el proveedor de pertenencia y el administrador de funciones en el archivo Web.config del sitio de Administración central (además de registrarlos en el archivo Web.config de la aplicación web que hospeda el contenido).
Asegúrese de que el nombre del proveedor de pertenencia y el nombre del administrador de funciones que registró en el archivo Web.config coinciden con el nombre que especificó en la página .aspx de autenticación de Administración central. Si no indica el administrador de funciones en el archivo Web.config, es posible que en su lugar se use el proveedor predeterminado especificado en el archivo machine.config.
Por ejemplo, la siguiente cadena de un archivo Web.config especifica un proveedor de pertenencia de SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obtener más información acerca del uso de la autenticación mediante formularios de ASP.NET para conectarse a un proveedor de autenticación de SQL Server, vea Ejemplos de autenticación.
Finalmente, si va a usar el SSO web para conectarse a un sistema de administración de identidades externo, también debe registrar un módulo HTTP para el SSO web. Un módulo HTTP es un ensamblado que se llama en cada solicitud realizada a su aplicación. Los módulos HTTP se llaman como parte de la canalización de solicitudes de ASP.NET. Para obtener más información, vea el artículo Introducción a módulos HTTP (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0xC0A).
La integración con la autenticación mediante formularios de ASP.NET implica requisitos adicionales para el proveedor de autenticación. Además de registrar los distintos elementos en el archivo Web.config, es necesario programar el proveedor de pertenencia, el administrador de funciones y el módulo HTTP para que interactúen con los métodos de Office SharePoint Server 2007 y ASP.NET, tal como se indica en la tabla siguiente:
| Categoría | Descripción |
|---|---|
Proveedor de pertenencia |
Para que funcione con Office SharePoint Server 2007, el proveedor de pertenencia debe implementar los métodos siguientes:
|
Administrador de funciones |
El administrador de funciones debe implementar los métodos siguientes:
|
Módulo HTTP |
El módulo HTTP debe administrar los siguientes eventos:
|
Habilitación del acceso anónimo
Puede habilitar el acceso anónimo para una aplicación web además de configurar un método de autenticación más seguro. Con esta configuración, los administradores de sitios de la aplicación web pueden permitir el acceso anónimo. Si los usuarios anónimos desean obtener acceso a funcionalidad y recursos protegidos, pueden hacer clic en un botón de inicio de sesión para enviar sus credenciales.
Uso de distintos métodos de autenticación para obtener acceso a un sitio
Puede configurar las aplicaciones web de Office SharePoint Server 2007 de modo que puedan obtener acceso a ellas hasta cinco métodos de autenticación o sistemas de administración de identidades diferentes. La siguiente ilustración muestra una aplicación de asociado configurada para que obtengan acceso a ella los usuarios de dos sistemas de administración de identidades distintos. Los empleados internos se autentican por medio de uno de los métodos de autenticación de Windows estándar. Los empleados de la compañía asociada se autentican con su propio sistema de administración de identidades de la compañía.
.gif "Diagrama de administración de opciones de autenticación")
Para configurar una aplicación web para que obtengan acceso a ella dos o más sistemas de autenticación distintos, debe configurar zonas adicionales para la aplicación web. Las zonas representan distintas rutas lógicas para obtener acceso a la misma aplicación física. Con la típica aplicación de asociado, los empleados de una compañía asociada obtienen acceso a la aplicación a través de Internet, mientras que los empleados internos lo hacen directamente a través de la intranet.
Para crear una nueva zona, extienda la aplicación web. En la página Extender una aplicación web a otro sitio web de IIS, en la sección Dirección URL de carga equilibrada, especifique la dirección URL y el tipo de zona. El tipo de zona es simplemente un nombre de categoría que se aplica a la zona y no afecta a la configuración de la misma.
Después de extender la aplicación web, puede configurar otro método de autenticación para la nueva zona. La siguiente ilustración muestra la página Proveedores de autenticación para una aplicación web configurada mediante dos zonas distintas. La zona predeterminada es la zona que usan los empleados internos. La zona de Internet está configurada para el acceso de asociados y usa formularios de ASP.NET para autenticar a los empleados de la compañía asociada con su sistema de administración de identidades.
.gif "Aplicación web configurada con dos zonas")
Planeación de la autenticación para el rastreo de contenido
Para realizar rastreos correctos del contenido de una aplicación web, debe comprender los requisitos de autenticación del componente de índice del servidor de índices (también conocido como rastreador). En esta sección se describe cómo configurar la autenticación de aplicaciones web para asegurarse de que el contenido de éstas pueda rastrearse correctamente.
Cuando el administrador de una granja de servidores crea una aplicación web con todas las opciones de configuración predeterminadas, la zona predeterminada para esta aplicación web queda configurada para usar NTLM. El administrador de la granja de servidores puede cambiar el método de autenticación para la zona predeterminada a cualquier método de autenticación admitido por Office SharePoint Server 2007.
El administrador de la granja de servidores también puede extender una aplicación web una o varias veces para habilitar más zonas. Se pueden asociar hasta cinco zonas con una aplicación web determinada, y cada zona se puede configurar para usar cualquier método de autenticación admitido por Office SharePoint Server 2007.
De forma predeterminada, el rastreador usa NTLM para rastrear contenido. El administrador de un servicio de búsqueda también puede crear una regla de rastreo a fin de configurar el rastreador para que use un método de autenticación diferente, como la autenticación básica o un certificado de cliente, en lugar de NTLM, cuando rastrea un intervalo determinado de direcciones. Para obtener más información acerca de las reglas de rastreo, vea Planeación del rastreo de contenido (Office SharePoint Server).
Orden en el que obtiene acceso a las zonas el rastreador
A la hora de planear las zonas para una aplicación web, se debe tener en cuenta el orden de sondeo con el que el rastreador tiene acceso a las zonas en los intentos de autenticación. El orden de sondeo es importante ya que, si el rastreador encuentra una zona configurada para aplicar la autenticación implícita o Kerberos y que no usa un puerto estándar (80 ó 443), se produce un error de autenticación y el rastreador no intenta tener acceso a la siguiente zona en el orden de sondeo. Si esto ocurre, el rastreador no rastreará el contenido de la aplicación web.
Sugerencia
Asegúrese de que el método de autenticación configurado para el rastreador es anterior en el orden de sondeo a una zona configurada para Kerberos que usa un puerto que no es estándar o autenticación implícita.
El rastreador sondea las zonas en el siguiente orden:
Zona predeterminada
Zona de intranet
Zona de Internet
Zona personalizada
Zona de extranet
La siguiente ilustración muestra las decisiones que toma el sistema de autenticación cuando el rastreador intenta autenticarse:
Cómo sondea las zonas el rastreador
.gif "Orden de sondeo usado por el rastreador")
En la tabla siguiente se describen las acciones asociadas a cada leyenda de la ilustración:
| Leyenda | Acción |
|---|---|
1 |
El rastreador intenta autenticarse mediante la zona predeterminada. Nota El rastreador siempre intenta usar la zona predeterminada en primer lugar cuando intenta autenticarse. |
2 |
Si los métodos de autenticación configurados para el rastreador y para la zona son los mismos, el rastreador se autentica y pasa a la fase de autorización. De lo contrario, continúe con el paso 3. |
3 |
Si la zona está configurada para la autenticación Kerberos, vaya al paso 4. De lo contrario, continúe con el paso 5. |
4 |
Si la zona está configurada para usar el puerto 80 o el puerto 443, el rastreador de datos se autentica y continúa con la fase de autorización. De lo contrario, se produce un error en la autenticación y el rastreador no intenta autenticarse mediante otra zona. Esto significa que no se rastrea el contenido. |
5 |
Si no hay más zonas en el orden de sondeo, se produce un error en la autenticación y no se rastrea el contenido. De lo contrario, continúe con el paso 6. |
6 |
El rastreador de datos intenta autenticar usando la siguiente zona en el orden de sondeo. Vuelva al paso 2. |
Si configura la zona predeterminada para usar un método de autenticación que no es compatible con el rastreador (por ejemplo, inicio de sesión web único), debe crear al menos una zona adicional y configurarla para usar certificados, autenticación básica, Kerberos con un puerto estándar o NTLM. Si se usan certificados o la autenticación básica para rastrear la aplicación web, el administrador del servicio de búsqueda debe crear una regla de rastreo a fin de configurar el rastreador para que use el método de autenticación adecuado al rastrear la aplicación web. Contemplemos el siguiente escenario.
Escenario de autenticación
El administrador de la granja de servidores crea una aplicación web y la configura para usar la autenticación mediante formularios. El administrador de la granja desea que se realice la indización y el rastreo del contenido de la aplicación web, y sabe que el rastreador requiere una zona configurada con NTLM, autenticación básica o certificados; por lo tanto, extiende la aplicación web y configura la zona de intranet para que use NTLM.
Cuando el rastreador intenta autenticarse usando la zona predeterminada, el sistema de autenticación descubre que el rastreador y la zona no están configurados para usar el mismo método de autenticación. Puesto que la zona no está configurada para la autenticación Kerberos mediante puerto estándar o autenticación implícita y que hay al menos una zona adicional en el orden de sondeo, el rastreador intenta autenticarse a través de la zona de intranet. Como la zona de intranet está configurada para usar NTLM y que el rastreador también usa NTLM, de forma predeterminada la autenticación se realiza correctamente.
Tenga en cuenta que si el administrador de la granja de servidores hubiera configurado la zona de intranet para la autenticación básica en lugar de NTLM, el administrador del servicio de búsqueda debería crear una regla de rastreo a fin de configurar el rastreador para que use la autenticación básica al rastrear esa aplicación web en particular. De lo contrario, se produciría un error de autenticación y no se podría rastrear el contenido. Del mismo modo, si el administrador de la granja de servidores hubiera configurado la zona de intranet para usar un certificado de cliente, el administrador del servicio de búsqueda debería crear una regla de rastreo a fin de configurar el rastreador para que use un certificado de cliente al rastrear la aplicación web. Además, un administrador del servidor debería registrar el certificado de cliente en el servidor de índices; de lo contrario, se produciría un error de autenticación y no se podría rastrear el contenido.
Sugerencia
La planeación eficaz de la autenticación para aplicaciones web y la planeación del rastreo del contenido incluido en las aplicaciones web, requieren la colaboración entre los administradores de granjas de servidores que crean las aplicaciones web y los administradores del servicio de búsqueda que configuran el rastreador.
Recuerde que si configura una zona para usar la autenticación básica o certificados y desea que el rastreador se autentique mediante el uso de esa zona, el administrador del servicio de búsqueda debe crear una regla de rastreo a fin de configurar el rastreador para que use el mismo método de autenticación que la zona que se desea usar para la autenticación. De lo contrario, el rastreador intenta usar la siguiente zona disponible.
Además de configurar correctamente el método de autenticación, debe asegurarse de que el rastreador esté autorizado para rastrear contenido en la aplicación web. El administrador del servicio de búsqueda debe garantizar que la cuenta de acceso al contenido tenga el nivel de permisos de lectura para el contenido al que se tiene acceso mediante esta zona. Para ello, los administradores de la granja de servidores deben crear una directiva que conceda a la cuenta de acceso al contenido el nivel de permisos de lectura para una aplicación web en particular.
Planeación de zonas para el diseño de autenticación
Si tiene previsto implementar más de un método de autenticación para una aplicación web por medio de zonas, siga estas pautas:
Use la zona predeterminada para implementar la configuración de autenticación más segura. Si no se puede asociar una solicitud con una zona específica, se aplican la configuración de autenticación y otras directivas de seguridad de la zona predeterminada. La zona predeterminada es la zona que se crea cuando se crea una aplicación web inicialmente. Normalmente, la configuración de autenticación más segura está diseñada para el acceso de usuarios finales. Por tanto, es probable que la zona predeterminada sea la zona a la que obtengan acceso los usuarios finales.
Use el número de zonas mínimo que requiera la aplicación. Cada zona se asocia a nuevo dominio y sitio de IIS para obtener acceso a la aplicación web. Agregue nuevos puntos de acceso sólo cuando sean necesarios.
Si desea que el contenido de la aplicación web se incluya en los resultados de las búsquedas, asegúrese de que al menos una zona esté configurada para usar la autenticación NTLM. El componente de indización necesita la autenticación NTLM para rastrear el contenido. No cree una zona dedicada para el componente de indización a menos que sea necesario.
Selección de métodos de autenticación permitidos en el entorno
Además de entender cómo se configura la autenticación, la planeación para la autenticación implica:
Considerar el contexto o el entorno de seguridad de la aplicación web en Office SharePoint Server 2007.
Evaluar las recomendaciones y las desventajas de cada método.
Entender cómo Office SharePoint Server 2007 almacena en caché y usa las credenciales de usuario y los datos de identidad relacionados.
Entender cómo se administran las cuentas de usuario.
Asegurarse de que los métodos de autenticación sean compatibles con los exploradores que usan los usuarios.
| Actividad de hoja de trabajo |
|---|
Use la hoja de trabajo de métodos de autenticación (en inglés) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0xC0A) (en inglés) para identificar los métodos de autenticación a los que desea ofrecer compatibilidad en su entorno y registre las decisiones y recomendaciones para cada uno. Esta hoja se usará al planear métodos de autenticación para aplicaciones web individuales en Office SharePoint Server 2007. |
Recomendaciones para entornos de seguridad específicos
La elección de los métodos de autenticación depende sobre todo del contexto de seguridad de cada aplicación. En la siguiente tabla se proporcionan recomendaciones basadas en los entornos de seguridad más comunes:
| Entorno | Consideraciones |
|---|---|
Intranet interna |
Como mínimo, proteja las credenciales de los usuarios para que no queden a plena vista. Sírvase del sistema de administración de usuarios implementado en su entorno. Si Active Directory está implementado, use los métodos de autenticación de Windows integrados en IIS. |
Colaboración externa segura |
Configure zonas separadas para cada compañía asociada que se conecte al sitio. Use el inicio de sesión web único para la autenticación en el sistema de administración de identidades de cada asociado. Así se evita tener que crear cuentas en su propio sistema de administración de identidades y se garantiza que las identidades de los colaboradores siguen manteniéndolas y validándolas los empleados de la compañía asociada. Si un colaborador ya no trabaja para una compañía asociada, ya no podrá obtener acceso a su aplicación de asociados. |
Anónimo externo |
Habilite el acceso anónimo (sin autenticación) y habilite permisos de solo lectura para los usuarios que se conectan desde Internet. Si desea proporcionar contenido dirigido o basado en funciones, puede usar la autenticación mediante formularios de ASP.NET para registrar usuarios mediante una base de datos simple de nombres de usuario y funciones. Use el proceso de registro para identificar usuarios por función (como doctor, paciente o farmacéutico). Cuando los usuarios inicien sesión, el sitio puede presentar contenido específico para la función de usuario. En esta situación, la autenticación no se usa para validar credenciales ni limitar quién puede obtener acceso al contenido; el proceso de autenticación simplemente constituye un método para dirigir contenido. |
Recomendaciones y desventajas de los métodos de autenticación
Entender las ventajas, recomendaciones y desventajas de cada método de autenticación en particular puede ayudarle a determinar qué métodos debe usar en su entorno. En la siguiente tabla se ponen de relieve las recomendaciones y las desventajas de cada método de autenticación. Para obtener más información acerca de los métodos de autenticación de Windows compatibles con IIS, vea el artículo Autenticación en IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0xC0A).
| Método de autenticación | Ventajas y recomendaciones | Desventajas |
|---|---|---|
Windows |
|
|
Formularios de ASP.NET |
|
|
Inicio de sesión web único |
|
|
Administración de la información de identidad de usuarios
El modo en que Office SharePoint Server 2007 usa y procesa las credenciales de los usuarios y otra información de identidad puede influir en su decisión sobre qué opciones de autenticación son mejores para sus propósitos. En esta sección se explica cómo se procesa la información de identidad de usuarios en las siguientes categorías:
Identificadores binarios Modo en que Office SharePoint Server 2007 crea o usa identificadores binarios de usuarios.
Almacenamiento en caché Proceso según el cual se conserva la identidad del usuario durante un período de tiempo para evitar repetir el proceso de autenticación para cada solicitud.
Pertenencia a grupos y funciones Además de determinar quién son los usuarios, el proceso de autenticación también determina las funciones o los grupos a los que pertenecen. Esta información se usa durante el proceso de autorización para determinar qué acciones tiene permisos para realizar cada usuario. Al llevar a cabo la autorización, Office SharePoint Server 2007 trata los grupos de Active Directory y las funciones de ASP.NET como un mismo tipo de entidad.
En la siguiente tabla se explica cómo administra Office SharePoint Server 2007 los identificadores binarios, los datos de usuario en caché y los datos de pertenencia a grupos y funciones dependiendo del método de autenticación usado:
| Elemento | Autenticación de Windows | Formularios de ASP.NET e inicio de sesión web único |
|---|---|---|
Identificadores binarios |
Office SharePoint Server 2007 usa el identificador de seguridad de Windows (SID). |
Office SharePoint Server 2007 crea un identificador binario único combinando el nombre de proveedor con el nombre de usuario. |
Almacenamiento en caché |
IIS, Internet Explorer y Windows almacenan en caché y administran las credenciales de los usuarios. |
ASP.NET usa una cookie cifrada para conservar las credenciales del usuario mientras dure la sesión. |
Pertenencia a grupos y funciones |
Windows mantiene una lista de los grupos de dominio de Active Directory a los que pertenece el usuario en el token de acceso. Office SharePoint Server 2007 usa la información almacenada en el token de acceso. |
Cuando se registra un administrador de funciones, Windows SharePoint Services usa la interfaz de administrador de funciones estándar para recopilar información de grupo del usuario actual. El proceso de autorización trata cada función de ASP.NET como un grupo de dominio. ASP.NET puede almacenar las funciones a las que pertenece el usuario en una cookie, dependiendo de la configuración establecida en el archivo Web.config. |
Administración de cuentas de usuario
Entender cómo realiza Office SharePoint Server 2007 las típicas tareas de administración de cuentas de usuario también puede influir en el método de autenticación que se elige. Por lo general, los usuarios que son miembros de un proveedor de autenticación en una zona pueden administrar cuentas en todas las zonas siempre que se les concedan permisos. La información de la lista siguiente es aplicable independientemente del método de autenticación que se implemente:
Adición e invitación de nuevos usuarios Puede agregar o invitar a un nuevo usuario desde cualquier zona y todos los métodos de autenticación configurados si el proveedor de pertenencia y el administrador de funciones están registrados en el archivo Web.config actual. Al agregar un nuevo usuario, Office SharePoint Server 2007 resuelve el nombre de usuario con los siguientes recursos y en el siguiente orden:
La tabla UserInfoList que almacena Office SharePoint Server 2007. La información del usuario estará en esta lista si los usuarios ya se agregaron a otro sitio.
El proveedor de autenticación configurado para la zona actual. Por ejemplo si un usuario es miembro del proveedor de autenticación configurado para la zona predeterminada, Office SharePoint Server 2007 comprueba primero este proveedor de pertenencia asociado.
Todos los demás proveedores de autenticación.
Eliminación de usuarios Las cuentas de usuario están marcadas como eliminadas en la base de datos de Office SharePoint Server 2007. Sin embargo, el registro del usuario no se quita.
Algunos comportamientos de administración de cuentas de usuario en Office SharePoint Server 2007 difieren dependiendo del proveedor de autenticación. En la siguiente tabla se ponen de relieve varias tareas de cuentas de usuario comunes que difieren según el método de autenticación que se implemente:
| Tarea | Cuentas autenticadas por Windows | Cuentas autenticadas mediante formularios de ASP.NET y mediante el inicio de sesión web único |
|---|---|---|
Adición e invitación de nuevos usuarios |
Office SharePoint Server 2007 valida las identidades de usuario por medio de Active Directory. |
Office SharePoint Server 2007 llama al proveedor de pertenencia y al administrador de funciones para comprobar que el usuario y las funciones existen. |
Cambios en nombres de inicio de sesión |
Los nombres de usuario actualizados son reconocidos automáticamente por Office SharePoint Server 2007. Las nuevas entradas no se agregan a la tabla UserInfoList. |
Debe eliminar el nombre de cuenta anterior y, a continuación, agregar el nuevo nombre de cuenta. Los permisos no se pueden migrar. |
Inicio de sesión |
Si se usa la autenticación integrada de Windows (Kerberos o NTLM) y el explorador está configurado para iniciar sesión automáticamente, los usuarios no tienen que iniciar sesión en los sitios de SharePoint manualmente. De manera predeterminada, Internet Explorer está configurado para iniciar sesión en los sitios de la intranet de forma automática. Si se requiere iniciar sesión (por ejemplo, en sitios que requieren otras credenciales), sólo se pide a los usuarios un nombre de usuario y una contraseña. Sin embargo, si se usa la autenticación básica o si el usuario está usando un explorador no configurado para iniciar sesión automáticamente, es posible que se les solicite a los usuarios sus credenciales de inicio de sesión cuando obtengan acceso a un sitio de SharePoint. |
Office SharePoint Server 2007 proporciona una página de inicio de sesión estándar para su uso con la autenticación mediante formularios. Esta página incluye los siguiente campos: Nombre de usuario, Contraseña e Iniciar sesión automáticamente (para conservar la cookie). Puede crear su propia página de inicio de sesión para agregar más controles de inicio de sesión (por ejemplo, Crear nueva cuenta o Restablecer contraseña). |
Compatibilidad con exploradores
No todos los exploradores funcionan con cada uno de los métodos de autenticación admitidos. Antes de seleccionar los métodos de autenticación que se permitirán en su entorno, determine para qué exploradores necesita proporcionar compatibilidad. A continuación, determine qué métodos de autenticación admiten los exploradores. Internet Explorer funciona con todos los métodos de autenticación admitidos. Entre los otros exploradores compatibles con Office SharePoint Server 2007 se encuentran:
Netscape 8,0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Hoja de trabajo
Use la siguiente hoja de trabajo para registrar los métodos de autenticación que son adecuados para su entorno:
- Hoja de trabajo de los métodos de autenticación (en inglés) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0xC0A) (en inglés)
La tabla siguiente constituye un ejemplo de una hoja de trabajo completada:
| Método de autenticación | Permitir | No permitir | Notas y recomendaciones |
|---|---|---|---|
Anónima |
x |
||
Básica |
x |
||
Implícita |
x |
||
Certificados |
x |
||
NTLM (integrada de Windows) |
x |
*"Usar NTLM para todos los sitios de departamentos excepto el de finanzas."* |
|
Kerberos (integrada de Windows) |
x |
*"Usar la autenticación Kerberos para los sitios con un contrato de nivel de servicio de alta seguridad."* |
|
Formularios de ASP.NET |
x |
*"Usar la autenticación mediante formularios para permitir a las compañías asociadas el acceso a sitios hospedados en la extranet de socio. Actualmente se permite la autenticación con los siguientes sistemas de administración de identidades: Active Directory, LDAP. Colaborar con Sidney Higa para desarrollar opciones de configuración de autenticación para su uso con la autenticación mediante formularios."* |
|
Inicio de sesión web único |
x |
*"Usar este método para aplicaciones de asociados sólo si una compañía asociada participa en sistemas de administración de identidades federados. Consultar a David Jones para obtener más información."* |
Notas adicionales: "Colaborar con Denise Smith para aprobar todas las opciones de configuración de autenticación para aplicaciones web de SharePoint antes de implementarlas."
Descarga de este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.