Plano para autenticação de aplicativos no SharePoint Server
APLICA-SE A:
2013 2019 Subscription Edition 
SharePoint no Microsoft 365
Autenticação de aplicativo é a validação da identidade de um aplicativo para SharePoint externo e a autorização do aplicativo e de um usuário associado, quando o aplicativo solicita acesso a um recurso protegido do SharePoint. A autenticação de aplicativo ocorre quando um componente externo de um aplicativo do SharePoint Store ou de um aplicativo do App Catalog, como um servidor Web localizado na intranet ou na Internet, tenta acessar um recurso protegido do SharePoint. Por exemplo, um aplicativo para SharePoint que inclui um componente executado no Microsoft Azure é um aplicativo externo. A autenticação de aplicativo habilita um novo conjunto de funcionalidades e cenários que podem ser alcançados permitindo que os aplicativos incluam dados dos recursos do SharePoint nos resultados processados e exibidos pelo aplicativo para os usuários.
Para fornecer os recursos solicitados de um aplicativo para SharePoint, o servidor que executa o SharePoint Server deve fazer o seguinte:
Verifique se o aplicativo solicitante é confiável.
Para autenticar o aplicativo solicitante, você deve configurar o servidor que executa o SharePoint Server para que confie no aplicativo que está enviando as solicitações. Essa é uma relação de confiança unidirecional.
Verifique se o tipo de acesso que o aplicativo está solicitando é autorizado.
Para autorizar o acesso, o SharePoint Server depende do conjunto de permissões do aplicativo, especificado no arquivo de manifesto do aplicativo durante a instalação, e das permissões associadas ao usuário em nome do qual o aplicativo está agindo. O SharePoint Server também depende das permissões concedidas ao SPAppPrincipal quando a confiança foi estabelecida usando o cmdlet Set-SPAppPrincipalPermission PowerShell.
Observe que a autenticação de aplicativo no SharePoint Server é separada da autenticação de usuário, e não é usada como um protocolo de autenticação de entrada pelos usuários do SharePoint. A autenticação de aplicativo usa o protocolo OAuth (Open Authorization) 2.0 e não acrescenta ao conjunto de protocolos de autenticação de usuário ou de entrada, como o WS-Federation. Não há protocolos novos de autenticação de usuário no SharePoint Server. A autenticação de aplicativo e o OAuth não são exibidos na lista de provedores de identidade.
Introdução
O planejamento da autenticação do aplicativo consiste nas seguintes tarefas:
Identifique o conjunto de relações de confiança que você precisa configurar em um farm, onde o SharePoint Server é executado, e que corresponda aos aplicativos externos que farão solicitações aos recursos do SharePoint.
Fornecer acesso de entrada a partir dos aplicativos externos que a Internet hospeda.
Importante
Os aplicativos Web que incluem os pontos de extremidade da autenticação do aplicativo (para solicitações de entrada do aplicativos do SharePoint) devem ser configurados para usar o protocolo SSL (Secure Sockets Layer). Configure o OAuth no SharePoint Server para que ele não exija o protocolo SSL. No entanto, recomendamos isso apenas para avaliação, para facilitar a configuração ou para criar um ambiente de desenvolvimento de aplicativos.
Observação
Você somente deve planejar a autenticação de aplicativos em um farm do SharePoint se estiver usando um ou mais aplicativos do SharePoint externos que necessitem dos seus recursos.
Identificar o conjunto de relações de confiança
Você deve configurar o farm do SharePoint para confiar nos tokens de acesso que correspondem aos recursos solicitados que os seguintes tipos de aplicativos externos enviam:
Os aplicativos hospedados pelo provedor são executados em seus próprios servidores na Internet, ou em sua intranet, são registrados com Microsoft Azure e usam ACS para obter o token de acesso.
Para os aplicativos hospedados pelo provedor, você deve configurar o farm do SharePoint para confiar na instância do ACS do aplicativo hospedado pelo provedor.
Os aplicativos de alta confiança são executados em servidores autônomos na sua intranet e usam um certificado de autenticação para autenticar digitalmente os tokens de acesso que o aplicativo gerar.
Aplicativos de alta confiança usam o protocolo de servidor para servidor a fim de solicitar recursos em nome de um usuário. Para os aplicativos de alta confiança, configure o farm do SharePoint com o ponto de extremidade de metadados do JavaScript Object Notation (JSON) do servidor que hospeda o aplicativo. Também é possível configurar manualmente a confiança. Para obter mais informações, confira Configurar autenticação de aplicativo no SharePoint Server
Para saber mais sobre aplicativos de alta confiança, veja Tutorial: Criar aplicativos de alta confiança para SharePoint 2013 usando o protocolo de servidor a servidor.
Escolha os métodos de autenticação de usuário para aplicativos locais
Um aplicativo local pode ser um aplicativo hospedado pelo provedor em um servidor local ou um aplicativo hospedado pelo SharePoint. A Tabela 1 lista os diferentes métodos de autenticação de usuário do SharePoint Server, e se esse método pode ser usado para aplicativos locais do SharePoint Server.
Tabela 1. Métodos de autenticação do usuário e suporte por aplicativos locais
| Método de autenticação | Suportado para aplicativos do SharePoint hospedado | Suportado para aplicativos de provedor hospedado |
|---|---|---|
| NTLM |
Sim |
Sim |
| Kerberos |
Sim, mas somente quando está configurado para usar NTLM como um método de autenticação de fallback. Somente Kerberos não é suportado. |
Sim |
| Básica |
Sim |
Sim |
| Anônimo |
Sim |
Sim |
| Autenticação baseada em formulários usando o provedor ASP.NET padrão |
Sim |
Sim |
| Autenticação baseada em formulários usando o protocolo LDAP (Lightweight Directory Access Protocol) |
Sim |
Sim |
| Autenticação SAML (Security Assertion Markup Language) |
Sim, se o provedor de identidade dá suporte ao registro de URL (localizador de recurso uniforme) de retorno curinga e honrará o parâmetro wreply . . Para configurar o SharePoint Server a fim de usar o parâmetro wreply, use os seguintes comandos em um prompt de comando do Microsoft PowerShell: $p = Get-SPTrustedIdentityTokenIssuer$p.UseWReplyParameter = $true$p.Update()>[! OBSERVAÇÃO]> Serviços de Federação do Active Directory (AD FS) versão 2.0 do AD FS (AD FS) não dá suporte a curinga para o registro de URL de retorno. |
Sim |
Para saber mais sobre autenticação de usuários no SharePoint Server, confira Plano para métodos de autenticação do usuário no SharePoint Server.
Forneça acesso de entrada a partir dos aplicativos externos hospedados na Internet
Se os aplicativos externos hospedados pelo provedor estiverem localizados na Internet, será necessário configurar um proxy reverso da Web para autenticar o aplicativo e solicitar os recursos dos farms do SharePoint na intranet. Um proxy da Web reverso configurado na borda da sua rede permite HTTP de entrada por meio de conexões do protocolo SSL (HTTPS) a partir dos aplicativos para os seus farms do SharePoint. Geralmente, você identifica URLs (Uniform Resource Locators) baseadas em HTTPS que os aplicativos externos utilizarão para acessar e configurar o proxy reverso para publicar essas URLs e fornecer a segurança apropriada.
Considerações de serviço do aplicativo Address User Profile
Os aplicativos de alta confiança geram seus próprios tokens de acesso, incluindo uma declaração da identidade do usuário em cujo nome eles estejam agindo. O servidor que executa o SharePoint Server e atende às solicitações dos recursos de entrada deve resolver a solicitação para um usuário específico do SharePoint, um processo conhecido como reidratação da identidade do usuário. Observe que ele é diferente da autenticação do aplicativo para aplicativos hospedados pelo provedor, na qual o usuário é identificado, mas não declarado.
Para reidratar a identidade de um usuário, um servidor que executa o SharePoint Server obtém as declarações do token de acesso de entrada e as resolve para um usuário específico do SharePoint. Por padrão, o SharePoint Server usa o aplicativo de serviço Perfil de Usuário integrado como o resolvedor de identidade.
Os principais atributos do usuário para reidratar a identidade são as seguintes:
O Identificador de Segurança do Windows (SID)
O nome do usuário principal (UPN) dos serviços de domínio Active Directory (AD DS)
O endereço do Protocolo SMTP Seguro
O endereço do protocolo SIP
Portanto, o aplicativo deve incluir pelo menos um desses atributos do usuário e esse atributo deve estar atualmente nos perfis do usuário. Recomendamos uma sincronização periódica dos armazenamentos de identidade com o aplicativo de serviço User Profile.
Além disso, o SharePoint Server espera apenas uma entrada no aplicativo de serviço Perfil de Usuário para uma determinada consulta de pesquisa que tem base em um ou mais destes quatro atributos. Caso contrário, ele retorna uma condição de erro informando que vários perfis de usuário foram encontrados. Portanto, você deve excluir periodicamente os perfis de usuário obsoletos no aplicativo de serviço Perfil de Usuário para evitar vários perfis de usuário.
Se existir um perfil de usuário para um usuário e as associações de grupo relevantes não estiverem sincronizadas, o acesso pode ser negado quando o usuário deveria ter acesso a um determinado recurso. Portanto, garanta que as associações de grupo estejam sincronizadas com o aplicativo de serviço User Profile.