Configuración de inicio de sesión único (Office SharePoint Server)

  • Artículo

El inicio de sesión único (SSO) es una característica de Microsoft Office SharePoint Server que proporciona almacenamiento y asignación de credenciales, como nombres de cuentas y contraseñas. Mediante SSO, las aplicaciones basadas en sitios del portal pueden recuperar información de aplicaciones de terceros y sistemas back-end, como sistemas de planeación de recursos empresariales (ERP) y administración de relaciones con clientes (CRM).

El uso de la funcionalidad de inicio de sesión único permite a los usuarios autentica sólo una vez cuando tienen acceso a las aplicaciones basadas en sitios del portal que necesitan obtener información de otros sistemas y aplicaciones de empresa.

La configuración del inicio de sesión único consta de cinco tareas:

  • Configuración e inicio del servicio Inicio de sesión único de Microsoft

  • Configuración del inicio de sesión único para Office SharePoint Server 2007

  • Administración de la clave de cifrado

  • Administración de las definiciones de aplicaciones de empresa

  • Administración de la información de cuenta para una definición de aplicación de empresa

Tenga en cuenta que debe haber iniciado sesión en el sitio web de Administración central de SharePoint en un servidor de la granja para configurar el inicio de sesión único (SSO) para Office SharePoint Server 2007. Si intenta configurar SSO en una estación de trabajo o en un equipo que no sea un servidor en una granja, verá un mensaje de error que dice "No se puede configurar el inicio de sesión único (SSO) desde este servidor. Para configurarlo, debe especificar localmente la configuración en el equipo que ejecuta el servicio Inicio de sesión único".

Siga los procedimientos descritos en las secciones siguientes para configurar SSO para su entorno de Office SharePoint Server 2007.

Configuración e inicio del servicio Inicio de sesión único de Microsoft

Para usar el inicio de sesión único, el servicio Inicio de sesión único (SSOSrv) de Microsoft debe estar instalado en todos los servidores cliente web de Windows de la granja de servidores. SSOSrv también debe estar instalado en todos los servidores que ejecuten Excel Services. Si se usa la búsqueda en el Catálogo de datos profesionales, SSOSrv también debe estar instalado en el servidor de índices.

SSOSrv se configura mediante la consola Servicios. Al configurar el servicio, es necesaria una cuenta de inicio de sesión. La cuenta de inicio de sesión debe cumplir todos los criterios siguientes:

  • Debe ser una cuenta de usuario de dominio. No puede ser una cuenta de grupo.

  • Debe ser una cuenta de granja de servidores de Office SharePoint Server.

  • Debe ser integrante del grupo Administradores local en el servidor de claves de cifrado. (El servidor de claves de cifrado es el primer servidor en el que se inicia SSOSrv).

  • Debe ser integrante de las funciones Administradores de seguridad y db_creator en el equipo que ejecuta Microsoft SQL Server.

  • Debe ser la misma cuenta que la del administrador de inicio de sesión único, o un integrante de la cuenta de grupo que es la cuenta del administrador de inicio de sesión único.

Configuración e inicio del servicio Inicio de sesión único de Microsoft

  1. En el servidor, haga clic en Inicio, Panel de control, Herramientas administrativas y, a continuación, haga clic en Administración de equipos.

  2. En la consola de Administración de equipos, expanda Servicios y Aplicaciones y, a continuación, haga clic en Servicios.

  3. Haga clic con el botón secundario del mouse en Servicio de Inicio de sesión único de Microsoft y, a continuación, elija Propiedades.

  4. En la ficha General, cambie el Tipo de inicio a Automático.

  5. En la ficha General, bajo Estado del servicio, haga clic en Iniciar.

  6. Haga clic en Aceptar para guardar los cambios y cerrar la ventana Propiedades.

  7. Repita los pasos del 1 al 6 para cada servidor aplicable de la granja de servidores.

Configuración del inicio de sesión único para Office SharePoint Server 2007

La administración de la configuración de servidor para el inicio de sesión único incluye especificar las cuentas de administrador correspondientes, el servidor de base de datos y el nombre del servidor de inicio de sesión único, y la configuración del tiempo de espera y el registro de auditoría.

Nota

Debe abrir Administración central en el equipo en el que se ejecuta Office SharePoint Server 2007 para administrar la configuración del servidor para el inicio de sesión único.

Configuración de SSO para Office SharePoint Server 2007

  1. En Administración central, en la barra de navegación superior, haga clic en Operaciones.

  2. En la página Operaciones, en la sección Configuración de seguridad, haga clic en Administrar configuración de inicio de sesión único (Single Sign-on).

  3. En la página Administrar configuración de inicio de sesión único (Single Sign-on), en la sección Configuración del servidor, haga clic en Administrar la configuración del servidor.

  4. En la página Administrar configuración de inicio de sesión único, en el cuadro Nombre de cuenta en la sección Cuenta de administrador de inicio de sesión único, escriba el nombre de la cuenta de administrador de inicio de sesión único con el formato dominio/grupo o dominio/nombreDeUsuario.

    Nota

    La cuenta de administrador de inicio de sesión único especifica el conjunto de personas que pueden crear, eliminar o modificar definiciones de aplicación. La cuenta de administrador también puede realizar una copia de seguridad de la clave de cifrado.

    El usuario o grupo que especifique como administrador de inicio de sesión único debe ser todo lo siguiente:

    • Un grupo global de Windows o una cuenta de usuario individual. Esta cuenta no puede ser una cuenta de grupo local de dominio o una lista de distribución.

    • La misma cuenta que la cuenta del servicio de inicio de sesión único, si se especifica un usuario. Si se especifica un grupo, la cuenta de servicio de inicio de sesión único debe ser integrante de dicho grupo.

    • La misma cuenta que la cuenta de configuración para el inicio de sesión único, si se especifica un usuario. Si se especifica un grupo, la cuenta de configuración de inicio de sesión único debe ser integrante de dicho grupo.

    • Un integrante del grupo de administradores de la granja de servidores en Administración central.

    Si se especifica un grupo, todos los usuarios que se agreguen al grupo con el fin de administrar el inicio de sesión único deben ser integrantes del grupo de administradores local en el servidor de claves de cifrado. No convierta esta cuenta en integrante del grupo de administradores local en el servidor de claves de cifrado.

  5. En la sección Cuenta de administrador de definiciones de aplicaciones de empresa, en el cuadro Nombre de cuenta, escriba el nombre de cuenta del grupo o usuario que puede configurar y administrar las definiciones de aplicación de empresa. Escriba el nombre con el formato dominio/grupo o dominio/nombreDeUsuario.

    La cuenta de administrador de la definición de aplicación de empresa puede administrar las credenciales de una definición de aplicación de empresa como, por ejemplo, cambiar la contraseña de una definición de aplicación de empresa de grupo y cambiar o eliminar las credenciales para una definición individual de aplicación de empresa.

    El usuario o grupo que especifique debe ser:

    • Un grupo global de Windows o una cuenta de usuario individual. Esta cuenta no puede ser una cuenta de grupo local de dominio o una lista de distribución.

    • Un integrante del grupo de lectores de SharePoint en Administración central.

  6. En la sección Configuración de la base de datos, en el cuadro Nombre del servidor, escriba el nombre NetBIOS del servidor de base de datos de inicio de sesión único (por ejemplo, nombre_equipo o nombre_equipo\instancia_SQL_Server). No escriba el nombre de dominio completo.

  7. En el cuadro Nombre de la base de datos, especifique el nombre del servidor de base de datos de inicio de sesión único.

    Nota

    Salvo que vaya a crear previamente las bases de datos, se recomienda usar el servidor de base de datos predeterminado y el servidor de base de datos de inicio de sesión único.

  8. En la sección Configuración del tiempo de espera, en el cuadro Tiempo de espera de vale (en minutos), escriba un valor para el número de minutos antes de que expire un vale de inicio de sesión único. El tiempo de espera debe ser suficientemente prolongado para durar entre el momento en que se emite el vale y el momento en que la aplicación de empresa lo canjea. El valor recomendado son dos minutos.

  9. En el cuadro Eliminar entradas del registro de auditorías de más de (en días), escriba un valor para el número de días que el registro de auditorías conserva los registros antes de eliminarlos.

  10. Haga clic en Aceptar.

Administración de la clave de cifrado

El primer servidor en que está habilitado SSOSrv se convierte en el servidor de clave de cifrado. El servidor de clave de cifrado genera y almacena la clave de cifrado. Esta clave se usa para cifrar y descifrar las credenciales almacenadas en la base de datos de SSO.

Como la clave de cifrado protege las credenciales de seguridad, se recomienda que cree una nueva clave de cifrado de forma sistemática (por ejemplo, cada 90 días). También se recomienda que cree una nueva clave de cifrado inmediatamente si sospecha que las credenciales se han visto comprometidas.

Debe realizarse una copia de seguridad de la clave de cifrado cada vez que se crea una nueva clave. No tiene que realizar una copia de seguridad de la clave de cifrado en ningún otro momento (salvo cuando se está moviendo la función de servidor de clave de cifrado de un servidor a otro). Debe realizar una copia de seguridad de la clave de cifrado localmente desde el servidor de clave de cifrado. No se puede realizar una copia de seguridad de la clave de forma remota.

También puede usar la copia de seguridad y restauración de clave de cifrado para mover la función de servidor de clave de cifrado de un servidor a otro (las tareas también deben estar completadas para mover la función de servidor de clave de cifrado).

Nota

Debe abrir Administración central en el equipo en el que se ejecuta Office SharePoint Server 2007 para administrar la clave de cifrado.

Administración de la clave de cifrado

  1. En Administración central, en la barra de navegación superior, haga clic en Operaciones.

  2. En la página Operaciones, en la sección Configuración de seguridad, haga clic en Administrar configuración de inicio de sesión único (Single Sign-on).

  3. En la página Administrar configuración de inicio de sesión único (Single Sign-on), en la sección Configuración del servidor, haga clic en Administrar la clave de cifrado.

En la página Administrar la clave de cifrado se pueden realizar tres tareas de administración:

  • Crear una nueva clave de cifrado

  • Realizar una copia de seguridad de una clave de cifrado

  • Restaurar una copia de cifrado

Crear una nueva clave de cifrado

  1. En la página Administrar la clave de cifrado, en la sección Clave de cifrado, haga clic en Crear clave de cifrado.

  2. En la página Crear clave de cifrado, active la casilla Volver a cifrar todas las credenciales usando la nueva clave de cifrado.

    Importante

    Si no se vuelve a cifrar las credenciales existentes con la nueva clave de cifrado, los usuarios deben volver a escribir sus credenciales en las definiciones de aplicaciones individuales, y los administradores deben volver a escribir las credenciales de grupo para las definiciones de aplicaciones de grupo.

  3. Haga clic en Aceptar.

Realización de una copia de seguridad de una clave de cifrado

  1. En la página Administrar la clave de cifrado, en la lista Unidad de la sección Copia de seguridad de la clave de cifrado, haga clic en la unidad de medios extraíble en la que desea almacenar la copia de seguridad de la clave de cifrado.

  2. Haga clic en Copia de seguridad.

Restaurar una copia de cifrado

Siempre debe realizar una copia de seguridad de la clave de cifrado cuando realice una copia de seguridad de la base de datos de inicio de sesión único porque la base de datos no sirve de nada sin la clave de cifrado. Además, antes de reemplazar un servidor de clave de cifrado, asegúrese de realizar una copia de seguridad de la clave de cifrado para que se pueda restaurar en el nuevo servidor de clave de cifrado.

  1. En la página Administrar la clave de cifrado, en la lista Unidad de la sección Restauración de la clave de cifrado, haga clic en la unidad de medios extraíble en la que desea restaurar la copia de seguridad de la clave de cifrado.

  2. Haga clic en Restaurar.

Administración de las definiciones de aplicaciones de empresa

En el entorno de inicio de sesión único, los sistemas y orígenes de datos externos back-end se denominan aplicaciones de empresa. Para cada aplicación de empresa a la que se conecta Office SharePoint Server 2007, se debe configurar una definición de aplicación de empresa correspondiente.

  1. En Administración central, en la barra de navegación superior, haga clic en Operaciones.

  2. En la página Operaciones, en la sección Configuración de seguridad, haga clic en Administrar configuración de inicio de sesión único (Single Sign-on).

  3. En la página Administrar configuración de inicio de sesión único (Single Sign-on), haga clic en Administrar la configuración de las definiciones de aplicaciones de empresa.

Administrar la información de cuenta para una definición de aplicación de empresa

Si usa un grupo para conectar a la aplicación de empresa, debe proporcionar las credenciales de cuenta que usará el grupo. Si los usuarios individuales se conectan directamente a la aplicación de empresa, puede establecer previamente o restablecer las contraseñas de los usuarios, o puede eliminar usuarios de la definición de aplicación de empresa.

  1. En Administración central, en la barra de navegación superior, haga clic en Operaciones.

  2. En la página Operaciones, en la sección Configuración de seguridad, haga clic en Administrar configuración de inicio de sesión único (Single Sign-on).

  3. En la página Administrar configuración de inicio de sesión único (Single Sign-on), en la sección Configuración de las definiciones de las aplicaciones de empresa, haga clic en Administrar la información de cuenta para definiciones de aplicaciones de empresa.

  4. En la página Administrar la información de cuenta para una definición de aplicación de empresa, en la lista Definición de aplicación de empresa de la sección Información de cuenta, haga clic en la definición de aplicación cuya información de cuenta desea administrar.

  5. En el cuadro Nombre de la cuenta de grupo, escriba el nombre del grupo al que se permite tener acceso a la aplicación de empresa.

  6. En la sección Definición de aplicación de empresa, seleccione una de las siguientes opciones:

    Opción Propósito

    Actualizar información de cuenta.

    Escribir las credenciales por primera vez o actualizar las credenciales usadas para conectarse a la aplicación de empresa.

    Eliminar credenciales almacenadas para esta cuenta desde esta definición de aplicación de empresa

    Eliminar las credenciales usadas para conectarse a la aplicación de empresa.

    Eliminar credenciales almacenadas para esta cuenta desde todas las definiciones de aplicaciones de empresa

    Eliminar las credenciales actualmente usadas para conectar la aplicación de empresa seleccionada de todas las definiciones de aplicación de empresa. Al eliminar las credenciales almacenadas sólo se eliminan las credenciales de las cuentas individuales; no se eliminan las credenciales de las cuentas de grupo.

    Si selecciona Actualizar información de cuenta, realice los pasos siguientes:

    1. Haga clic en Establecer.

    2. En la página para proporcionar la información de cuenta, en la sección Información de inicio de sesión, escriba el nombre de usuario y la contraseña de la cuenta que se usará para conectarse a la aplicación de empresa.

    3. Haga clic en Aceptar.

  7. Haga clic en Listo.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la biblioteca técnica de Office SharePoint Server.