Planeación de la configuración de autenticación para aplicaciones web en Office SharePoint Server

  • Artículo

En este artículo:

  • Planeación de la configuración de autenticación

  • Planeación de las exclusiones de autenticación

  • Hoja de trabajo

En este artículo se explican las opciones de configuración de autenticación que deben planearse para aplicaciones web individuales en Microsoft Office SharePoint Server 2007. Use este artículo con la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés). Rellene una hoja de trabajo para cada uno de los siguientes elementos que forman parte de su diseño de solución en Office SharePoint Server 2007:

  • Aplicaciones web nuevas o extendidas en Office SharePoint Server 2007.

  • Zonas adicionales dentro de una aplicación web (aparte de la zona predeterminada). Incluya las zonas creadas para la cuenta de búsqueda.

Planeación de la configuración de autenticación

En esta sección se explican todas las opciones de configuración de la página Editar autenticación del sitio web de Administración central de SharePoint. Para obtener acceso a esta página, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, haga clic en Proveedores de autenticación. Haga clic en la zona para la que desea modificar la configuración de autenticación. Se abrirá la página Editar autenticación.

Según las opciones de autenticación que elija, es posible que pueda especificar la configuración de autenticación directamente al crear o extender la aplicación web en Office SharePoint Server 2007. Sin embargo, no todas las opciones están disponibles cuando se crea o extiende una aplicación web inicialmente. Si no puede configurar la autenticación al crear o extender una aplicación web, puede aceptar la configuración de autenticación predeterminada inicialmente y editar después la configuración en la página Editar configuración.

Tipo de autenticación

Seleccione el método que desea usar. Si tiene previsto permitir el acceso anónimo en lugar de implementar uno de los métodos de autenticación mencionados en esta sección, seleccione la autenticación de Windows.

Si selecciona Windows, especifique el método de autenticación de Windows en la sección Configuración de autenticación IIS de la página Editar autenticación. Si selecciona Formularios o Inicio de sesión Web único, las opciones de la página Editar autenticación cambiarán para permitirle que escriba el nombre del proveedor de pertenencia y el nombre del administrador de funciones.

Si desea usar la autenticación de certificados o la autenticación Kerberos, revise la tabla siguiente para identificar los pasos de configuración adicionales necesarios para configurar estos métodos.

Método de autenticación Configuración adicional Funciones especializadas

Certificados

  1. Seleccione la autenticación de Windows en Administración central.

  2. Configure Internet Information Services (IIS) para certificados.

  3. Habilite la Capa de sockets seguros (SSL).

  4. Obtenga y configure certificados de una entidad de certificación (CA).

Administrador de Microsoft Windows Server 2003, para obtener y configurar certificados

Kerberos (integrada de Windows)

  1. Seleccione la autenticación Kerberos en Administración central.

  2. Configure un nombre principal de servicio (SPN) para la cuenta de usuario de dominio que se usa para la identidad del grupo de aplicaciones (cuenta de proceso del grupo de aplicaciones).

  3. Registre el SPN para la cuenta de usuario de dominio en Active Directory.

Administrador de IIS
Acción de hoja de trabajo

Registre la configuración adicional necesaria en la sección sobre configuración adicional de la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés).

Acceso anónimo

Indique si se permite el acceso anónimo. Si seleccionó Formularios o Inicio de sesión Web único en la sección Tipo de autenticación, active la casilla Habilitar el acceso anónimo.

Integración de clientes

Puede deshabilitar la integración de clientes, con lo que quitará características que inician las aplicaciones cliente. Ésta es la configuración óptima para algunos escenarios, como la publicación de contenido de solo lectura en Internet para el acceso anónimo. Asimismo, si selecciona la autenticación de formularios de ASP.NET o la autenticación de inicio de sesión único (SSO) web, la integración de clientes se establece en No de manera predeterminada.

Si ha instalado Microsoft Office SharePoint Server 2007 con Service Pack 2 (SP2), se admite la integración de clientes, salvo la de Outlook. Asimismo, se admite el resto de integraciones de clientes, incluida la herramienta de creación de SharePoint Designer.

Nota

Si Office SharePoint Server 2007 con SP2 no está instalado, la integración de clientes se deshabilita de manera predeterminada al usar autenticación basada en formularios. Esto se debe a que la integración de clientes no admite de forma nativa la autenticación basada en formularios en las versiones anteriores a Office SharePoint Server 2007 con SP2.

Comportamientos esperados cuando la integración de clientes está deshabilitada

Cuando se deshabilita la integración de clientes, los sitios se comportan del siguiente modo:

  • Los vínculos que inician aplicaciones cliente no son visibles.

  • Los documentos se abren en el explorador; las aplicaciones cliente no pueden abrirlos.

  • Los usuarios no pueden editar documentos del sitio directamente desde las aplicaciones cliente. Sin embargo, los usuarios pueden descargar el documento, editarlo de forma local y después cargarlo.

La tabla siguiente incluye comandos de menú y características específicos que no están disponibles cuando la integración de clientes está deshabilitada.

Categoría Comando o característica no disponible

Barras de herramientas

Nuevo documento

Trabajo en Microsoft Office Outlook

Abrir en el Explorador de Windows

Exportar a hoja de cálculo

Abrir con programa de base de datos

Edición de documentos

Editar en aplicaciones de Microsoft Office como Word y Excel.

Vistas

Vista del explorador

Crear una vista de Access

Bibliotecas de imágenes

Cargar varios

Editar imagen

Descargar

Enviar a

Bibliotecas de diapositivas

Publicar diapositiva

Enviar a Microsoft Office PowerPoint

Otros

Discutir

Conectar con Office Outlook

Comportamientos de métodos de autenticación específicos

Además del escenario de implementación (como publicar contenido de solo lectura), es posible que el método de autenticación elegido determine cómo se configura la integración de clientes. Algunos métodos de autenticación se comportan de forma distinta con aplicaciones cliente. En algunos casos, el comportamiento depende de si los exploradores cliente están configurados para usar cookies persistentes o cookies de sesión.

En la siguiente tabla se resumen los posibles comportamientos de la integración de clientes cuando se usa con métodos de autenticación específicos.

Método de autenticación Comportamiento

Básica

Se solicita a los usuarios que especifiquen sus credenciales cada vez que obtengan acceso a un documento. Es posible que otras características también requieran que especifiquen sus credenciales de nuevo.

Formularios de ASP.NET y SSO web

Si se cumplen las siguientes condiciones, se crea una cookie persistente:

  • El proveedor de autenticación admite las cookies persistentes.

  • El usuario hace clic en Iniciar mi sesión automáticamente cuando inicia sesión.

La cookie persistente se comparte en todas las aplicaciones que usan el mismo almacén de cookies y el usuario puede abrir documentos en las aplicaciones cliente. La cookie persistente se crea con un valor de tiempo de espera predeterminado de 30 minutos. Para cambiar este valor, agregue o actualice el parámetro de tiempo de espera (timeout) en el nodo de formularios del archivo Web.config. Por ejemplo:

<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" timeout="100" />

Cuando la cookie expira, la integración de clientes deja de funcionar. Si los usuarios se encuentran en un explorador, se les pedirá que vuelvan a especificar sus credenciales.

Si el proveedor de autenticación no admite las cookies persistentes o el usuario no hizo clic en Iniciar mi sesión automáticamente cuando inició sesión, se usa una cookie de sesión. A las cookies de sesión sólo puede obtener acceso el explorador. El usuario no podrá abrir documentos directamente en las aplicaciones cliente.

Si el proveedor de autenticación no admite las cookies persistentes o si éstas no se permiten en su entorno, desactive la integración de clientes. Por ejemplo, Servicios de federación de Active Directory (AD FS) no es compatible con las cookies persistentes.

Anónima

Al abrir un documento, se solicitan las credenciales a los usuarios repetidamente. Si hacen clic en Cancelar en el cuadro de diálogo de autenticación diez veces, es posible que el sitio abra el documento por medio de la aplicación cliente. Debido a que esto resulta poco conveniente, se recomienda desactivar la integración de clientes en aquellos escenarios en que se usa el acceso anónimo.

Uso del sistema operativo Windows Vista con Internet Explorer 7

En Windows Vista, Internet Explorer 7 incluye una característica de seguridad adicional llamada modo protegido. De manera predeterminada, el modo protegido está habilitado para las zonas Internet, Intranet y Sitios restringidos. Puesto que esta característica coloca las cookies persistentes en una ubicación que impide el uso compartido entre aplicaciones, la integración de clientes no funciona del modo esperado.

Para configurar Internet Explorer 7 de modo que funcione con la integración de clientes, realice una de las siguientes acciones:

  • Deshabilite el modo protegido.

  • Si el modo protegido está habilitado, agregue los sitios de SharePoint a la zona Sitios de confianza de Internet Explorer.

Para obtener más información acerca de cómo deshabilitar el modo protegido, vea la sección sobre la configuración del modo protegido en el artículo sobre funcionamiento y trabajo en el modo protegido de Internet Explorer (en inglés) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0xC0A) (en inglés).

Comprobación de la configuración de la integración de clientes

Si no está seguro de cómo configurar la opción de integración de clientes, ponga a prueba los resultados en un entorno de prueba antes de implementar sitios en un entorno de producción. Si esta configuración se cambia después de aplicarse, es posible que los sitios y las aplicaciones cliente se comporten de forma inusual.

Acción de hoja de trabajo

En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), en la sección sobre cómo habilitar la integración de clientes, seleccione Yes o No.

Configuración para la autenticación de formularios de ASP.NET y SSO web

Si va a implementar la autenticación de formularios de ASP.NET o SSO web, debe desarrollar las opciones de configuración que se insertarán en los archivos Web.config correspondientes. Vea Ejemplos de autenticación para ver ejemplos de cadenas configuradas correctamente para varios escenarios habituales.

Acción de hoja de trabajo

En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), especifique los dos tipos de información siguientes:

  • Name (Nombre)   Nombre del proveedor de pertenencia, el administrador de funciones y el módulo HTTP (si corresponde). Estos nombres aparecen en el sitio de Administración central.

  • Web.config configuration (Configuración de Web.config)   Pegue las cadenas de configuración que correspondan en la hoja de trabajo. Estas cadenas se pueden copiar de la hoja de trabajo en los archivos Web.config cuando se implemente la aplicación web.

Asegúrese de que el nombre del proveedor de pertenencia y el nombre del administrador de funciones que registró en el archivo Web.config coinciden con el nombre que especificó en la página .aspx de autenticación de Administración central. Si no indica el administrador de funciones en el archivo Web.config, es posible que en su lugar se use el proveedor predeterminado especificado en el archivo machine.config.

Por ejemplo, la siguiente cadena de un archivo Web.config especifica un proveedor de pertenencia de SQL:

<membership defaultProvider="AspNetSqlMembershipProvider">

Para obtener más información acerca de los requisitos para los proveedores de pertenencia y los administradores de funciones, vea la sección "Conexión a sistemas de administración de identidades que son externos o que no están basados en Windows" en Planeación de métodos de autenticación (Office SharePoint Server).

Planeación de las exclusiones de autenticación

Si va a implementar la autenticación de formularios de ASP.NET o SSO web, debe planear las exclusiones de autenticación. Si va a implementar la autenticación de Windows, no es necesario que lea esta sección.

Al crear o extender una aplicación web o al agregar una zona a una aplicación web, IIS crea un nuevo sitio web. La configuración de autenticación registrada en el archivo Web.config para esta aplicación web la heredan los directorios virtuales bajo el sitio web. Los directorios virtuales que se agregan bajo una aplicación web en Office SharePoint Server 2007 no son administrados por Office SharePoint Server 2007 y se consideran directorios virtuales excluidos.

Si va a implementar la autenticación de formularios de ASP.NET o SSO web y tiene previsto agregar directorios virtuales bajo estos sitios web, debe decidir si desea que estos directorios virtuales excluidos hereden la configuración de la autenticación de formularios de ASP.NET o SSO web.

Acción de hoja de trabajo

En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), indique si los directorios virtuales excluidos se agregarán a IIS bajo el sitio web que corresponde a esta aplicación web en Office SharePoint Server 2007. Si los directorios virtuales excluidos van a agregarse, indique si debe heredarse la configuración de autenticación.

Use el siguiente procedimiento para configurar IIS de modo que no se herede la configuración de autenticación.

Configuración de IIS para que no se herede la configuración de autenticación

  1. Agregue un nuevo directorio virtual de IIS bajo el sitio web de IIS que corresponde a la aplicación o zona web aplicable en Office SharePoint Server 2007.

  2. En el Administrador de IIS, haga clic con el botón secundario en el nuevo directorio virtual y, a continuación, haga clic en Propiedades.

  3. Haga clic en la ficha Directorio virtual.

  4. Haga clic en Crear (esto convierte el directorio virtual en una aplicación).

  5. Haga clic en Configuración.

  6. Seleccione los mapas de aplicación de comodines y, a continuación, haga clic en Quitar.

  7. Haga clic en y luego en Aceptar.

  8. Cree un nuevo archivo Web.config en la raíz de la nueva ruta de acceso al sistema de archivos del directorio virtual y agregue las siguientes entradas:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration>
 <system.web>
  <httpModules>
   <clear />
  </httpModules>
  <httpHandlers>
   <clear />
  </httpHandlers>
 </system.web>
</configuration>

Hoja de trabajo

Use la siguiente hoja de trabajo para planear y registrar las opciones de configuración para cada una de las aplicaciones web en Office SharePoint Server 2007.

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.