Relaciones entre objetos de autorización
Última modificación: miércoles, 14 de abril de 2010
Hace referencia a: SharePoint Foundation 2010
En este artículo
Usuarios, grupos y entidades de seguridad
Vista de alto nivel de las relaciones entre objetos
Tokens de usuario y listas de control de acceso
Un usuario individual (SPUser) obtiene acceso a un objeto de Microsoft SharePoint Foundation directamente mediante una asignación individual de roles o indirectamente mediante la pertenencia a un grupo de dominio o a un grupo de SharePoint (SPGroup) que tiene una asignación de roles. En una asignación de roles directa, el usuario es la entidad de seguridad (SPPrincipal). En una asignación de roles que corresponde a un grupo de dominio o a un grupo de SharePoint, el grupo de dominio o el grupo de SharePoint es la entidad de seguridad.
Usuarios, grupos y entidades de seguridad
SharePoint Foundation admite usuarios de Windows (por ejemplo, DOMINIO\alias_de_usuario) como usuarios externos (mediante la autenticación acoplable). La identidad del usuario se mantiene mediante el sistema de administración de identidades (por ejemplo, el servicio de directorio Active Directory). El perfil de usuario (que incluye el nombre para mostrar, la dirección de correo electrónico y otros datos relativos al usuario) se incluye en el ámbito del nivel de la colección de sitios. La modificación de un nombre para mostrar repercute en toda la colección de sitios.
Un grupo es una colección de usuarios a través de la cual SharePoint Foundation administra la seguridad. La administración basada en el usuario es muy sencilla para sitios simples; sin embargo, se torna más compleja a medida que crece el número de los recursos protegidos de forma exclusiva. Por ejemplo, un usuario puede tener el rol Contribute para la lista 1, el rol Read para la lista 2 y el rol Design para la lista 3. Este modelo no se escala correctamente si hay, por ejemplo, 50.000 usuarios, lo que daría lugar a listas de control de acceso (ACL) con 50.000 entradas de control de acceso (ACE) en cada objeto protegido de forma exclusiva.
Los grupos ofrecen una respuesta a los problemas de uso y escalabilidad de la administración de permisos basados en los usuarios. La administración basada en grupos puede ser más abstracta o más difícil de conceptualizar, pero facilita la administración de sitios complejos con muchos objetos protegidos de forma exclusiva. Por ejemplo, cuando se agrega un usuario a un grupo que ya tiene el rol correspondiente en varios objetos del sistema. La comprobación de permisos para grupos se escala mejor debido a que es necesario almacenar menos ACE de grupo.
SharePoint Foundation admite dos tipos de grupos: grupos de dominio y grupos de SharePoint. Los grupos de dominio permanecen fuera del control de SharePoint Foundation; los usuarios no pueden usar SharePoint Foundation para definir, examinar o modificar la pertenencia a grupos de dominio. Los grupos de SharePoint se incluyen en el ámbito del nivel de la colección de sitios y se pueden usar únicamente en la colección de sitios. Los grupos de dominio se pueden usar en cualquier parte del ámbito del servicio de directorio Active Directory.
Una entidad de seguridad es un usuario o un grupo que se usa para controlar la seguridad. Si agrega un usuario a un sitio, dicho usuario será la entidad de seguridad, pero si agrega un grupo al sitio, éste será la entidad de seguridad. La clave para escalar la seguridad en SharePoint Foundation consiste en mantener un número razonable de entidades de seguridad por ámbito. El uso de grupos permite reducir el número de entidades de seguridad que se pueden usar para conceder acceso a un número mucho mayor de usuarios.
Vista de alto nivel de las relaciones entre objetos
En la figura 1 se muestra una vista de alto nivel del sistema de administración de seguridad de SharePoint Foundation en un diagrama lógico de base de datos. Cada cuadro representa un objeto de seguridad del sistema. Las líneas representan las relaciones entre los objetos. Las anotaciones 1 y N representan el tipo de relación. En la figura se muestra cómo se estructuran los datos de permisos en un token de usuario y una ACL.
Figura 1. Relaciones del objeto de autorización
.gif "Relaciones del objeto de autorización")
Un ámbito representa un objeto o un conjunto de objetos protegidos de forma exclusiva. Puede asignar el ámbito de nivel de sitio, lista, carpeta o elemento.
Los usuarios y los grupos tienen una relación de varios a varios (de N a N). Cada usuario (SPUser) puede pertenecer a varios grupos y cada grupo (SPGroup) puede contener varios usuarios.
Los derechos y las definiciones de roles también tienen una relación de varios a varios (de N a N). Así, cada derecho (SPBasePermissions) puede formar parte de varias definiciones de roles. Por ejemplo, el derecho Insert List Items se incluye en las definiciones de roles Contributor, Designer y Administrator. Cada definición de roles (SPRoleDefinition) también puede contener varios derechos (por ejemplo, Contributor incluye los derechos para insertar, actualizar y eliminar elementos de lista).
Las definiciones de roles y las asignaciones de roles (SPRoleAssignment) tienen una relación de uno a varios (de 1 a N). Cada definición de roles se usa en varias asignaciones de roles. Los lectores de la lista 1 y los lectores de la lista 2 pueden ser distintos, pero sus asignaciones de roles pueden compartir una única definición de roles: Reader.
Los usuarios o grupos y las asignaciones de roles tienen una relación de varios a varios (de N a N). Cada usuario o grupo puede ser miembro de varias asignaciones de roles en un objeto determinado. Por ejemplo, un usuario puede tener el rol Designer y el rol Administrator en el mismo objeto.
Los ámbitos y las asignaciones de roles tienen una relación de uno a varios (de 1 a N). Cada ámbito tiene varias asignaciones de roles, pero cada asignación de roles tiene solo un ámbito. Por ejemplo, un usuario puede ser un lector en la lista de eventos y otro, un colaborador en la lista de eventos, pero ninguna de estas asignaciones de roles se aplica a la lista de anuncios. El único modo en que dos listas pueden compartir la misma asignación de roles es mediante la herencia de sus permisos del contenedor primario, en cuyo caso el ámbito de seguridad es el contenedor y no las dos listas.
Tokens de usuario y listas de control de acceso
Para agilizar la comprobación de los permisos, SharePoint Foundation implementa tokens de usuario y ACL en su modelo de seguridad. El token de usuario identifica el proceso de autenticación aplicado al usuario. Un usuario de Windows tiene un token complejo: una cadena única para el usuario (SID) y una lista de todos los grupos de dominio de Windows para el usuario (por ejemplo, DOMINIO\Departamento 15688). Un usuario que no tenga la autenticación de Windows puede tener un token muy sencillo, con una cadena única para el nombre de usuario, o un token complejo, con una pertenencia a un grupo o rol, según se expresa en la autenticación de Windows. La pertenencia a un grupo de SharePoint para cada usuario se expresa mediante un token de usuario de modo que, mediante la lectura de dicho token de usuario, SharePoint Foundation identifique todos los grupos para el usuario actual.
Una ACL es un objeto binario que determina los derechos que los usuarios y grupos tienen sobre un objeto concreto. Una ACL consta de varias ACE, siendo cada entidad de seguridad (usuario o grupo) una ACE de la ACL. Los derechos, las definiciones de roles y las asignaciones de roles se estructuran en una ACL en relación con cada ámbito a fin de que SharePoint Foundation sepa qué puede hacer cada usuario o grupo en un ámbito determinado.