Autorización y autenticación
Última modificación: martes, 20 de abril de 2010
Hace referencia a: SharePoint Foundation 2010
Microsoft SharePoint Foundation admite la seguridad para el acceso de usuario en los niveles de sitio web, lista, carpeta de lista o biblioteca y elemento. La administración de la seguridad se basa en roles en todos los niveles y proporciona una administración de seguridad uniforme en toda la plataforma de SharePoint Foundation con una interfaz de usuario basada en roles coherente y un modelo de objetos destinado a asignar permisos sobre los objetos. Por consiguiente, la seguridad de los niveles de lista, carpeta o elemento implementa el mismo modelo de usuario que la seguridad de nivel de sitio web, lo que facilita la administración de derechos de usuario y los derechos de grupo en todo el sitio web. SharePoint Foundation admite asimismo los permisos exclusivos para las carpetas y los elementos contenidos en las listas y las bibliotecas de documentos.
Por autorización se entiende el proceso mediante el cual SharePoint Foundation proporciona seguridad para sitios web, listas, carpetas o elementos al determinar los usuarios que pueden realizar acciones específicas en un objeto concreto. En el proceso de autorización se da por supuesto que el usuario ya se ha autenticado, proceso mediante el cual SharePoint Foundation identifica al usuario actual. SharePoint Foundation no implementa su propio sistema de autenticación o administración de identidades, sino que se basa únicamente en sistemas externos, ya sea una autenticación de Windows o una autenticación no basada en Windows.
SharePoint Foundation es compatible con los siguientes tipos de autenticación:
Windows: todas las opciones de integración de autenticación de Microsoft Internet Information Services (IIS) y de Windows, incluidas las opciones de autenticación básica, implícita, de certificados, Windows NT LAN Manager (NTLM) y Kerberos. La autenticación de Windows permite que IIS realice la autenticación para SharePoint Foundation.
Para obtener información sobre cómo iniciar sesión en SharePoint con el modo de notificaciones de Windows, vea Notificaciones entrantes: Inicio de sesión en SharePoint.
.gif "Nota importante")
ImportantePara obtener información sobre cómo suspender la suplantación, vea Evitar la suplantación del usuario que realiza la llamada.
Formularios de ASP.NET: sistema de administración de identidades no basado en Windows que usa el sistema de autenticación acoplable basado en formularios de Microsoft ASP.NET. Este modo permite que SharePoint Foundation funcione con una serie de sistemas de administración de identidades, incluidos los grupos o roles definidos externamente, como el Protocolo ligero de acceso a directorios (LDAP) y los sistemas ligeros de administración de identidades de bases de datos. La autenticación de formularios permite que ASP.NET realice la autenticación para SharePoint Foundation, lo que suele implicar la redirección a una página de inicio de sesión. En SharePoint Foundation, los formularios de ASP.NET se admiten únicamente a través de la autenticación de notificaciones. Así, un proveedor de formularios deberá estar registrado en una aplicación web configurada para notificaciones. Para obtener información sobre el inicio de sesión en SharePoint mediante suscripciones de ASP.NET y el inicio de sesión pasivo de roles, vea Notificaciones entrantes: Inicio de sesión en SharePoint.
Nota
SharePoint Foundation no funciona con un proveedor de pertenencia que distingue mayúsculas de minúsculas, ya que usa el almacenamiento SQL que no distingue mayúsculas de minúsculas para todos los usuarios de la base de datos, con independencia del proveedor de pertenencia.
Autenticación e identidad basada en notificaciones
La identidad basada en notificaciones es un modelo de identidad en SharePoint Foundation y Microsoft SharePoint Server 2010 que incluye características como autenticación entre usuarios de sistemas de Windows y sistemas que no son de Windows, varios tipos de autenticación, autenticación en tiempo real más firme, un conjunto más amplio de tipos principales, así como delegación de identidad de usuario entre aplicaciones.
Cuando un usuario inicia sesión en SharePoint Foundation y SharePoint Server 2010, el token del usuario se valida y se usa después para iniciar sesión en SharePoint. El token del usuario es un token de seguridad emitido por un proveedor de notificaciones. Hay cinco modos de acceso o inicio de sesión admitidos en SharePoint Foundation y SharePoint Server 2010:
Inicio de sesión en modo clásico de Windows
Inicio de sesión en modo de notificaciones de Windows
Modo de inicio de sesión pasivo SAML
Inicio de sesión pasivo de roles y suscripciones de ASP.NET
Acceso anónimo
Nota
Para obtener más información sobre cómo iniciar sesión en SharePoint y los diferentes modos de inicio de sesión, vea Notificaciones entrantes: Inicio de sesión en SharePoint.
Al crear aplicaciones para notificaciones, el usuario presenta una identidad en la aplicación como conjunto de notificaciones. Una notificación puede ser el nombre del usuario, otra podría ser una dirección de correo electrónico. La idea es que un sistema de identidad externa se configura para proporcionar a la aplicación toda la información que necesita sobre el usuario con cada solicitud, junto con la comprobación criptográfica de que los datos de identidad recibidos por la aplicación provienen de una fuente de confianza.
Con este modelo, el inicio de sesión único es mucho más sencillo y la aplicación deja de ser responsable de las siguientes acciones:
Autenticación de usuarios
Almacenamiento de cuentas de usuario y contraseñas
Llamada a directorios de empresa para buscar detalles de identidad del usuario
Integración con sistemas de identidad de otras plataformas o compañías
Bajo este modelo, la aplicación toma decisiones relacionadas con identidad en función de las notificaciones proporcionadas por el usuario. Esto puede ser cualquier cosa desde la personalización sencilla de la aplicación con el nombre del usuario hasta la autorización del usuario para que obtenga acceso a recursos y características de alto nivel en la aplicación.
Nota
Para obtener más información acerca de la identidad basada en notificaciones y los proveedores de notificaciones, vea Conceptos e información general sobre la identidad basada en notificaciones y Proveedor de notificaciones.
Autenticación basada en formularios
La autenticación basada en formularios proporciona una administración de identidades personalizada en SharePoint Foundation mediante la implementación de un proveedor de pertenencia, que define las interfaces para identificar y autenticar a los usuarios individuales, y un administrador de roles, que define las interfaces para agrupar a los usuarios individuales en grupos lógicos o roles. En SharePoint Foundation, un proveedor de pertenencia debe implementar el método System.Web.Security.Membership.ValidateUser necesario. El proveedor de roles emplea el nombre de usuario para devolver una lista de roles a los que el usuario pertenece.
El proveedor de pertenencia es responsable de validar la información de credenciales a través del método System.Web.Security.Membership.ValidateUser (necesario ahora en SharePoint Foundation). No obstante, el servicio de token de seguridad (STS) crea el token de usuario real. El STS crea el token de usuario a partir del nombre de usuario validado por el proveedor de pertenencia y a partir del conjunto de pertenencias a grupos que se asocia con el nombre de usuario proporcionado por el proveedor de pertenencia.
Nota
Para obtener más información acerca de STS, vea Conceptos e información general sobre la identidad basada en notificaciones.
El administrador de roles es opcional. De este modo, si un sistema de autenticación personalizada no admite grupos, no es necesario ningún administrador de roles. SharePoint Foundation admite un proveedor de pertenencia y un administrador de roles por zona URL (SPUrlZone). Los roles de formularios de ASP.NET no tienen derechos inherentes asociados. En su lugar, SharePoint Foundation asigna derechos a las roles de formularios mediante sus directivas y autorización. En SharePoint Foundation, la autenticación basada en formularios se integra en el modelo de identidades basado en notificaciones. Si necesita un mayor aumento para soslayar el límite de un proveedor de roles por zona URL, puede basarse en proveedores de notificaciones.
Nota
Para obtener más información acerca de la identidad basada en notificaciones y los proveedores de notificaciones, vea Conceptos e información general sobre la identidad basada en notificaciones y Proveedor de notificaciones.
En el inicio de sesión de rol pasivo y pertenencia ASP.NET, el inicio de sesión ocurre al redireccionar el cliente a una página web en la que los controles del inicio de sesión ASP.NET están hospedados. Una vez creado el objeto de identidad que representa una identidad de usuario, SharePoint Foundation 2010 lo convierte en un objeto ClaimsIdentity (que representa una identidad basada en notificaciones de un usuario).
Nota
Para obtener más información acerca de cómo iniciar sesión en SharePoint, vea Notificaciones entrantes: Inicio de sesión en SharePoint.
SharePoint Foundation usa la interfaz de proveedor de roles estándar de ASP.NET 2.0 para recopilar la información de grupo del usuario actual. Por lo que respecta a la autenticación, los roles y los grupos son iguales: un método de agrupación de usuarios en conjuntos lógicos de cara a la autorización. Cada rol de ASP.NET se trata como un grupo de dominio en SharePoint Foundation.
Para obtener información acerca del marco de autenticación acoplable proporcionado por ASP.NET, vea New Security Features in ASP.NET 2.0.
Nota
Para obtener más información acerca de la autenticación basada en formularios, vea Forms Authentication in SharePoint Products and Technologies (Part 1): Introduction.