Planejar configurações de autenticação para aplicativos Web (Windows SharePoint Services)
Atualizado em: 2009-04-28
Neste artigo:
Planejar configurações de autenticação
Planejar exclusões de autenticação
Planilha
Este artigo discute os ajustes da configuração de autenticação que precisam ser planejados para os aplicativos Web individuais no Windows SharePoint Services 3.0. Use este artigo com a Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334\&clcid=0x416) Preencha uma planilha separada para cada um dos elementos a seguir que fazem parte do design da sua solução no Windows SharePoint Services 3.0:
Aplicativos Web novos ou estendidos no Windows SharePoint Services 3.0.
Zonas adicionais em um aplicativo Web (com exceção da zona padrão). Incluir zonas que são criadas para a conta de pesquisa.
Usar planilhas concluídas com Implantar e configurar sites do SharePoint (Windows SharePoint Services).
Planejar configurações de autenticação
Esta seção discute cada uma das configurações na página Editar Autenticação do site da Administração Central do SharePoint. Para chegar a essa página, na página Gerenciamento de Aplicativos, na seção Segurança de Aplicativo, clique em Provedores de autenticação. Clique na zona onde deseja modificar as configurações de autenticação. A página Editar Autenticação será exibida.
Dependendo das opções de autenticação escolhidas, talvez seja possível especificar suas configurações de autenticação diretamente quando criar ou estender o aplicativo Web no Windows SharePoint Services 3.0. No entanto, nem todas as opções estão disponíveis quando você cria ou estende inicialmente um aplicativo Web. Se você não conseguir configurar a autenticação ao criar ou estender o aplicativo Web, poderá aceitar as configurações padrão de autenticação inicialmente e depois editá-las na página Editar Autenticação.
Tipo de autenticação
Selecione o método que deseja usar. Se você pretender permitir acessos anônimos em vez de implementar um método de autenticação listado nesta seção, selecione uma autenticação do Windows.
Se você selecionar Windows, especifique o método de autenticação do Windows na seção Configurações de Autenticação do IIS da página Editar Autenticação. Se você selecionar Formulários ou Logon único na Web, as opções na página Editar Autenticação são alteradas para permitir que você insira o nome do provedor de associação e o nome do gerenciador de função.
Se você desejar usar a autenticação de certificado ou a autenticação Kerberos, analise a tabela a seguir para identificar as etapas adicionais de configuração necessárias para configurar esses métodos.
| Método de autenticação | Configuração adicional | Funções especializadas |
|---|---|---|
Certificados |
|
Administrador do Microsoft Windows Server 2003, para obter e configurar certificados |
Kerberos (Autenticação Integrada do Windows) |
|
Administrador do IIS |
| Ação de planilha |
|---|
Registre a configuração adicional necessária na seção Configuração Adicional da Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416). |
Acesso anônimo
Indique se o acesso anônimo é permitido. Se tiver selecionado Formulários ou Logon único na Web na seção Tipo de Autenticação, marque a caixa de seleção Habilitar acesso anônimo.
Integração com cliente
É possível desabilitar a integração com cliente, que remove recursos que iniciam aplicativos cliente. É a melhor configuração para alguns cenários, como, por exemplo, a publicação de conteúdos somente leitura na Web para acesso anônimo. Além disso, se você selecionar a autenticação de formulários ASP.NET ou a autenticação de Logon Único na Web (SSO), por padrão, a integração com cliente será definida como Não.
Se você tiver instalado o Windows SharePoint Services 3.0 com Service Pack 2 (SP2), haverá suporte à integração com cliente, com exceção do suporte à integração com o Outlook. Há suporte a todos os outros tipos de integração com cliente, incluindo a criação do SharePoint Designer.
Dica
Se você não tiver instalado o Windows SharePoint Services 3.0 com SP2, a integração com cliente será desabilitada por padrão ao usar a autenticação baseada em formulários. Isso ocorre porque a integração com cliente não oferece suporte nativo à autenticação baseada em formulários antes do Windows SharePoint Services 3.0 com SP2.
Comportamentos esperados quando a integração com cliente é desabilitada
Quando a integração com cliente é desabilitada, os sites se comportam das seguintes maneiras:
Os links que iniciam os aplicativos cliente não ficam visíveis.
Os documentos são abertos no navegador e não podem ser abertos por aplicativos cliente.
Os usuários não podem editar documentos no site diretamente dos aplicativos cliente. No entanto, eles podem fazer o download do documento, editá-lo localmente e, em seguida, atualizá-lo.
A tabela a seguir lista comandos de menus e recursos específicos que não estão disponíveis quando a integração com cliente está desabilitada.
| Categoria | Comandos ou recursos indisponíveis |
|---|---|
Barras de ferramentas |
Novo documento Trabalhar no Microsoft Office Outlook Abrir no Windows Explorer Exportar para planilha Abrir com o Programa de Banco de Dados |
Edição de documentos |
Editar nos aplicativos do Microsoft Office como, por exemplo, o Word e o Excel. |
Exibições |
Exibição no Explorer Criar um modo de exibição do Acess |
Bibliotecas de imagens |
Carregar vários Editar imagem Download Enviar para |
Bibliotecas de slides |
Publicar slide Enviar para o Microsoft Office PowerPoint |
Outros |
Discussão Conexão com o Office Outlook |
Comportamentos de métodos específicos de autenticação
Além do cenário de implantação (como, por exemplo, publicação de conteúdos somente leitura), a escolha do método de autenticação pode determinar a forma de configurar a integração com cliente. Alguns desses métodos se comportam de forma diferente com os aplicativos cliente. Em alguns casos, esse comportamento depende dos navegadores cliente, que podem estar configurados para usar cookies persistentes ou cookies de sessão.
A tabela a seguir resume os possíveis comportamentos da integração com cliente quando usada com métodos específicos de autenticação.
| Método de autenticação | Comportamento |
|---|---|
Básica |
Os usuários precisam fornecer suas credenciais sempre que acessarem um documento. Outros recursos podem solicitar também que eles insiram suas credenciais novamente. |
Formulários ASP.NET e SSO na Web |
Se as condições a seguir forem verdadeiras, um cookie persistente será criado:
O cookie persistente é compartilhado por todos os aplicativos que usam o mesmo armazenamento de cookies e o usuário pode abrir documentos nos aplicativos clientes. O cookie persistente é criado com um valor de tempo limite padrão de 30 minutos. Esse valor pode ser alterado adicionando ou atualizando o parâmetro de tempo limite no nó dos formulários no arquivo Web.config. Por exemplo:
Quando o cookie expirar, a integração com cliente parará de funcionar. Se os usuários estiverem em um navegador, eles serão solicitados a inserir novamente as credenciais. Se o provedor de autenticação não oferecer suporte a cookies persistentes ou o usuário não tiver clicado em Conecte-me automaticamente quando fez logon, o cookie de sessão será usado. O cookie de sessão pode ser acessado apenas pelo navegador. O usuário não poderá abrir o documento diretamente nos aplicativos cliente. Se o provedor de autenticação não fornecer suporte para os cookies persistentes ou se eles não forem permitidos no seu ambiente, desative a integração com cliente. Por exemplo, os Serviços de Federação do Active Directory (AD FS) não fornecem suporte para cookies persistentes. |
Anônima |
Ao abrir um documento, as credenciais dos usuários são solicitadas repetidamente. Se eles clicarem em Cancelar na caixa de diálogo de autenticação dez vezes, o site pode abrir o documento usando o aplicativo cliente. Devido a esse processo ineficiente, é recomendado que a integração com cliente seja desativada para cenários de acesso anônimo. |
Uso do sistema operacional Windows Vista com Internet Explorer 7
No Windows Vista, o Internet Explorer 7 inclui um recurso adicional de segurança chamado modo protegido. Como padrão, o modo protegido está habilitado para a Internet, Intranet, e zonas de Sites Restritos. Como esse recurso coloca os cookies persistentes em um local que impede o compartilhamento entre aplicativos, a integração com cliente não funciona como deveria.
Para configurar o Internet Explorer 7 para trabalhar com integração com cliente, siga uma destas recomendações:
Desabilite o modo protegido.
Se o modo protegido estiver habilitado, adicione os sites do SharePoint às zonas de sites Confiáveis no Internet Explorer.
Para obter mais informações sobre como desabilitar o modo protegido, consulte "Configurando o modo protegido" em Entendendo e trabalhando com o Internet Explorer no modo protegido (https://go.microsoft.com/fwlink/?linkid=78098\&clcid=0x416).
Testando as configurações de integrações com cliente
Se houver alguma dúvida sobre como ajustar a configuração de integração com cliente, teste os resultados em um ambiente de teste antes de implantar sites na produção. Se essa configuração for alterada depois de aplicada, os sites e os aplicativos cliente podem se comportar de forma inesperada.
| Ação de planilha |
|---|
Na Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), na seção Habilitar Integração com Cliente, selecione Sim ou Não. |
Configurações para autenticação de formulários ASP.NET e SSO da Web
Se você estiver implementando a autenticação de formulários ASP.NET ou SSO da Web, deverá desenvolver as definições de configuração para inserir nos arquivos Web.config aplicáveis. Consulte Exemplos de autenticação (Windows SharePoint Services) para ver os exemplos das sequências de caracteres corretamente configuradas em vários cenários comuns.
| Ação de planilha |
|---|
Na Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), insira os dois tipos de informações a seguir:
|
Certifique-se de que o nome do MembershipProvider e do RoleManager que você registrou no arquivo Web.config sejam os mesmos que você inseriu na página authentication.aspx da Administração Central. Se você não inserir o gerenciador de função no arquivo Web.config, o provedor padrão especificado no arquivo machine.config pode ser usado em seu lugar.
Por exemplo, a sequência a seguir em um arquivo Web.config especifica um provedor de associação SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obter mais informações sobre os requisitos para os provedores de associação e os gerenciadores de função, consulte "Conectar-se a sistemas de gerenciamento de identidades externos ou não baseados no Windows" em Planejar métodos de autenticação (Windows SharePoint Services).
Planejar exclusões de autenticação
Ao implementar a autenticação de formulários ASP.NET ou SSO da Web, é necessário planejar as exclusões de autenticação. Se você estiver implementando a autenticação do Windows, não é necessário ler esta seção.
Quando você cria ou estende um aplicativo Web ou quando adiciona uma zona a um aplicativo Web, o IIS cria um novo site. As configurações de autenticação registradas no arquivo Web.config para este aplicativo Web são herdadas por diretórios virtuais abaixo do site. Os diretórios virtuais adicionados abaixo do aplicativo Web no Windows SharePoint Services 3.0 não são gerenciado pelo Windows SharePoint Services 3.0 e são considerados como diretórios virtuais excluídos.
Ao implementar a autenticação de formulários ASP.NET ou SSO da Web e quiser adicionar diretórios virtuais abaixo desses sites, você precisará definir se deseja que esses diretórios virtuais excluídos herdem as configurações de autenticação de formulários ASP.NET ou SSO da Web.
| Ação de planilha |
|---|
Na Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x416), indique se os diretórios virtuais excluídos serão adicionados ao IIS sob o site que corresponde a esse aplicativo Web no Windows SharePoint Services 3.0. Se os diretórios virtuais excluídos forem adicionados, indique se as configurações de autenticação deverão ser herdadas. |
Use o seguinte procedimento para configurar o IIS de forma que as configurações de autenticação não sejam herdadas.
Configurar o IIS de forma que as configurações de autenticação não sejam herdadas
Adicione um novo diretório virtual do IIS sob o site do IIS que corresponde ao aplicativo Web ou à zona aplicável no Windows SharePoint Services 3.0.
No gerenciador do IIS, clique com o botão direito do mouse no novo diretório virtual e, em seguida, clique em Propriedades.
Clique na guia Diretório Virtual.
Clique em Criar (isso faz com que o diretório virtual se torne um aplicativo).
Clique em Configuração.
Selecione os mapas de aplicativos de caractere curinga e clique em Remover.
Clique em Sim e, em seguida, em OK.
Crie um novo arquivo Web.config na raiz do caminho do sistema de arquivos do novo diretório virtual e adicione as seguintes entradas:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
Planilha
Use a seguinte planilha para planejar e registrar as definições de configuração para cada um dos seus aplicativos Web no Windows SharePoint Services 3.0.
- Planilha de configurações de autenticação do aplicativo Web (https://go.microsoft.com/fwlink/?linkid=73334\&clcid=0x416)
Baixar este manual
Este tópico está incluído no seguinte manual disponível para download para facilitar a leitura e a impressão:
Parte 2 do material sobre planejamento e arquitetura do Windows SharePoint Services 3.0
Planejando um ambiente de extranet para o Windows SharePoint Services
Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services.