Planejar métodos de autenticação (Office SharePoint Server)
Atualizado em: 2009-04-23
Neste artigo:
Sobre autenticação
Métodos de autenticação com suporte
Configurar autenticação
Planejar autenticação para rastreamento de conteúdo
Planejar zonas para design de autenticação
Escolher métodos de autenticação permitidos em seu ambiente
Planilha
Este artigo descreve métodos de autenticação compatíveis com o Microsoft Office SharePoint Server 2007. Depois de ler este artigo, você estará apto a:
Compreender como a autenticação é implementada no Office SharePoint Server 2007.
Identificar métodos de autenticação apropriados ao seu ambiente.
Sobre autenticação
A autenticação é o processo de validação da identidade de um usuário. Após a validação da identidade de um usuário, o processo de autorização determina os sites, o conteúdo e outros recursos que ele pode acessar.
No Office SharePoint Server 2007, o processo de autenticação é gerenciado pelo IIS. Depois que o IIS executa a autenticação de usuários, os recursos de segurança do Office SharePoint Server 2007 realizam o processo de autorização.
Para obter mais informações sobre como implementar autorização do Office SharePoint Server 2007, consulte Planejar a segurança de site e de conteúdo (Office SharePoint Server).
O planejamento da autenticação é importante não somente para proteger sua solução por meio da validação das identidades dos usuários, mas também para proteger as credenciais do usuário na rede.
Métodos de autenticação com suporte
O Office SharePoint Server 2007 fornece um sistema de autenticação flexível e extensível, que oferece suporte à autenticação em sistemas de gerenciamento de identidades baseados ou não no sistema operacional Microsoft Windows. Com a integração com a autenticação conectável do ASP.NET, o Office SharePoint Server 2007 oferece suporte a uma variedade de esquemas autenticação baseados em formulários. O suporte à autenticação no Office SharePoint Server 2007 permite várias situações de autenticação, incluindo:
Usando métodos de autenticação padrão do Windows.
Usando um banco de dados simples contendo nomes e senhas de usuário.
Conectando-se diretamente a um sistema de gerenciamento de identidades da organização.
Usando dois ou mais métodos de autenticação para acessar aplicativos parceiros (por exemplo, conectar-se ao sistema de gerenciamento de identidades da empresa parceira para autenticar funcionários do parceiro e usar métodos de autenticação do Windows para autenticar funcionários internos).
Participando de sistemas de gerenciamento de identidades federados.
A tabela a seguir lista os métodos de autenticação com suporte:
| Método de autenticação | Descrição | Exemplos |
|---|---|---|
Windows |
Os métodos de autenticação padrão do IIS do Windows têm suporte. |
|
Formulários ASP.NET |
O Office SharePoint Server 2007 inclui suporte aos sistemas de gerenciamento de identidades não baseados no Windows por meio da integração com o sistema de autenticação de formulários ASP.NET. A autenticação do ASP.NET permite ao Office SharePoint Server 2007 trabalhar com sistemas de gerenciamento de identidades que implementam a interface MembershipProvider. Não é preciso recriar páginas de administração de segurança nem gerenciar contas de sombra do serviço de diretório do Active Directory. |
|
SSO (logon único) na Web |
O Office SharePoint Server 2007 oferece suporte à autenticação federada por fornecedores SSO na Web. O SSO na Web permite o SSO em ambientes que incluem serviços em execução em plataformas diferentes. Você não precisa gerenciar contas separadas do Active Directory. |
|
Autenticação de contas do sistema
A autenticação de formulários ASP.NET e o SSO na Web podem ser usados para autenticar somente contas de usuário. As contas de processo utilizadas na conexão com o software de banco de dados do Microsoft SQL Server e na execução de web farm devem ser contas do Windows, mesmo ao usar métodos alternativos de autenticação para autenticar usuários.
O Office SharePoint Server 2007 oferece suporte à autenticação do SQL Server e às contas locais de processo do computador em farms que não estejam executando o Active Directory. Por exemplo, você pode implementar contas locais usando nomes de usuário e senhas idênticos em todos os servidores de um farm.
Configurar autenticação
Embora a configuração da autenticação do Windows seja um processo simples, configurar a autenticação para usar formulários ASP.NET ou SSO na Web requer mais planejamento. Esta seção fornece um resumo de como a autenticação é configurada no Office SharePoint Server 2007. Estas informações o ajudarão a compreender como estabelecer uma estratégia de autenticação de sua solução e a determinar quem na organização precisa estar envolvido no planejamento da autenticação.
Configurar autenticação para aplicativos Web do SharePoint
A autenticação no Office SharePoint Server 2007 é configurada no nível do aplicativo Web do SharePoint. O diagrama a seguir ilustra um farm de servidores do Windows SharePoint Services configurado para hospedar sites de várias empresas. A autenticação é configurada separadamente para cada empresa.
.gif "Autenticação de host para duas empresas diferentes")
Quando você cria inicialmente ou estende um aplicativo Web, vê um número limitado de opções de autenticação (Kerberos, NTLM e anônima). Se você estiver usando um desses métodos, poderá configurar a autenticação ao criar ou estender o aplicativo Web.
A ilustração a seguir mostra as opções limitadas de autenticação que estão disponíveis quando você cria inicialmente ou estende um aplicativo Web:
.gif "Configurações de autenticação padrão")
No entanto, se você estiver usando configurações diferentes de autenticação, selecione as opções de autenticação padrão e, em seguida, configure a autenticação depois que o aplicativo Web for criado ou estendido. (Para fazer isso, na Administração Central, na página Gerenciamento de Aplicativos, na seção Segurança de Aplicativo, marque Provedores de autenticação e, em seguida, clique na zona para abrir a página Editar Autenticação.) As configurações definidas nessa página dependem do tipo de autenticação selecionado: Windows, formulários ou SSO na Web.
A ilustração a seguir mostra a página Editar Autenticação:
.gif "Página de edição de autenticação")
Dependendo das opções de autenticação selecionadas na Administração Central, talvez seja necessária configuração adicional. A tabela a seguir resume as etapas de configuração baseadas no método de autenticação. Essa tabela também indica se são necessárias funções especializadas, além da função Administrador do SharePoint.
| Método de autenticação | Configuração adicional | Funções especializadas |
|---|---|---|
Anônima |
Nenhuma |
Nenhuma |
Básica |
Nenhuma |
Nenhuma |
Digest |
Configure a autenticação Digest diretamente no IIS. |
Nenhuma |
Certificados |
|
Administrador do Windows Server 2003, para obter e configurar certificados |
NTLM (Autenticação Integrada do Windows) |
Nenhuma |
Nenhuma |
Kerberos (Autenticação Integrada do Windows) |
|
Administrador do IIS |
Formulários |
|
|
SSO na Web |
Além das etapas de configuração necessárias para autenticação de formulários ASP.NET, registre um módulo HTTP do provedor de SSO na Web. |
|
Conectar-se a sistemas de gerenciamento de identidades externos ou não baseados no Windows
Para usar formulários ASP.NET ou SSO na Web na autenticação de usuários em um sistema de gerenciamento de identidades não baseado no Windows ou externo, você deve registrar o provedor de associação no arquivo Web.config. Além de registrar um provedor de associação, você pode registrar também um gerenciador de funções. O Office SharePoint Server 2007 usa a interface do gerenciador de funções padrão do ASP.NET para coletar informações do grupo sobre o usuário atual. Cada função do ASP.NET é tratada como um grupo de domínios pelo processo de autorização do Office SharePoint Server 2007. Você registra gerenciadores de funções da mesma maneira que registra provedores de associação para autenticação.
Para gerenciar usuários ou funções de associação no site da Administração Central, você pode, opcionalmente, registrar o provedor de associação e o gerenciador de funções no arquivo Web.config do site da Administração Central (além de registrá-los no arquivo Web.config dos aplicativos que hospedam o conteúdo).
Certifique-se de que o nome do provedor de associação e do gerenciador de funções que você registrou no arquivo Web.config sejam os mesmos inseridos na página Authentication.aspx da Administração Central. Se você não inserir o gerenciador de funções no arquivo Web.config, o provedor padrão especificado no arquivo machine.config poderá ser usado no lugar.
Por exemplo, a cadeia a seguir em um arquivo Web.config especifica um provedor de associação SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obter informações adicionais sobre como usar a autenticação de formulários ASP.NET para se conectar a um provedor de autenticação do SQL Server, consulte Amostras de autenticação.
Finalmente, se você estiver usando o SSO na Web para se conectar a um sistema de gerenciamento de identidades externo, também terá de registrar um módulo HTTP no SSO na Web. Um módulo HTTP é um assembly chamado em cada solicitação feita ao seu aplicativo. Os módulos HTTP são chamados como parte do pipeline de solicitação do ASP.NET. Para obter mais informações, consulte o artigo de introdução aos módulos HTTP (https://go.microsoft.com/fwlink/?linkid=77954\&clcid=0x416).
A integração com a autenticação de formulários ASP.NET impõe requisitos adicionais ao provedor de autenticação. Além de registrar os vários elementos no arquivo Web.config, é preciso programar o provedor de associação, o gerenciador de funções e o módulo HTTP para interagir com os métodos do Office SharePoint Server 2007 e do ASP.NET, conforme indicado na seguinte tabela:
| Categoria | Descrição |
|---|---|
Provedor de associação |
Para trabalhar com o Office SharePoint Server 2007, o provedor de associação deve implementar os seguintes métodos:
|
Gerenciador de funções |
O gerenciador de funções deve implementar os seguintes métodos:
|
Módulo HTTP |
O módulo HTTP deve identificador os seguintes eventos:
|
Habilitando o acesso anônimo
Você pode habilitar o acesso anônimo em um aplicativo Web, bem como configurar um método de autenticação mais seguro. Com essa configuração, os administradores dos sites internos do aplicativo Web podem optar por permitir o acesso anônimo. Se os usuários anônimos quiserem acessar recursos protegidos, poderão clicar em um botão de logon para enviar suas credenciais.
Usando métodos de autenticação diferentes para acessar um site
Você pode configurar aplicativos Web no Office SharePoint Server 2007 para serem acessados por até cinco métodos de autenticação ou sistemas de gerenciamento de identidades diferentes. A figura a seguir ilustra um aplicativo parceiro configurado para ser acessado por usuários de dois sistemas de gerenciamento de identidades diferentes. Os funcionários internos são autenticados pelo método de autenticação padrão do Windows. Os funcionários da empresa parceira são autenticados pelo sistema de gerenciamento de identidades da própria empresa.
.gif "Diagrama de opções de Gerenciar Autenticação")
Para configurar um aplicativo Web para ser acessado por dois ou mais sistemas de autenticação diferentes, você deve configurar zonas adicionais no aplicativo Web. As zonas representam caminhos lógicos diferentes de obtenção de acesso ao mesmo aplicativo físico. Com um aplicativo parceiro típico, os funcionários de uma empresa parceira acessam o aplicativo pela Internet, enquanto os funcionários internos o acessam diretamente na intranet.
Para criar uma nova zona, estenda o aplicativo Web. Na página Estender Aplicativo Web para Outro Site do IIS, na seção URL com Carga Equilibrada , especifique a URL e o tipo de zona. O tipo de zona é simplesmente um nome de categoria aplicado à zona e não afeta a configuração dela.
Depois de estender o aplicativo Web, você pode configurar um método de autenticação diferente para a nova zona. A figura a seguir mostra a página Provedores de Autenticação de um aplicativo Web configurado usando duas zonas diferentes. A zona padrão é a usada por funcionários internos. A zona Internet é configurada para acesso do parceiro e usa formulários ASP.NET para autenticar os funcionários dele no respectivo sistema de gerenciamento de identidades.
.gif "Um aplicativo Web configurado com duas zonas")
Planejar autenticação para rastreamento de conteúdo
Para executar rastreamentos bem-sucedidos de conteúdo em um aplicativo Web, você deve entender os requisitos de autenticação do componente de índice do servidor de indexação (também chamado de rastreador ). Esta seção descreve como configurar a autenticação de aplicativos Web para garantir o rastreamento bem-sucedido desse conteúdo.
Quando um administrador de farm cria um aplicativo Web usando todas as configurações padrão, a zona padrão desse aplicativo Web é configurada para usar NTLM. O administrador de farm pode alterar o método de autenticação da zona para qualquer método de autenticação padrão aceito pelo Office SharePoint Server 2007.
O administrador de farm também pode estender um aplicativo Web uma ou mais vezes para habilitar zonas adicionais. Até cinco zonas podem ser associadas a um determinado aplicativo Web e cada zona pode ser configurada para usar qualquer método de autenticação aceito pelo Office SharePoint Server 2007.
Por padrão, o rastreador usa NTLM ao rastrear conteúdo. Um administrador de serviço de pesquisa também pode criar uma regra de rastreamento a fim de configurar o rastreador para usar um método de autenticação diferente, como autenticação básica ou certificado de cliente, em vez de NTLM, ao rastrear um intervalo específico de URLs. Para obter mais informações sobre regras de rastreamento, consulte Planejar o rastreamento de conteúdo (Office SharePoint Server).
Ordem na qual o rastreador acessa zonas
Ao planejar as zonas de um aplicativo Web, considere a ordem de sondagem na qual o rastreador acessa zonas ao tentar autenticar. A ordem de sondagem é importante, pois se o rastreador encontrar uma zona configurada para usar autenticação Digest ou Kerberos e que não use uma porta padrão (80 ou 443), a autenticação falhará e o rastreador não tentará acessar a próxima zona da ordem de sondagem. Se isso ocorrer, o rastreador não rastreará o conteúdo nesse aplicativo Web.
Observação
Faça com que o método de autenticação configurado no rastreador seja, na ordem de sondagem, anterior a uma zona configurada para Kerberos que use uma porta fora do padrão ou a autenticação Digest.
O rastreador sonda as zonas na seguinte ordem:
Zona padrão
Zona da intranet
Zona da Internet
Zona personalizada
Zona da extranet
A figura a seguir mostra as decisões tomadas pelo sistema de autenticação quando o rastreador tenta autenticar:
Como o rastreador sonda as zonas
.gif "Ordem de sondagem usada pelo rastreador")
A tabela a seguir descreve as ações associadas a cada texto explicativo na figura.
| Texto explicativo | Ação |
|---|---|
1 |
Rastreador tenta autenticar usando a zona padrão. .gif "Observação") Observação:
O rastreador sempre tenta usar a zona padrão primeiro ao tentar autenticar.
|
2 |
Se os métodos de autenticação configurados para o rastreador e a zona forem iguais, o rastreador será autenticado e seguirá para a fase de autorização. Caso contrário, irá para a etapa 3. |
3 |
Se a zona estiver configurada para autenticação Kerberos, irá para a etapa 4. Caso contrário, irá para a etapa 5. |
4 |
Se a zona estiver configurada para usar a porta 80 ou 443, o rastreador será autenticado e seguirá para a fase de autorização. Caso contrário, a autenticação falhará e o rastreador não tentará autenticar usando outra zona. Isso significa que o conteúdo não será rastreado. |
5 |
Se não houver mais zonas na ordem de sondagem, a autenticação falhará e o conteúdo não será rastreado. Caso contrário, irá para a etapa 6. |
6 |
O rastreador tenta autenticar usando a próxima zona da ordem de sondagem. Retorna à etapa 2. |
Se você configurar a zona padrão para usar um método de autenticação incompatível com o rastreador, como o SSO na Web, terá de criar pelo menos uma zona adicional e configurá-la para usar certificados, autenticação básica, Kerberos com uma porta padrão ou NTLM. Se certificados ou autenticação básica forem usados para rastrear o aplicativo Web, o administrador de serviço de pesquisa deverá criar uma regra de rastreamento a fim de configurar o rastreador para usar o método apropriado de autenticação no rastreamento desse aplicativo Web. Considere o seguinte cenário.
Cenário de autenticação
O administrador de farm cria um aplicativo Web e configura-o para usar autenticação de formulários. Como o administrador de farm quer que o conteúdo do aplicativo Web seja rastreado e indexado, e como ele sabe que o rastreador requer uma zona configurada com NTLM, autenticação básica ou certificados, ele estende o aplicativo Web e configura a zona da intranet para usar NTLM.
Quando o rastreador tenta autenticar usando a zona padrão, o sistema de autenticação descobre que o rastreador e a zona não estão configurados para usar o mesmo método de autenticação. Como a zona não está configurada para Kerberos usando uma porta fora do padrão ou autenticação Digest, e há pelo uma zona adicional na ordem de sondagem, o rastreador tenta autenticar usando a zona da intranet. Como a zona da intranet está configurada para usar NTLM e o rastreador também usa NTLM, por padrão a autenticação é bem-sucedida.
Observe que, se o administrador do farm tivesse configurado a zona da intranet para autenticação básica, em vez de NTLM, o administrador do serviço de pesquisa precisaria criar uma regra de rastreamento a fim de configurar o rastreador para usar autenticação básica no rastreamento desse aplicativo Web específico. Caso contrário, a autenticação falharia e o conteúdo não seria rastreado. Da mesma maneira, se o administrador do farm tivesse configurado a zona da intranet para usar um certificado do cliente, o administrador do serviço de pesquisa teria de criar uma regra de rastreamento a fim de configurar o rastreador para usar um certificado do cliente ao rastrear esse aplicativo Web específico. Além disso, um administrador de servidor teria de registrar o certificado do cliente no servidor de indexação; caso contrário, a autenticação falharia e o conteúdo não seria rastreado.
Observação
O planejamento eficaz da autenticação dos aplicativos Web e o planejamento do rastreamento do conteúdo desses aplicativos exigem colaboração entre os administradores de farm que criam os aplicativos Web e os administradores de serviço de pesquisa que configuram o rastreador.
Lembre-se de que, se você configurar uma zona para usar autenticação básica ou certificados e quiser que o rastreador autentique usando essa zona, o administrador do serviço de pesquisa terá de criar uma regra de rastreamento a fim de configurar o rastreador para usar o mesmo método de autenticação que a zona na qual pretende autenticá-lo. Caso contrário, o rastreador tentará usar a próxima zona disponível.
Além de configurar corretamente o método de autenticação, você deve garantir que o rastreador esteja autorizado para rastrear conteúdo no aplicativo Web. O administrador do serviço de pesquisa deve garantir que a conta de acesso ao conteúdo tenha permissão de leitura do conteúdo acessado por meio dessa zona. Os administradores de farm podem fazer isso criando uma diretiva que atribua à conta de acesso ao conteúdo permissão de leitura em um determinado aplicativo Web.
Planejar zonas para design de autenticação
Se você pretende implementar mais de um método de autenticação em um aplicativo Web usando zonas, siga estas diretrizes:
Use a zona padrão para implementar as configurações de autenticação mais seguras. Se não for possível associar uma solicitação a uma zona específica, as configurações de autenticação e outras diretivas de segurança da zona padrão serão aplicadas. A zona padrão é a criada na criação inicial de um aplicativo Web. Geralmente, as configurações de autenticação mais seguras são as criadas para acesso do usuário final. Consequentemente, a zona padrão provavelmente será aquela acessada pelos usuários finais.
Use o número mínimo de zonas exigido pelo aplicativo. Cada zona é associada a um novo site e domínio do IIS para acessar o aplicativo Web. Adicione novos pontos de acesso somente quando forem necessários.
Para que o conteúdo de um aplicativo Web seja incluído nos resultados da pesquisa, configure pelo menos uma zona para usar autenticação NTLM. O componente de índice precisa da autenticação NTLM para rastrear conteúdo. Não crie uma zona dedicada para o componente de índice se ela não for necessária.
Escolher métodos de autenticação permitidos em seu ambiente
Além da compreensão de como a autenticação está configurada, o planejamento da autenticação inclui:
Considerar o contexto ou ambiente de segurança do aplicativo Web no Office SharePoint Server 2007.
Avaliar as recomendações e as implicações de cada método.
Compreender como as credenciais dos usuários e os dados de identidade relacionados são armazenados em cache e consumidos pelo Office SharePoint Server 2007.
Compreender como as contas de usuário são gerenciadas.
Garantir que os métodos de autenticação sejam compatíveis com os navegadores usados pelos usuários.
| Ação de planilha |
|---|
Use a Planilha de métodos de autenticação (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x416) para identificar os métodos de autenticação que pretende ter em seu ambiente e registrar as decisões e recomendações de cada um. Esta planilha será usada no planejamento dos métodos de autenticação de aplicativos Web individuais no Office SharePoint Server 2007. |
Recomendações para ambientes de segurança específicos
A escolha dos métodos autenticação está voltada principalmente para o contexto de segurança do aplicativo. A tabela a seguir fornece recomendações com base nos ambientes de segurança mais comuns:
| Ambiente | Considerações |
|---|---|
Intranet interna |
No mínimo, protege as credenciais do usuário contra exibição simples. Integra-se ao sistema de gerenciamento de usuários implementado em seu ambiente. Se o Active Directory estiver implementado, usa os métodos de autenticação do Windows incluídos no IIS. |
Colaboração segura externa |
Configura uma zona diferente para cada empresa parceira que se conecta ao site. Usa o SSO na Web para autenticação no sistema de gerenciamento de identidades de cada parceiro. Isso elimina a necessidade de criar contas em seu próprio sistema de gerenciamento de identidades e também garante que as identidades dos colaboradores continuem a ser mantidas e validadas pelos empregadores parceiros. Se um colaborador não for mais funcionário de uma empresa parceira, ele não poderá mais ter acesso ao seu aplicativo parceiro. |
Anônimo externo |
Habilita o acesso anônimo (sem autenticação) e concede permissões Somente Leitura aos usuários que se conectam pela Internet. Para fornecer conteúdo direcionado ou baseado em função, você pode usar a autenticação de formulários ASP.Net para registrar usuários usando um banco de dados simples com nomes e funções dos usuários. Use o processo de registro para identificar usuários por função (como médico, paciente ou farmacêutico). Quando os usuários fizerem logon, seu site poderá apresentar conteúdo específico da função. Neste cenário, a autenticação não é usada para validar credenciais nem para limitar quem pode acessar o conteúdo; o processo de autenticação simplesmente oferece um método de direcionamento do conteúdo. |
Recomendações e implicações dos métodos de autenticação
Compreender as vantagens, as recomendações e as implicações de cada método de autenticação pode ajudar a determinar o método ideal para seu ambiente. A tabela a seguir destaca recomendações e implicações de cada método de autenticação. Para obter mais informações sobre cada método de autenticação do Windows compatível com o IIS, consulte o artigo sobre autenticação do IIS (em inglês) (https://go.microsoft.com/fwlink/?linkid=78066\&clcid=0x416) (em inglês).
| Método de autenticação | Vantagens e recomendações | Implicações |
|---|---|---|
Windows |
|
|
Formulários ASP.NET |
|
|
SSO na Web |
|
|
Gerenciamento das informações de identidade do usuário
Como as credenciais e outras informações de identidade dos usuários são processadas e usadas pelo Office SharePoint Server 2007 pode influenciar sua decisão em relação à opção de autenticação mais adequada à finalidade pretendida. Esta seção fornece detalhes de como as informações de identidade do usuário são processadas nas seguintes categorias:
Identificadores binários Como os identificadores (IDs) binários de usuário são criados ou usados pelo Office SharePoint Server 2007.
Armazenamento em cache O processo de retenção da identidade de um usuário por um período de tempo para evitar a repetição do processo de autenticação em cada solicitação.
Função e associação de grupo Além de determinar quem são os usuários, o processo de autenticação também determina a que grupos ou funções um usuário pertence. Essas informações são usadas durante o processo de autorização para determinar as ações que um usuário tem permissão para realizar. Para fins de autorização, o Office SharePoint Server 2007 trata grupos do Active Directory e funções do ASP.NET como o mesmo tipo de entidade.
A tabela a seguir detalha como o Office SharePoint Server 2007 gerencia identificadores binários de usuário, dados de usuário armazenados em cache e dados de função e associação de grupo conforme o método de autenticação usado:
| Item | Autenticação do Windows | Formulários ASP.NET e SSO na Web |
|---|---|---|
Identificadores binários |
O Office SharePoint Server 2007 usa o identificador de segurança (SID) do Windows. |
O Office SharePoint Server 2007 cria um identificador binário exclusivo combinando o nome do provedor com o nome do usuário. |
Armazenamento em cache |
As credenciais de usuário são armazenadas em cache e gerenciadas pelo IIS, pelo Explorer Internet e pelo Windows. |
O ASP.NET usa um cookie criptografado para manter as credenciais do usuário enquanto durar a sessão. |
Função e associação de grupo |
O Windows mantém a lista de grupos de domínios do Active Directory aos quais o usuário pertence no token de acesso. O Office SharePoint Server 2007 usa as informações armazenadas no token de acesso. |
Quando um gerenciador de funções é registrado, o Windows SharePoint Services usa a interface padrão desse gerenciador para coletar informações do grupo sobre o usuário atual. Cada função do ASP.NET é tratada como um grupo de domínios pelo processo de autorização. O ASP.NET pode armazenar em cache as funções às quais o usuário pertence em um cookie, dependendo das configurações definidas no arquivo Web.config. |
Gerenciamento de contas de usuário
Compreender como o Office SharePoint Server 2007 trata tarefas típicas de gerenciamento de contas de usuário também pode influenciar a escolha do método de autenticação. Geralmente, os usuários que são membros de um provedor de autenticação em uma zona podem gerenciar contas em todas as zonas, desde que tenham permissão. As informações contidas na lista a seguir aplicam-se independentemente do método de autenticação implementado:
Adicionando e convidando novos usuários Você poderá adicionar ou convidar um novo usuário de qualquer zona e de todos os métodos de autenticação configurados se o provedor de associação e o gerenciador de funções estiverem registrados no arquivo Web.config atual. Quando você adiciona um novo usuário, o Office SharePoint Server 2007 resolve o nome do usuário nas fontes a seguir, na seguinte ordem:
A tabela UserInfoList armazenada pelo Office SharePoint Server 2007. As informações do usuário estarão nessa lista se os usuários já tiverem sido adicionados a outro site.
O provedor de autenticação configurado na zona atual. Por exemplo, se um usuário for um membro do provedor de autenticação configurado na zona padrão, o Office SharePoint Server 2007 primeiro verificará esse provedor de associação.
Todos os outros provedores de autenticação.
Excluindo usuários As contas de usuário são marcadas como excluídas no banco de dados do Office SharePoint Server 2007. No entanto, o registro do usuário não é removido.
Alguns comportamentos de gerenciamento de conta de usuário no Office SharePoint Server 2007 diferem conforme o provedor de autenticação. A tabela a seguir destaca várias tarefas comuns de conta de usuário que diferem conforme o método de autenticação implementado:
| Tarefa | Contas autenticadas do Windows | Contas autenticas por formulários ASP.NET e por SSO na Web |
|---|---|---|
Adicionando e convidando novos usuários |
O Office SharePoint Server 2007 valida identidades de usuário usando o Active Directory. |
O Office SharePoint Server 2007 chama o provedor de associação e o gerenciador de funções para verificar se o usuário e as funções existem. |
Alterações nos nomes de logon |
Os nomes de usuário atualizados são automaticamente reconhecidos pelo Office SharePoint Server 2007. Novas entradas não são adicionadas à tabela UserInfoList. |
Você deve excluir o antigo nome da conta e, em seguida, adicionar o novo. As permissões não podem ser migradas. |
Fazendo logon |
Se a autenticação integrada do Windows (Kerberos ou NTLM) for usada e o navegador estiver configurado para fazer logon automaticamente, os usuários não precisarão fazer logon manualmente nos sites do SharePoint. Por padrão, o Internet Explorer está configurado para fazer logon automaticamente nos sites da intranet. Se for necessário o logon (por exemplo, sites que exijam um conjunto diferente de credenciais), apenas o nome e a senha serão solicitados ao usuário. No entanto, se a autenticação básica for usada, ou se o usuário estiver usando um navegador não configurado para logon automático, talvez sejam solicitadas ao usuário as credenciais de logon quando ele acessar um site do SharePoint. |
O Office SharePoint Server 2007 fornece uma página de logon padrão para uso na autenticação de formulários. Essa página inclui os seguintes campos: nome de usuário, senha, entre na rede automaticamente (para preservar o cookie). Você pode criar sua própria página de logon para adicionar outros controles (por exemplo, criar uma nova conta ou redefinir a senha). |
Suporte do navegador
Nem todos os navegadores funcionam com cada um dos métodos de autenticação compatíveis. Antes de selecionar métodos de autenticação para permitir em seu ambiente, determine os navegadores aos quais terá de oferecer suporte. Em seguida, determine os métodos de autenticação que são compatíveis com os navegadores. O Internet Explorer funciona com todo os métodos de autenticação aceitos. Outros navegadores compatíveis com o Office SharePoint Server 2007 incluem:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Planilha
Use a seguinte planilha para registrar os métodos de autenticação apropriados para seu ambiente:
A seguinte tabela representa um exemplo de uma planilha preenchida:
| Método de autenticação | Permitir | Não permitir | Observações e recomendações |
|---|---|---|---|
Anônima |
x |
||
Básica |
x |
||
Digest |
x |
||
Certificados |
x |
||
NTLM (Autenticação Integrada do Windows) |
x |
"Use NTLM em todos os sites de departamento, com exceção de finanças." |
|
Kerberos (Autenticação Integrada do Windows) |
x |
"Use autenticação Kerberos em sites com um contrato de nível de serviço de alta segurança." |
|
Formulários ASP.NET |
x |
"Use a autenticação de formulários para permitir o acesso de empresas parceiras aos sites hospedados na extranet do parceiro. Atualmente, permitimos a autenticação nos seguintes sistemas de gerenciamento de identidades: Active Directory e LDAP. Trabalhe com Sidney Higa no desenvolvimento de configurações de autenticação para usar na autenticação de formulários." |
|
SSO na Web |
x |
"Use este método em aplicativos parceiros somente se a empresa parceira fizer parte dos sistemas de gerenciamento de identidades federados. Consulte David Jones para obter mais informações." |
Observações adicionais: "Trabalhe com Denise Smith na aprovação de todas as configurações de autenticação dos aplicativos Web do SharePoint antes da implementação."
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.