Planeación de la configuración de la autenticación para aplicaciones web (Windows SharePoint Services)
En este artículo:
Planeación de la configuración de autenticación
Planeación de las exclusiones de autenticación
Hoja de trabajo
En este artículo se explican las opciones de configuración de autenticación que deben planearse para aplicaciones web individuales en Windows SharePoint Services 3.0. Use este artículo con la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés) Rellene una hoja de trabajo para cada uno de los siguientes elementos que forman parte de su diseño de solución en Windows SharePoint Services 3.0:
Aplicaciones web nuevas o extendidas en Windows SharePoint Services 3.0.
Zonas adicionales dentro de una aplicación web (aparte de la zona predeterminada). Incluya las zonas creadas para la cuenta de búsqueda.
Use las hojas de trabajo completadas con Implementación y configuración de sitios de SharePoint (Windows SharePoint Services).
Planeación de la configuración de autenticación
En esta sección se explican todas las opciones de configuración de la página Editar autenticación del sitio web de Administración central de SharePoint. Para obtener acceso a esta página, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, haga clic en Proveedores de autenticación. Haga clic en la zona para la que desea modificar la configuración de autenticación. Se abre la página Editar autenticación.
Según las opciones de autenticación que elija, es posible que pueda especificar la configuración de autenticación directamente al crear o extender la aplicación web en Windows SharePoint Services 3.0. Sin embargo, no todas las opciones están disponibles cuando se crea o extiende una aplicación web inicialmente. Si no puede configurar la autenticación al crear o extender una aplicación web, puede aceptar la configuración de autenticación predeterminada y editar después la configuración en la página Editar configuración.
Tipo de autenticación
Seleccione el método que desea usar. Si tiene previsto permitir el acceso anónimo en lugar de implementar uno de los métodos de autenticación mencionados en esta sección, seleccione Autenticación de Windows.
Si selecciona Windows, especifique el método de autenticación de Windows en la sección Configuración de autenticación IIS de la página Editar autenticación. Si selecciona Formularios o Inicio de sesión web único, las opciones de la página Editar autenticación cambiarán para permitirle que escriba el nombre del proveedor de pertenencia y el nombre del administrador de funciones.
Si desea usar la autenticación de certificados o la autenticación Kerberos, revise la tabla siguiente para identificar los pasos de configuración adicionales necesarios para configurar estos métodos.
Método de autenticación | Configuración adicional | Funciones especializadas |
---|---|---|
Certificados |
|
Administrador de Microsoft Windows Server 2003, para obtener y configurar certificados |
Kerberos (integrada de Windows) |
|
Administrador de IIS |
Acción de hoja de trabajo |
---|
Registre la configuración adicional necesaria en la sección de configuración adicional de la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés). |
Acceso anónimo
Indique si se permite el acceso anónimo. Si seleccionó Formularios o Inicio de sesión web único en la sección Tipo de autenticación, active la casilla Habilitar el acceso anónimo.
Integración de clientes
Puede deshabilitar la integración de clientes, la cual quita características que inician las aplicaciones cliente. Ésta es la configuración óptima para algunos escenarios, como la publicación de contenido de solo lectura en Internet para el acceso anónimo. Asimismo, si selecciona la autenticación de formularios de ASP.NET o la autenticación de inicio de sesión único (SSO) web, la integración de clientes se establece en No de manera predeterminada.
Si ha instalado Windows SharePoint Services 3.0 con SP2, se admite la integración de clientes, salvo la de Outlook. Asimismo, se admite el resto de integraciones de clientes, incluida la herramienta de creación de SharePoint Designer.
Nota
Si Windows SharePoint Services 3.0 con SP2 no está instalado, la integración de clientes se deshabilita de manera predeterminada al usar autenticación basada en formularios. Esto se debe a que la integración de clientes no admite de forma nativa la autenticación basada en formularios en las versiones anteriores a Windows SharePoint Services 3.0 con SP2.
Comportamientos esperados cuando la integración de clientes está deshabilitada
Cuando se deshabilita la integración de clientes, los sitios se comportan del siguiente modo:
Los vínculos que inician aplicaciones cliente no son visibles.
Los documentos se abren en el explorador; las aplicaciones cliente no pueden abrirlos.
Los usuarios no pueden editar documentos del sitio directamente desde las aplicaciones cliente. Sin embargo, los usuarios pueden descargar el documento, editarlo de forma local y después cargarlo.
La tabla siguiente incluye comandos de menú y características específicos que no están disponibles cuando la integración de clientes está deshabilitada.
Categoría | Comando o característica no disponible |
---|---|
Barras de herramientas |
Nuevo documento Trabajar en Microsoft Office Outlook Abrir en el Explorador de Windows Exportar a hoja de cálculo Abrir con programa de base de datos |
Editar documentos |
Editar en aplicaciones de Microsoft Office como Word y Excel. |
Vistas |
Vista del explorador Crear una vista de Access |
Bibliotecas de imágenes |
Cargar varios Editar imagen Descargar Enviar a |
Bibliotecas de diapositivas |
Publicar diapositiva Enviar a Microsoft Office PowerPoint |
Otros |
Discutir Conectar con Office Outlook |
Comportamientos de métodos de autenticación específicos
Además del escenario de implementación (como publicar contenido de solo lectura), es posible que el método de autenticación elegido determine cómo se configura la integración de clientes. Algunos métodos de autenticación se comportan de forma distinta con aplicaciones cliente. En algunos casos, el comportamiento depende de si los exploradores cliente están configurados para usar cookies persistentes o cookies de sesión.
En la siguiente tabla se resumen los posibles comportamientos de la integración de clientes cuando se usa con métodos de autenticación específicos.
Método de autenticación | Comportamiento |
---|---|
Básica |
Se solicita a los usuarios que especifiquen sus credenciales cada vez que obtengan acceso a un documento. Es posible que otras características también requieran que especifiquen sus credenciales de nuevo. |
Formularios de ASP.NET y SSO web |
Si se cumplen las siguientes condiciones, se crea una cookie persistente:
La cookie persistente es compartida por todas las aplicaciones que usan el mismo almacén de cookies y el usuario puede abrir documentos en las aplicaciones cliente. La cookie persistente se crea con un valor de tiempo de espera predeterminado de 30 minutos. Para cambiar este valor, agregue o actualice el parámetro de tiempo de espera en el nodo de formularios en el archivo Web.config. Por ejemplo:
Cuando la cookie caduca, la integración de clientes deja de funcionar. Si los usuarios se encuentran en un explorador, se les pedirá que vuelvan a especificar sus credenciales. Si el proveedor de autenticación no admite las cookies persistentes o el usuario no hizo clic en Iniciar mi sesión automáticamente cuando inició sesión, se usa una cookie de sesión. A las cookies de sesión sólo puede obtener acceso el explorador. El usuario no podrá abrir documentos directamente en las aplicaciones cliente. Si el proveedor de autenticación no admite las cookies persistentes o si éstas no se permiten en su entorno, desactive la integración de clientes. Por ejemplo, Servicios de federación de Active Directory (AD FS) no es compatible con las cookies persistentes. |
Anónimos |
Al abrir un documento, se solicitan las credenciales a los usuarios repetidamente. Si hacen clic en Cancelar en el cuadro de diálogo de autenticación diez veces, es posible que el sitio abra el documento por medio de la aplicación cliente. Debido a que esto resulta poco conveniente, se recomienda desactivar la integración de clientes en aquellos escenarios en que se usa el acceso anónimo. |
Uso del sistema operativo Windows Vista con Internet Explorer 7
En Windows Vista, Internet Explorer 7 incluye una característica de seguridad adicional llamada modo protegido. De manera predeterminada, el modo protegido está habilitado para las zonas Internet, Intranet y Sitios restringidos. Puesto que esta característica coloca las cookies persistentes en una ubicación que impide el uso compartido entre aplicaciones, la integración de clientes no funciona del modo esperado.
Para configurar Internet Explorer 7 de modo que funcione con la integración de clientes, realice una de las siguientes acciones:
Deshabilite el modo protegido.
Si el modo protegido está habilitado, agregue los sitios de SharePoint a la zona Sitios de confianza de Internet Explorer.
Para obtener más información acerca de cómo deshabilitar el modo protegido, vea la sección sobre configuración del modo protegido en la documentación que trata sobre el funcionamiento y trabajo en el modo protegido de Internet Explorer (en inglés) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0xC0A) (en inglés).
Comprobación de la configuración de la integración de clientes
Si no está seguro de cómo configurar la opción de integración de clientes, ponga a prueba los resultados en un entorno de prueba antes de implementar sitios en un entorno de producción. Si esta configuración se cambia después de aplicarse, es posible que los sitios y las aplicaciones cliente se comporten de forma inusual.
Acción de hoja de trabajo |
---|
En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), en la sección sobre habilitación de la integración de clientes, seleccione Sí o No. |
Configuración para la autenticación de formularios de ASP.NET y SSO web
Si va a implementar la autenticación de formularios de ASP.NET o SSO web, debe desarrollar las opciones de configuración que se insertarán en los archivos Web.config correspondientes. Vea Ejemplos de autenticación (Windows SharePoint Services) para ver ejemplos de cadenas configuradas correctamente para varios escenarios comunes.
Acción de hoja de trabajo |
---|
En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), especifique los dos tipos de información siguientes:
|
Asegúrese de que el nombre del proveedor de pertenencia y el nombre del administrador de funciones que registró en el archivo Web.config coinciden con el nombre que especificó en la página .aspx de autenticación de Administración central. Si no indica el administrador de funciones en el archivo Web.config, es posible que en su lugar se use el proveedor predeterminado especificado en el archivo machine.config.
Por ejemplo, la siguiente cadena de un archivo Web.config especifica un proveedor de pertenencia de SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obtener más información acerca de los requisitos para los proveedores de pertenencia y los administradores de funciones, vea la sección "Conexión a sistemas de administración de identidades que son externos o que no están basados en Windows" de Planeación de métodos de autenticación (Windows SharePoint Services).
Planeación de las exclusiones de autenticación
Si va a implementar la autenticación de formularios de ASP.NET o SSO web, debe planear las exclusiones de autenticación. Si va a implementar la autenticación de Windows, no es necesario que lea esta sección.
Al crear o extender una aplicación web o al agregar una zona a una aplicación web, IIS crea un nuevo sitio web. La configuración de autenticación registrada en el archivo Web.config para esta aplicación web la heredan los directorios virtuales bajo el sitio web. Los directorios virtuales que se agregan bajo una aplicación web en Windows SharePoint Services 3.0 no son administrados por Windows SharePoint Services 3.0 y se consideran directorios virtuales excluidos.
Si va a implementar la autenticación de formularios de ASP.NET o SSO web y tiene previsto agregar directorios virtuales bajo estos sitios web, debe decidir si desea que estos directorios virtuales excluidos hereden la configuración de la autenticación de formularios de ASP.NET o SSO web.
Acción de hoja de trabajo |
---|
En la hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés), indique si los directorios virtuales excluidos se agregarán a IIS bajo el sitio web que corresponde a esta aplicación web en Windows SharePoint Services 3.0. Si los directorios virtuales excluidos van a agregarse, indique si debe heredarse la configuración de autenticación. |
Use el siguiente procedimiento para configurar IIS de modo que no se herede la configuración de autenticación.
Configuración de IIS para que no se herede la configuración de autenticación
Agregue un nuevo directorio virtual de IIS bajo el sitio web de IIS que corresponde a la aplicación o zona web aplicable en Windows SharePoint Services 3.0.
En el Administrador de IIS, haga clic con el botón secundario en el nuevo directorio virtual y, a continuación, haga clic en Propiedades.
Haga clic en la ficha Directorio virtual.
Haga clic en Crear (esto convierte el directorio virtual en una aplicación).
Haga clic en Configuración.
Seleccione los mapas de aplicación de comodines y, a continuación, haga clic en Quitar.
Haga clic en Sí y luego en Aceptar.
Cree un nuevo archivo Web.config en la raíz de la nueva ruta de acceso al sistema de archivos del directorio virtual y agregue las siguientes entradas:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <configuration> <system.web> <httpModules> <clear /> </httpModules> <httpHandlers> <clear /> </httpHandlers> </system.web> </configuration>
Hoja de trabajo
Use la siguiente hoja de trabajo para planear y registrar las opciones de configuración para cada una de las aplicaciones web en Windows SharePoint Services 3.0.
- Hoja de trabajo de configuración de autenticación de la aplicación web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0xC0A) (en inglés)
Descargar este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Planeación y arquitectura para Windows SharePoint Services 3.0, parte 2 (en inglés)
Planeación de un entorno de Extranet para Windows SharePoint Services (en inglés)
Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.