Configuración de la autenticación (Windows SharePoint Services)

En este artículo:

• Configuración del acceso anónimo (Windows SharePoint Services 3.0)

• Configuración de la autenticación implícita (Windows SharePoint Services)

• Configuración de la autenticación basada en formularios (Windows SharePoint Services)

• Configuración de autenticación SSO web mediante ADFS (Windows SharePoint Services)

La autenticación es un proceso que consiste en validar la identidad del cliente, normalmente por medio de una autoridad de autenticación designada. La autenticación de sitios web permite establecer que se compruebe si un usuario, que está intentando obtener acceso a los recursos de un sitio web, es una entidad autenticada. Una aplicación de autenticación obtiene las credenciales de un usuario que solicita el acceso a un sitio web. Las credenciales pueden ser varias formas de identificación, como un nombre de usuario y una contraseña. La aplicación de autenticación intenta validar las credenciales en una autoridad de autenticación. Si las credenciales son válidas, se considerará que el usuario que envió las credenciales es una entidad autenticada.

Autenticación de Windows SharePoint Services

Para determinar el mecanismo de autenticación de Windows SharePoint Services 3.0 más adecuado, tenga en cuenta los siguientes aspectos:

• Para usar un mecanismo de autenticación de Windows, necesita un entorno que sea compatible con las cuentas de usuario que se pueden autenticar mediante una autoridad de confianza.

• Si usa un mecanismo de autenticación de Windows, el sistema operativo realizará las tareas de administración de credenciales de usuario. Si usa un proveedor de autenticación distinto de Windows, como la autenticación de formularios, debe planear e implementar un sistema de administración de credenciales y determinar dónde almacenar las credenciales del usuario.

La autenticación de Windows SharePoint Services 3.0 se basa en el modelo de autenticación de ASP.NET e incluye tres proveedores de autenticación:

• Proveedor de autenticación de Windows

• Proveedor de autenticación de formularios

• Proveedor de autenticación web SSO

Puede usar el servicio de directorio de Active Directory para la autenticación o puede diseñar el entorno para validar las credenciales de usuario con otros almacenes de datos, como una base de datos de Microsoft SQL Server, un directorio de protocolo ligero de acceso a directorios (LDAP) o cualquier otro directorio que cuente con un proveedor de pertenencia de ASP.NET 2.0. El proveedor de pertenencia especifica el tipo de almacén de datos que va a usar. El proveedor de pertenencia predeterminado de ASP.NET 2.0 usa una base de datos de SQL Server. ASP.NET 2.0 incluye un proveedor de pertenencia de SQL Server.

Los proveedores de autenticación sirven para autenticar en las credenciales de grupo y usuario que están almacenadas en Active Directory, en una base de datos de SQL Server o en un servicio de directorio LDAP distinto de Active Directory (como NDS). Para obtener más información sobre los proveedores de pertenencia de ASP.NET, vea Configuring an ASP.NET Application to Use Membership (https://go.microsoft.com/fwlink/?linkid=87014&clcid=0xC0A).

Proveedor de autenticación de Windows

El proveedor de autenticación de Windows es compatible con los siguientes métodos de autenticación:

• Autenticación anónima

  La autenticación anónima permite a los usuarios buscar recursos en las áreas públicas de los sitios web sin tener que proporcionar credenciales de autenticación. Internet Information Services (IIS) crea la cuenta de usuario IUSR_nombreDeEquipo para autenticar los usuarios anónimos en respuesta a una solicitud de contenido web. La cuenta IUSR_nombreDeEquipo, donde nombreDeEquipo es el nombre del servidor que ejecuta IIS, proporciona al usuario acceso a los recursos de forma anónima en el contexto de la cuenta IUSR. Puede restablecer el acceso anónimo de usuario para que se use cualquier cuenta válida de Windows. En un entorno independiente, la cuenta IUSR_nombreDeEquipo se encuentra en el servidor local. Si el servidor es un controlador de dominio, la cuenta IUSR_nombreDeEquipo se define para el dominio. De forma predeterminada, el acceso anónimo está deshabilitado al crear una nueva aplicación web. Esto proporciona un nivel de seguridad adicional, ya que IIS rechaza las solicitudes de acceso anónimo antes de que se puedan procesar si el acceso anónimo está deshabilitado.

• Autenticación básica

  La autenticación básica requiere que se hayan asignado previamente credenciales de cuenta de Windows para el acceso de los usuarios. La autenticación básica permite al explorador web proporcionar credenciales al realizar una solicitud durante una transacción HTTP. Puesto que las credenciales de usuario no se cifran en las transmisiones de red, sino que se envían por la red como texto simple, no se recomienda usar la autenticación básica en una conexión HTTP no segura. Para usar la autenticación básica, debe habilitar el cifrado de Capa de sockets seguros (SSL).

• Autenticación implícita

  La autenticación implícita proporciona la misma funcionalidad que la autenticación básica, pero ofrece mayor seguridad. Las credenciales de usuario se cifran en lugar de enviarse a través de la red como texto simple. Las credenciales de usuario se envían como una síntesis del mensaje MD5, en el que no se pueden descifrar el nombre de usuario y la contraseña originales. La autenticación implícita usa un protocolo de desafío/respuesta que requiere que el solicitante de autenticación presente credenciales válidas en respuesta a un desafío del servidor. Para autenticarse en el servidor, el cliente debe proporcionar una síntesis del mensaje MD5 en una respuesta que contiene una cadena de contraseña secreta compartida. El algoritmo de síntesis de mensajes MD5 se describe en detalle en Grupo de trabajo de ingeniería de Internet (IETF) RFC 1321 (http://www.ietf.org (en inglés)).

  Para usar la autenticación implícita, tenga en cuenta los siguientes requisitos:

  • El usuario y el servidor de IIS deben pertenecer al mismo dominio o ser de confianza para el mismo dominio.

  • Los usuarios deben tener una cuenta de usuario de Windows válida almacenada en Active Directory en el controlador de dominio.

  • El dominio debe usar un controlador de dominio de Microsoft Windows Server 2003.

  • Debe instalar el archivo IISSuba.dll en el controlador de dominio. Este archivo se copia automáticamente durante la instalación de Windows Server 2003.

• Autenticación integrada de Windows con NTLM

  Este método es para los servidores de Windows que no ejecutan Active Directory en un controlador de dominio. NTLM es un protocolo seguro que admite el cifrado de credenciales de usuario y la transmisión a través de una red. NTLM se basa en el cifrado de nombres de usuario y contraseñas antes de enviar los nombres de usuario y las contraseñas a través de la red. NTLM es el protocolo de autenticación que se usa en los entornos de grupo de trabajo de Windows NT Server y Windows 2000 Server, así como en muchas implementaciones de Active Directory. NTLM se usa en entornos mixtos de dominio de Active Directory de Windows 2000 que deben autenticar los sistemas Windows NT.

Proveedor de autenticación de formularios

El proveedor de autenticación basada en formularios admite la autenticación con credenciales almacenadas en Active Directory, en una base de datos como la de SQL Server o en un almacén de datos LDAP, como Novell eDirectory, Novell Directory Services (NDS) o Sun ONE. La autenticación basada en formularios permite la autenticación de usuarios basada en la validación de entrada de credenciales desde un formulario de inicio de sesión. Las solicitudes sin autenticar se redirigen a una página de inicio de sesión, donde el usuario debe proporcionar credenciales válidas y enviar el formulario. Si la solicitud se puede autenticar, el sistema emite una cookie que contiene una clave que restablece la identidad para las solicitudes posteriores.

Proveedor de autenticación de inicio de sesión único (SSO) web

SSO web se denomina también autenticación federada o autenticación delegada, ya que admite la comunicación segura a través de los límites de la red.

SSO es un método de autenticación que permite el acceso a varios recursos seguros tras una única autenticación correcta de las credenciales del usuario. Existen varias implementaciones diferentes de la autenticación SSO. La autenticación web SSO admite la comunicación segura a través de los límites de la red al permitir que los usuarios que se han autenticado en una organización tengan acceso a aplicaciones web de otra organización. Servicios de Federación de Active Directory (ADFS) admite SSO web. En un escenario de ADFS, dos organizaciones pueden crear una relación de confianza de federación que permita a los usuarios de una organización obtener acceso a aplicaciones basadas en Web controladas por la otra organización. Para obtener más información acerca de cómo usar ADFS para configurar la autenticación SSO web, vea Configuración de autenticación SSO web mediante ADFS (Windows SharePoint Services).