Configuración del servicio de token de seguridad (SharePoint Foundation 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se proporciona una orientación para permitir la configuración del servicio de token de seguridad (STS) de Microsoft SharePoint Foundation 2010. Un STS es un servicio web especializado diseñado para responder a solicitudes para los tokens de seguridad y para proporcionar administración de identidades. La funcionalidad principal de cada STS es la misma, pero la naturaleza de las tareas que lleva a cabo cada STS depende del rol que el STS desempeña en relación con los otros servicios web del STS en el diseño.

En este artículo:

  • Cómo funcionan las aplicaciones web que usan un STS

  • Configuración de una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

  • Edición de enlaces

  • Configuración de una aplicación web que usa un STS

Cómo funcionan las aplicaciones web que usan un STS

Las aplicaciones web que usan un servicio de token de seguridad atienden solicitudes para emitir, administrar y validar tokens de seguridad. Los tokens de seguridad constan de una colección de notificaciones de identidad (como el nombre de un usuario, un rol o un identificador anónimo). Los tokens se pueden emitir en diferentes formatos, por ejemplo tokens del lenguaje de marcado de aserción de seguridad (SAML). Los tokens de seguridad se pueden proteger con un certificado X.509 para proteger el contenido del token en tránsito y para permitir la validación de emisores de confianza. Para obtener información adicional acerca del servicio de token de seguridad, vea Planeación de métodos de autenticación (SharePoint Foundation 2010).

Un servicio de token de seguridad proveedor de identidad (IP-STS) es un servicio web que atiende solicitudes para notificaciones de identidad de confianza. Un IP-STS usa una base de datos llamada almacén de identidades para almacenar y administrar las identidades y sus atributos asociados. El almacén de identidades de un proveedor de identidad puede ser simple, como una tabla de base de datos de SQL. Un IP-STS también puede usar un almacén de identidades complejo, como los Servicios de dominio de Active Directory (AD DS) o el Servicio de directorio ligero de Active Directory (AD LDS).

Un IP-STS está disponible para clientes que desean crear y administrar identidades y para aplicaciones de usuario de confianza que deben validar las identidades que presentan los clientes. Cada IP-STS tiene una relación de confianza federada y emite tokens para las aplicaciones web del STS usuario de confianza asociado de la federación, cada uno de los cuales se denomina RP-STS. Los clientes pueden crear o aprovisionar tarjetas de información administradas (mediante un selector de tarjetas como CardSpace) que representen identidades registradas con el IP-STS. Los clientes interactúan con el IP-STS al solicitar tokens de seguridad que representan una identidad que se encuentra en el almacén de identidades del IP-STS. Después de la autenticación, el IP-STS emite un token de seguridad de confianza que el cliente puede presentar ante una aplicación de usuario de confianza. Las aplicaciones de usuario de confianza pueden establecer relaciones de confianza con un IP-STS. Esto les permite validar los tokens de seguridad emitidos por un IP-STS. Una vez establecida la relación de confianza, las aplicaciones de usuario de confianza pueden examinar los tokens de seguridad que presentaron los clientes y determinar la validez de las notificaciones de identidad que contienen.

Un STS usuario de confianza (RP-STS) es un STS que recibe tokens de seguridad de un IP-STS asociado de la federación de confianza. A cambio, el RP-STS emite nuevos tokens de seguridad que consumirá una aplicación de usuario de confianza local. El uso de las aplicaciones web del RP-STS en federación con las aplicaciones web del IP-STS permite a las organizaciones ofrecer inicio de sesión único (SSO) web a usuarios de organizaciones asociadas. Cada organización continuará administrando sus propios almacenes de identidades.

Configuración de una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

Lleve a cabo los siguientes procedimientos para usar Windows PowerShell para configurar una aplicación web basada en notificaciones de SharePoint.

Para configurar una aplicación web basada en notificaciones de SharePoint mediante Windows PowerShell

  1. Compruebe si cumple los siguientes requisitos: Consulte Add-SPShellAdmin.

  2. En el menú Inicio, haga clic en Todos los programas.

  3. Haga clic en Productos de Microsoft SharePoint 2010.

  4. Haga clic en Consola de administración de SharePoint 2010.

  5. Desde el símbolo del sistema de Windows PowerShell (es decir, PS C:\>), cree un objeto x509Certificate2, como se muestra en el siguiente ejemplo:

    $cert = New-Object
System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")

  6. Cree una asignación de tipo de notificación para usarla en su proveedor de autenticación de confianza, como se muestra en el siguiente ejemplo:

    New-SPClaimTypeMapping "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
-IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  7. Cree un proveedor de inicio de sesión de confianza; para ello, cree un valor para el parámetro realm, como se muestra en el siguiente ejemplo:

    $realm = "urn:" + $env:ComputerName + ":domain-int"

  8. Cree un valor para el parámetro signinurl que apunte a la aplicación web del servicio de token de seguridad, como se muestra en el siguiente ejemplo:

    $signinurl = "https://test-2/FederationPassive/"

  9. Cree el proveedor de inicio de sesión de confianza con el mismo valor IdentifierClaim que en una asignación de notificaciones ($map1.InputClaimType), como se muestra en el siguiente ejemplo:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
"WIF" -Description "Windows® Identity Foundation" -Realm
$realm -ImportTrustCertificate $cert
-ClaimsMappings $map1[,$map2..] -SignInUrl
$signinurl -IdentifierClaim $map1.InputClaimType

  10. Cree una aplicación web; para ello, cree un valor para la cuenta del grupo de aplicaciones (para el usuario actual) en primer lugar, como se muestra en el siguiente ejemplo:

    $account = "DOMAIN\" + $env:UserName

    Nota

    La cuenta del grupo de aplicaciones debe ser una cuenta administrada. Para crear una cuenta administrada, use New-SPManagedAccount.

  11. Cree un valor para la dirección URL de la aplicación web ($webappurl = "https://" + $env:ComputerName), como se muestra en el siguiente ejemplo:

    $wa = New-SPWebApplication -name "Claims WIF"
-SecureSocketsLayer -ApplicationPool "SharePoint SSL"
-ApplicationPoolAccount $account -Url $webappurl -Port 443
-AuthenticationProvider $ap

  12. Cree un sitio; para ello, cree un objeto de notificación en primer lugar, como se muestra en el siguiente ejemplo:

    $claim = New-SPClaimsPrincipal
-TrustedIdentityTokenIssuerr $ap -Identity
$env:UserName

  13. Cree un sitio, como se muestra en el siguiente ejemplo:

    $site = New-SPSite $webappurl -OwnerAlias
$claim.ToEncodedString() -template "STS#0"

Edición de enlaces

Después de configurar una aplicación web basada en notificaciones de SharePoint, edite los enlaces.

Para editar los enlaces

  1. Escriba INETMGR en un símbolo del sistema para iniciar el Administrador de IIS.

  2. Vaya al sitio de la aplicación web de notificaciones en IIS.

  3. En el panel izquierdo, haga clic con el botón secundario en la aplicación web de notificaciones y seleccione Modificar enlaces.

  4. Seleccione https y haga clic en Editar.

  5. En Certificado SSL, seleccione los certificados que aparezcan.

Configuración de una aplicación web que usa un STS

Después de configurar una aplicación web basada en notificaciones de SharePoint Foundation 2010, editar los enlaces y configurar el archivo Web.Config, puede usar el procedimiento de esta sección para configurar una aplicación web del servicio de token de seguridad.

Para configurar una aplicación web que usa un STS

  1. Abra la Consola de administración de Servicios de federación de Active Directory (AD FS) s2.0. .

  2. En el panel izquierdo, expanda Directiva y seleccione Usuarios de confianza.

  3. En el panel derecho, haga clic en Agregar usuario de confianza. Se abrirá el asistente para configuración de Servicios de federación de Active Directory (AD FS) 2.0.

  4. En la primera página del asistente, haga clic en Inicio.

  5. Seleccione Especificar manualmente configuración de usuario de confianza y haga clic en Siguiente.

  6. Escriba el nombre del usuario de confianza y haga clic en Siguiente.

  7. Asegúrese de que Perfil del servidor de Servicios de federación de Active Directory (AD FS) 2.0 esté seleccionado y haga clic en Siguiente.

  8. Si no planea usar un certificado de cifrado, haga clic en Siguiente.

  9. Seleccione Permitir compatibilidad con la federación de identidades basada en explorador web.

  10. Escriba el nombre de la dirección URL de la aplicación web y agregue /_trust/ (por ejemplo: https://nombredeservidor/_trust/). Haga clic en Siguiente.

  11. Escriba el identificador y haga clic en Agregar. Haga clic en Siguiente.

  12. En la página de resumen, haga clic en Siguiente y, a continuación, haga clic en Cerrar. Se abrirá la consola de administración del editor de reglas. Use esta consola para configurar la asignación de notificaciones desde una aplicación web LDAP a SharePoint.

  13. En el panel izquierdo, expanda Nueva regla y seleccione Regla predefinida.

  14. Seleccione Crear notificaciones desde almacén de atributos LDAP.

  15. En el panel derecho, seleccione Almacén de cuentas de usuario de Active Directory de empresa de la lista desplegable Almacén de atributos.

  16. En Atributo LDAP, seleccione sAMAccountName.

  17. En Tipo de notificación saliente, seleccione Dirección de correo electrónico.

  18. En el panel izquierdo, haga clic en Guardar.