Información general sobre autenticación para SharePoint 2013

 

Se aplica a:SharePoint Foundation 2013, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

Última modificación del tema:2014-09-09

Resumen: obtenga información sobre cómo funciona la autenticación de usuarios, de aplicaciones y de servidor a servidor en SharePoint 2013.

SharePoint 2013 requiere autenticación para los siguientes tipos de interacciones:

  • usuarios que tienen acceso a recursos de SharePoint local

  • aplicaciones que tienen acceso a recursos de SharePoint local

  • servidores de recursos locales que tienen acceso a recursos de SharePoint locales, o viceversa

En este artículo:

La autenticación de usuario es la validación de la identidad de un usuario frente a un proveedor de autenticación, que es un directorio o base de datos que contiene las credenciales del usuario y puede comprobar que el usuario las envió correctamente. La autenticación de usuario se produce cuando un usuario intenta tener acceso a un recurso de SharePoint.

SharePoint 2013 admite dos tipos de autenticación para la autenticación de usuario:

  • Autenticación basada en notificaciones

  • Autenticación de modo clásico de Windows

El resultado de una autenticación basada en notificaciones es un token de seguridad basado en notificaciones, que genera el servicio de seguridad (STS) de SharePoint. El resultado de una autenticación de modo clásico de Windows es un token de seguridad de Windows. Recomendamos que utilice la autenticación basada en notificaciones para la autenticación de usuario.

SharePoint 2013 admite autenticación de notificaciones de Windows, basadas en formularios y basadas en Lenguaje de marcado de aserción de seguridad (SAML). Para más información sobre el funcionamiento de estos tres métodos de autenticación, vea los vídeos siguientes.

Vídeo sobre la autenticación de notificaciones de Windows en SharePoint 2013

Icono Vídeo (botón de reproducción)

Vídeo sobre la autenticación de notificaciones basadas en formularios en SharePoint 2013

Icono Vídeo (botón de reproducción)

Vídeo sobre la autenticación de notificaciones basadas en SAML en SharePoint 2013

Icono Vídeo (botón de reproducción)

Para más información, vea Planear los métodos de autenticación de usuario en SharePoint 2013.

La autenticación de aplicaciones es la validación de una identidad de aplicaciones de SharePoint remota y la autorización de la aplicación y de un usuario asociado de una solicitud de recursos protegidos de SharePoint. La autenticación de aplicaciones se produce cuando un componente externo de una aplicación Almacén de SharePoint o Catálogo de aplicaciones, como un servidor web que se encuentra en la intranet o Internet, intenta obtener acceso a un recurso protegido de SharePoint.

Por ejemplo, suponga que un usuario abre una página de SharePoint que contiene un IFRAME de una aplicación de SharePoint y que IFRAME necesita un componente externo, como un servidor de intranet o Internet, para tener acceso a un recurso protegido de SharePoint para representar la página. El componente externo de la aplicación de SharePoint se debe autenticar y autorizar para que SharePoint ofrezca la información solicitada y la aplicación pueda procesar la página para el usuario.

Tenga en cuenta que si la aplicación de SharePoint no requiere un recurso protegido de SharePoint para representar la página para el usuario, no es necesaria la autenticación de la aplicación. Por ejemplo, una aplicación de SharePoint que proporcione información sobre la previsión meteorológica y solo tenga acceso a un servidor de información meteorológica en Internet no deberá utilizar la autenticación de aplicaciones. Este tipo de aplicación puede realizarse con Productos de SharePoint 2010.

La autenticación de aplicaciones es una combinación de dos procesos:

  • Autenticación

    Comprobar que la aplicación se ha registrado correctamente con un agente de la identidad de confianza

  • Autorización

    Comprobar que la aplicación y el usuario asociado para la solicitud tienen los permisos apropiados para realizar sus operaciones, como tener acceso a una lista o una carpeta o ejecutar una consulta

Para realizar la autenticación de aplicaciones, la aplicación obtiene un token de acceso del servicio de control de acceso de Microsoft Azure (ACS) o mediante un token de acceso de certificado de firma propia en el que SharePoint 2013 confía. El token de acceso garantiza una solicitud de acceso a un recurso específico de SharePoint y contiene información que identifica la aplicación y el usuario asociado, en lugar de la validación de las credenciales del usuario. El token de acceso no es un token de inicio de sesión.

Para las aplicaciones de Almacén de SharePoint, a continuación se muestra un ejemplo del proceso de autenticación:

  1. Un usuario abre una página web de SharePoint que contiene un IFRAME que debe representar una aplicación Almacén de SharePoint, que está alojada en Internet y utiliza ACS como agente de confianza. Para representar el IFRAME para el usuario, la aplicación Almacén de SharePoint debe tener acceso a un recurso de SharePoint.

  2. El STS SharePoint solicita y recibe un token de contexto de ACS.

  3. SharePoint envía la página web solicitada junto con el token de contexto para el explorador del usuario web.

  4. El explorador del usuario web envía una solicitud de contenido del IFRAME y el token de contexto al servidor de aplicaciones Almacén de SharePoint de Internet.

  5. El servidor de aplicaciones Almacén de SharePoint solicita y recibe un token de acceso de ACS.

  6. El servidor de aplicaciones Almacén de SharePointenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.

  7. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.

  8. Si se permite, SharePoint envía los datos solicitados al servidor de aplicaciones Almacén de SharePoint de Internet.

  9. El servidor de aplicaciones Almacén de SharePoint de Internet envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.

Observe cómo la aplicación Almacén de SharePoint ha obtenido acceso a los recursos de servidor de SharePoint sin tener que obtener las credenciales del usuario. El acceso se ha autenticado a través de ACS, en la que el servidor que ejecuta SharePoint 2013 confía, y autorizada a través del conjunto de permisos de usuario y aplicaciones.

Para las aplicaciones de SharePoint Catálogo de aplicaciones, se muestra a continuación un ejemplo de un proceso de autenticación:

  1. un usuario abre una página web de SharePoint que contiene un IFRAME que debe representarse mediante una aplicación Catálogo de aplicaciones que se aloja en la intranet y utiliza un certificado autofirmado para sus token de acceso. Para representar el IFRAME para el usuario, la aplicación Catálogo de aplicaciones debe tener acceso a un recurso de SharePoint.

  2. SharePoint, envía la página solicitada junto con el IFRAME al explorador de web del usuario.

  3. El explorador web del usuario envía una solicitud para el contenido del IFRAME al servidor de aplicaciones Catálogo de aplicaciones de la intranet.

  4. El servidor de aplicaciones Catálogo de aplicaciones autentica al usuario y genera un token de acceso, firmado con su certificado autofirmado.

  5. El servidor de aplicaciones Catálogo de aplicacionesenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.

  6. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.

  7. Si se permite, el servidor de SharePoint envía los datos solicitados al servidor de aplicaciones Catálogo de aplicaciones de la intranet.

  8. El servidor de aplicaciones Catálogo de aplicaciones envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.

NotaNota:
Las aplicaciones Catálogo de aplicaciones pueden utilizar ACS o un certificado autofirmado para sus token de acceso.

Para más información, vea Planear la autenticación de aplicaciones en SharePoint Server.

La autenticación de servidor a servidor es la validación de una solicitud del servidor para los recursos, que se basa en una relación de confianza establecida entre el STS del servidor que ejecuta SharePoint 2013 y el STS de otro servidor que admite el protocolo de servidor a servidor de OAuth, como la ejecución local de SharePoint 2013, Exchange Server 2013, Lync Server 2013 o servicio de flujo de trabajo de Azure y SharePoint 2013 ejecutándose en Office 365. Gracias a esta relación de confianza, un servidor solicitante puede acceder a los recursos protegidos del servidor de SharePoint en nombre de una cuenta de usuario especificada, en función de los permisos de usuario y servidor.

Por ejemplo, un servidor que ejecute Exchange Server 2013 puede solicitar recursos de un servidor que ejecute SharePoint 2013 para una cuenta de usuario. Esto contrasta con la autenticación de la aplicación, en la que la aplicación no tiene acceso a la información de credenciales de cuenta de usuario. El usuario podrá iniciar sesión actualmente en el servidor que hace la solicitud de recursos o no, dependiendo del servicio y la solicitud.

Cuando un servidor que ejecuta SharePoint 2013 intenta acceder a un recurso en un servidor o un servidor intenta acceder a un recurso de un servidor que ejecuta SharePoint 2013, se debe autenticar la solicitud de acceso entrante para que el servidor la acepte junto con los datos subsiguientes. La autenticación de servidor a servidor comprueba que el servidor que ejecuta SharePoint 2013 y el usuario que lo representa son de confianza.

El token que se utiliza para la autenticación de servidores es un token de servidor a servidor, no de inicio de sesión. El token de servidor a servidor contiene información acerca del servidor que solicita el acceso y la cuenta de usuario en cuyo nombre actúa el servidor.

Para los servidores locales, un proceso básico de ejemplo es el siguiente:

  1. un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, mostrar la lista de tareas de SharePoint 2013 y Exchange Server 2013).

  2. SharePoint 2013 genera un token de servidor a servidor.

  3. SharePoint 2013 envía el token de servidor a servidor a otro servidor.

  4. El otro servidor valida el token de servidor a servidor de SharePoint.

  5. El otro servidor envía un mensaje a SharePoint 2013 para indicar que el token de servidor a servidor enviado era válido.

  6. El servicio del servidor que ejecuta SharePoint 2013 accede a los datos del servidor.

  7. El servicio del servidor que ejecuta SharePoint 2013 representa la página para el usuario.

Cuando los dos servidores se ejecutan en Office 365, un proceso de ejemplo es el siguiente:

  1. un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, mostrar la lista de tareas de SharePoint Online y Exchange Online).

  2. SharePoint Online solicita y recibe un símbolo token de servidor a servidor de ACS.

  3. SharePoint Online envía el token de servidor a servidor al servidor Office 365.

  4. El servidor Office 365 comprueba la identidad del usuario del token de servidor a servidor con ACS.

  5. El servidor Office 365 envía un mensaje a SharePoint Online para indicar que el token de servidor a servidor enviado era válido.

  6. El servicio de SharePoint Online accede a los datos del servidor Office 365.

  7. El servicio de SharePoint Online representa la página para el usuario.

Para más información, vea Planear la autenticación de servidor a servidor en SharePoint 2013.

Mostrar: