Planeación de la autenticación Kerberos (SharePoint Server 2010)
Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010
Última modificación del tema: 2016-11-30
Microsoft SharePoint Server 2010 es compatible con varios métodos de autenticación. Las implementaciones que requieren autenticación segura, delegación de la identidad del cliente y un tráfico de red bajo pueden elegir la autenticación Kerberos. Para obtener más información, vea Planeación de los métodos de autenticación (SharePoint Server 2010).
En este artículo:
Autenticación Kerberos y SharePoint 2010
Autenticación Kerberos y autenticación basada en notificaciones
Autenticación Kerberos y Microsoft SharePoint Server 2010
| Por qué debe tener en cuenta la autenticación Kerberos | Por qué la autenticación Kerberos puede no ser apropiada para un escenario de implementación |
|---|---|
Kerberos es el protocolo de autenticación integrada de Windows más seguro y es compatible con características de seguridad avanzada incluido el cifrado Estándar de cifrado avanzado (AES) y la autenticación mutua. |
La autenticación Kerberos requiere una configuración adicional de la infraestructura y del entorno para su buen funcionamiento. En muchos casos, para configurar Kerberos, se necesita permiso de administrador. La configuración y administración de la autenticación Kerberos pueden ser complejas. Una configuración incorrecta de Kerberos puede impedir la autenticación satisfactoria en los sitios. |
Kerberos habilita la delegación de credenciales de cliente. |
La autenticación Kerberos requiere conectividad del equipo cliente a un centro de distribución de claves (KDC) y a un controlador de dominio de Servicios de dominio de Active Directory (AD DS). En una implementación de Windows, el KDC es un controlador de dominio AD DS. Si bien se trata de una configuración de red común en un entorno empresarial, las implementaciones orientadas a Internet no suelen configurarse de este modo. |
Kerberos es compatible con la autenticación mutua de clientes y servidores. |
|
Entre los métodos de autenticación segura disponibles, Kerberos requiere la menor cantidad posible de tráfico de red hacia los controladores de dominio. Kerberos puede reducir la latencia de páginas en determinados escenarios o aumentar el número de páginas que un servidor front-end web puede servir en determinados escenarios. Kerberos también puede reducir la carga en los controladores de dominio. |
|
Kerberos es un protocolo abierto compatible en muchas plataformas y proveedores. |
Kerberos es un protocolo seguro compatible con un método de autenticación que usa vales proporcionados por un origen de confianza. Los vales de Kerberos representan las credenciales de red de un usuario asociado con un equipo cliente. El protocolo Kerberos define el modo en que los usuarios interactúan con un servicio de autenticación de red para obtener acceso a los recursos de la red. El KDC de Kerberos emite un vale a un equipo cliente en nombre de un usuario. Una vez que un equipo cliente establece una conexión de red con un servidor, el equipo cliente solicita acceso a la red presentando al servidor el vale de autenticación de Kerberos. Si la solicitud contiene credenciales de usuario aceptables, el KDC la concede. En el caso de las aplicaciones de servicio, el vale de autenticación también debe contener un nombre de entidad de seguridad de servicio (SPN) aceptable. Para habilitar la autenticación Kerberos, los equipos cliente y servidor ya deben tener una conexión de confianza con el KDC. Los equipos cliente y servidor también deben tener acceso a los Servicios de dominio de Active Directory (AD DS).
Delegación Kerberos
La autenticación Kerberos es compatible con la delegación de la identidad del cliente. Esto significa que un servicio puede suplantar la identidad de un cliente autenticado. La suplantación permite a un servicio pasar la identidad autenticada a otros servicios de la red en nombre del cliente. La autenticación basada en notificaciones también puede usarse para delegar credenciales de cliente, pero requiere que la aplicación back-end sea compatible con notificaciones. Hay muchos servicios importantes que no son compatibles con notificaciones.
Usada conjuntamente con Microsoft SharePoint Server 2010, la delegación Kerberos permite a un servicio front-end autenticar a un cliente y luego usar la identidad del cliente para autenticarse en un sistema back-end. El sistema back-end lleva a cabo entonces su propia autenticación. Cuando un cliente usa la autenticación Kerberos para autenticarse con un servicio front-end, puede usarse la delegación Kerberos para pasar la identidad de un cliente a un sistema back-end. El protocolo Kerberos admite dos tipos de delegación:
Delegación Kerberos básica (sin restricciones)
Delegación Kerberos con restricciones
Delegación Kerberos básica y delegación Kerberos con restricciones
Si bien la delegación Kerberos básica puede cruzar los límites del domino dentro del mismo bosque, este tipo de delegación no puede cruzar el límite del bosque. La delegación Kerberos restringida no puede cruzar los límites de dominio ni los límites de bosque. En función de las aplicaciones de servicio que formen parte de una implementación de SharePoint Server 2010, la implementación de la autenticación Kerberos con SharePoint Server 2010 puede requerir el uso de la delegación Kerberos con restricciones. Por consiguiente, para implementar la autenticación Kerberos con cualquiera de las aplicaciones de servicio siguientes, SharePoint Server 2010 y todos los orígenes de datos externos deben residir en el mismo dominio de Windows:
Servicios de Excel
PerformancePoint Services
InfoPath Forms Services
Servicios de Visio
Para implementar la autenticación Kerberos con cualquiera de las aplicaciones de servicio siguientes, SharePoint Server 2010 puede usar la delegación Kerberos básica o la delegación Kerberos con restricciones:
Servicio de conectividad a datos empresariales y Servicios de conectividad empresarial de Microsoft
Servicios de Access
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
Los servicios habilitados para la autenticación Kerberos pueden delegar la identidad varias veces. Mientras una identidad se desplaza de un servicio a otro, el método de delegación puede cambiar de la delegación Kerberos básica a delegación Kerberos con restricciones. Sin embargo, el cambio no es posible en sentido inverso. El método de delegación no puede cambiar de delegación Kerberos con restricciones a delegación Kerberos básica. Por consiguiente, es importante anticipar y planear si un servicio back-end va a requerir delegación Kerberos básica. Esto puede tener un impacto en la planeación y el diseño de los límites de dominio.
Un servicio habilitado para Kerberos puede usar la transición de protocolo para convertir una identidad que no sea Kerberos en una identidad Kerberos que pueda delegarse a otros servicios habilitados para Kerberos. Esta capacidad puede usarse, por ejemplo, para delegar una identidad que no sea Kerberos de un servicio front-end a una identidad Kerberos de un servicio back-end.
Importante
La transición de protocolo requiere la delegación Kerberos con restricciones. Por lo tanto, las identidades de la transición de protocolos no pueden cruzar los límites de dominio.
La autenticación basada en notificaciones puede usarse como alternativa a la delegación Kerberos. Este tipo de autenticación permite pasar la notificación de autenticación de un cliente entre dos servicios distintos si los servicios cumplen los criterios siguientes:
Debe haber una relación de confianza entre los servicios
Ambos servicios deben ser compatibles con notificaciones.
Para obtener más información sobre la autenticación Kerberos, vea los siguientes recursos:
Funcionamiento del protocolo de autenticación Kerberos versión 5 (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0xC0A)
Microsoft Kerberos (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0xC0A)
Autenticación Kerberos y autenticación basada en notificaciones
SharePoint Server 2010 es compatible con la autenticación basada en notificaciones. Este tipo de autenticación se basa en Windows Identity Foundation (WIF), que es un conjunto de clases de .NET Framework que se usan para implementar la identidad basada en notificaciones. La autenticación basada en notificaciones depende de estándares como WS-Federation y WS-Trust. Para obtener más información sobre la autenticación basada en notificaciones, vea los siguientes recursos:
Identidad basada en notificaciones para Windows: introducción a Servicios de federación de Active Directory 2.0, Windows CardSpace 2.0 y Windows Identity Foundation (notas del producto) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0xC0A)
Página principal de Windows Identity Foundation (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0xC0A)
Introducción a las notificaciones (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0xC0A)
Identidad basada en notificaciones de SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0xC0A)
Al crear una aplicación web de SharePoint Server 2010, tiene la opción de seleccionar entre dos modos de autenticación: autenticación basada en notificaciones o autenticación de modo clásico. Para las nuevas implementaciones de SharePoint Server 2010, debe tener en cuenta la posibilidad de usar la autenticación basada en notificaciones. Al usar la autenticación basada en notificaciones, todos los tipos de autenticación compatibles están disponibles para las aplicaciones web.
Las aplicaciones de servicio siguientes requieren la conversión de credenciales basadas en notificaciones a credenciales de Windows. Este proceso de conversión usa Notificaciones al servicio de token de Windows (C2WTS):
Servicios de Excel
PerformancePoint Services
InfoPath Forms Services
Servicios de Visio
Las aplicaciones de servicio que requieren C2WTS deben usar la delegación Kerberos con restricciones. Esto se debe a que C2WTS requiere la transición de protocolos, que solo es compatible con la delegación Kerberos con restricciones. Para las aplicaciones de servicio de la lista precedente, C2WTS convierte las notificaciones de la granja de servidores en credenciales de Windows para la autenticación saliente. Es importante comprender que estas aplicaciones de servicio solo pueden aprovechar C2WTS si el método de autenticación entrante es autenticación basada en notificaciones o autenticación de modo clásico. Las aplicaciones de servicio a las que se obtiene acceso a través de aplicaciones web y que usan notificaciones de SAML o notificaciones de autenticación basada en formularios no usan C2WTS y, por lo tanto, no pueden convertir las notificaciones en credenciales de Windows.
Para obtener instrucciones exhaustivas sobre la configuración de Kerberos en nueve escenarios específicos, incluida la implementación principal, tres soluciones de Microsoft SQL Server y escenarios que usan Servicios de Excel, PowerPivot para SharePoint, Servicios de Visio, PerformancePoint Services y Servicios de conectividad empresarial, vea Configuración de la autenticación Kerberos para productos de SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0xC0A).