Planeación de métodos de autenticación (Windows SharePoint Services)
En este artículo:
Autenticación
Métodos de autenticación compatibles
Configuración de la autenticación
Planeación de la autenticación para el contenido de rastreo
Planeación de zonas para el diseño de autenticación
Selección de métodos de autenticación permitidos en el entorno
Hoja de trabajo
Este artículo describe los métodos de autenticación compatibles con Windows SharePoint Services 3.0. Tras leer el artículo, podrá:
Entender cómo se implementa la autenticación en Windows SharePoint Services 3.0.
Identificar los métodos de autenticación adecuados para su entorno.
Autenticación
La autenticación es el proceso de validar la identidad de un usuario. Después de validar la identidad de un usuario, el proceso de autorización determina los sitios, el contenido y demás características a los que puede obtener acceso el usuario.
En Windows SharePoint Services 3.0, Internet Information Services (IIS) realiza el proceso de autenticación. Después de que IIS haya autenticado a los usuarios, las características de seguridad de Windows SharePoint Services 3.0 llevan a cabo el proceso de autorización.
Para obtener más información acerca de cómo implementar la autorización en Windows SharePoint Services 3.0, vea Planeación de la seguridad de contenidos y sitios (Windows SharePoint Services).
La planeación de la autenticación es importante no sólo para proteger la solución mediante la validación de las identidades de los usuarios, sino también para proteger las credenciales de los usuarios en la red.
Métodos de autenticación compatibles
Windows SharePoint Services 3.0 proporciona un sistema de autenticación extensible y flexible que admite la autenticación para sistemas de administración de identidades basados o no en el sistema operativo Microsoft Windows. Al integrarse con la autenticación conectable de ASP .NET, Windows SharePoint Services 3.0 admite diversos esquemas de autenticación basados en formularios. La compatibilidad con autenticación de Windows SharePoint Services 3.0 permite diversos escenarios de autenticación, entre ellos:
Uso de métodos de autenticación de Windows estándar.
Uso de una base de datos simple de nombres de usuario y contraseñas.
Conexión directa al sistema de administración de identidades de una organización.
Uso de dos o más métodos de autenticación para obtener acceso a aplicaciones de socios (por ejemplo, una conexión al sistema de administración de identidades de su compañía asociada para autenticar a los empleados de su socio al tiempo que se usan métodos de autenticación de Windows para autenticar a sus empleados internos).
Participación en sistemas de administración de identidades federados.
La tabla siguiente enumera los métodos de autenticación admitidos:
| Método de autenticación | Descripción | Ejemplos |
|---|---|---|
Windows |
Se admiten los métodos de autenticación de Windows IIS estándar. |
|
Formularios de ASP.NET |
Windows SharePoint Services 3.0 agrega compatibilidad con los sistemas de administración de identidades que no están basados en Windows gracias a su integración con el sistema de autenticación de formularios de ASP.NET. La autenticación de ASP.NET permite a Windows SharePoint Services 3.0 trabajar con sistemas de administración de identidades que implementan la interfaz MembershipProvider. No es necesario volver a escribir las páginas de administración de seguridad ni administrar las cuentas del servicio de directorio de Active Directory secundarias. |
|
Inicio de sesión único (SSO) web |
Windows SharePoint Services 3.0 admite la autenticación federada a través de proveedores de SSO web. El SSO web habilita el inicio de sesión único en entornos que incluyen servicios que se ejecutan en plataformas distintas. No es necesario administrar cuentas de Active Directory separadas. |
|
Autenticación de cuentas del sistema
La autenticación de formularios de ASP.NET y el SSO web se pueden usar para autenticar sólo cuentas de usuario. Las cuentas de proceso usadas para conectarse al software de la base de datos de Microsoft SQL Server y ejecutar la granja de servidores web deben ser cuentas de Windows, incluso si se usan métodos de autenticación alternativos para autenticar a los usuarios.
Windows SharePoint Services 3.0 admite la autenticación de SQL Server y las cuentas de proceso de equipos locales para granjas de servidores que no ejecutan Active Directory. Por ejemplo, puede implementar cuentas locales con nombres de usuario y contraseñas idénticos en todos los servidores de una granja.
Configuración de la autenticación
Aunque configurar la autenticación de Windows es un proceso sencillo, configurar la autenticación para que use formularios de ASP.NET o el SSO web requiere una mayor planeación. En esta sección se proporciona un resumen acerca de cómo se configura la autenticación en Windows SharePoint Services 3.0. Esta información le ayudará a entender cómo preparar una estrategia de autenticación para cada solución y a determinar a quién es necesario involucrar dentro de su organización en la planeación de la autenticación.
Configuración de la autenticación para aplicaciones web de SharePoint
La autenticación en Windows SharePoint Services 3.0 se configura en el nivel de la aplicación web de SharePoint. El siguiente diagrama muestra una granja de servidores de Windows SharePoint Services configurada para hospedar sitios de varias compañías. La autenticación se configura por separado para cada una de las compañías.
.gif "Autenticación de hospedaje para dos empresas distintas")
Cuando crea o extiende una aplicación web inicialmente, se le presenta un número limitado de opciones de autenticación (Kerberos, NTLM y anónima). Si va a usar uno de estos métodos, puede configurar la autenticación al crear o extender la aplicación web.
La siguiente ilustración muestra las opciones de autenticación limitadas que están disponibles al crear o extender una aplicación web inicialmente:
.gif "Configuración de autenticación predeterminada")
Sin embargo, si va a usar una configuración de autenticación distinta, seleccione las opciones de autenticación predeterminadas y configure la autenticación después de crear o extender la aplicación web. (Para hacerlo, en Administración central, en la página Administración de aplicaciones, en la sección Seguridad de aplicaciones, seleccione Proveedores de autenticación y haga clic en la zona para abrir la página Editar autenticación.) Las opciones que se configuran en esta página dependen del tipo de autenticación que se seleccione: Windows, formularios o SSO web.
La siguiente ilustración muestra la página Editar autenticación:
.gif "Página de edición de autenticación")
Dependiendo de las opciones de autenticación que seleccione en Administración central, es posible que necesite establecer opciones de configuración adicionales. En la tabla siguiente se resumen los pasos de configuración según el método de autenticación. En ella también se indica si se necesitan funciones especializadas además de Administrador de SharePoint.
| Método de autenticación | Configuración adicional | Funciones especializadas |
|---|---|---|
Anónima |
Ninguno |
Ninguno |
Básica |
Ninguna |
Ninguna |
Implícita |
Configure la autenticación implícita directamente en IIS. |
Ninguna |
Certificados |
|
Administrador de Windows Server 2003, para obtener y configurar certificados |
NTLM (integrada de Windows) |
Ninguna |
Ninguna |
Kerberos (integrada de Windows) |
|
Administrador de IIS |
Formularios |
|
|
SSO web |
Además de los pasos de configuración necesarios para la autenticación de formularios de ASP.NET, registre un módulo HTTP para el proveedor de SSO web. |
|
Conexión a sistemas de administración de identidades que son externos o que no están basados en Windows
Para usar formularios de ASP.NET o el SSO web para autenticar usuarios con un sistema de administración de identidades que no está basado en Windows o que es externo, debe registrar el proveedor de pertenencia en el archivo Web.config. Además de registrar un proveedor de pertenencia, también puede registrar un administrador de funciones. Windows SharePoint Services 3.0 usa una interfaz de administrador de funciones de ASP.NET estándar para recopilar información de grupo acerca del usuario actual. El proceso de autorización de Windows SharePoint Services 3.0 trata cada función de ASP.NET como un grupo de dominio. Los administradores de funciones se registran en el archivo Web.config del mismo modo que se registran proveedores de pertenencia para la autenticación.
Si desea administrar funciones y usuarios suscritos desde el sitio Administración central, tiene la opción de registrar el proveedor de pertenencia y el administrador de funciones en el archivo Web.config del sitio de Administración central (además de registrarlos en el archivo Web.config de la aplicación web que hospeda el contenido).
Asegúrese de que el nombre del proveedor de pertenencia y el nombre del administrador de funciones que registró en el archivo Web.config coinciden con el nombre que especificó en la página .aspx de autenticación de Administración central. Si no indica el administrador de funciones en el archivo Web.config, es posible que en su lugar se use el proveedor predeterminado especificado en el archivo machine.config.
Por ejemplo, la siguiente cadena de un archivo Web.config especifica un proveedor de pertenencia a SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obtener más información acerca del uso de la autenticación de formularios de ASP.NET para conectarse a un proveedor de autenticación de SQL Server, vea Ejemplos de autenticación (Windows SharePoint Services).
Finalmente, si va a usar el SSO web para conectarse a un sistema de administración de identidades externo, también debe registrar un módulo HTTP para el SSO web. Un módulo HTTP es un ensamblado que se llama en cada solicitud realizada a su aplicación. Los módulos HTTP se llaman como parte de la canalización de solicitudes de ASP.NET. Para obtener más información, vea Introducción a módulos HTTP (https://msdn.microsoft.com/es-es/library/ms178468(vs.80).aspx).
La integración con la autenticación de formularios de ASP.NET implica requisitos adicionales para el proveedor de autenticación. Además de registrar los distintos elementos en el archivo Web.config, es necesario programar el proveedor de pertenencia, el administrador de funciones y el módulo HTTP para que interactúen con los métodos de Windows SharePoint Services 3.0 y ASP.NET, tal como se indica en la tabla siguiente:
| Categoría | Descripción |
|---|---|
Proveedor de pertenencia |
Para que funcione con Windows SharePoint Services 3.0, el proveedor de pertenencia debe implementar los métodos siguientes:
|
Administrador de funciones |
El administrador de funciones debe implementar los métodos siguientes:
|
Módulo HTTP |
El módulo HTTP debe administrar los siguientes eventos:
|
Habilitación del acceso anónimo
Puede habilitar el acceso anónimo para una aplicación web además de configurar un método de autenticación más seguro. Con esta configuración, los administradores de sitios de la aplicación web pueden permitir el acceso anónimo. Si los usuarios anónimos desean obtener acceso a recursos y capacidades protegidos, pueden hacer clic en un botón de inicio de sesión para enviar sus credenciales.
Uso de distintos métodos de autenticación para obtener acceso a un sitio
Puede configurar las aplicaciones web de Windows SharePoint Services 3.0 de modo que puedan obtener acceso a ellas hasta cinco métodos de autenticación o sistemas de administración de identidades diferentes. La siguiente ilustración muestra una aplicación de socio configurada para que obtengan acceso a ella los usuarios de dos sistemas de administración de identidades distintos. Los empleados internos se autentican por medio de uno de los métodos de autenticación de Windows estándar. Los empleados de la compañía asociada se autentican con su propio sistema de administración de identidades de la compañía.
.gif "Diagrama de administración de opciones de autenticación")
Para configurar una aplicación web para que obtengan acceso a ella dos o más sistemas de autenticación distintos, debe configurar zonas adicionales para la aplicación web. Las zonas representan distintas rutas lógicas para obtener acceso a la misma aplicación física. Con la típica aplicación de socio, los empleados de una compañía asociada obtienen acceso a la aplicación a través de Internet, mientras que los empleados internos lo hacen directamente a través de la intranet.
Para crear una nueva zona, extienda la aplicación web. En la página Extender una aplicación web a otro sitio web de IIS, en la sección Dirección URL de carga equilibrada, especifique la dirección URL y el tipo de zona. El tipo de zona es simplemente un nombre de categoría que se aplica a la zona y no afecta a la configuración de la misma.
Después de extender la aplicación web, puede configurar otro método de autenticación para la nueva zona. La siguiente ilustración muestra la página Proveedores de autenticación para una aplicación web configurada mediante dos zonas distintas. La zona predeterminada es la zona que usan los empleados internos. La zona de Internet está configurada para el acceso de socios y usa formularios de ASP.NET para autenticar a los empleados del socio con el sistema de administración de identidades del socio.
.gif "Aplicación web configurada con dos zonas")
Planeación de la autenticación para el contenido de rastreo
Para realizar rastreos correctos del contenido de una aplicación web, debe comprender los requisitos de autenticación del componente de índice del servidor de búsqueda (también conocido como rastreador). En esta sección se describe cómo configurar la autenticación para las aplicaciones web para garantizar que el contenido de dichas aplicaciones web pueda ser rastreado correctamente.
Cuando el administrador de una granja de servidores crea una aplicación web con todas las opciones de configuración predeterminadas, la zona predeterminada para esta aplicación web queda configurada para usar NTLM. El administrador de la granja de servidores puede cambiar el método de autenticación para la zona predeterminada a cualquier método de autenticación admitido por Windows SharePoint Services 3.0.
El administrador de la granja de servidores también puede extender una aplicación web una o varias veces para habilitar más zonas. Se pueden asociar hasta cinco zonas con una aplicación web determinada, y cada zona se puede configurar para usar cualquier método de autenticación admitido por Windows SharePoint Services 3.0.
Orden en el que obtiene acceso a las zonas el rastreador
A la hora de planear zonas para una aplicación web, tenga en cuenta el orden de sondeo en que el rastreador tiene acceso a las zonas al intentar autenticar. El orden de sondeo es importante, porque si el rastreador encuentra una zona configurada para usar una autenticación básica, implícita o Kerberos, la autenticación fallará y el rastreador no intentará tener acceso a la siguiente zona en el orden de sondeo. Si esto ocurre, el rastreador no rastreará contenido en dicha aplicación web.
Sugerencia
Asegúrese de que una zona configurada para NTLM es anterior en el orden de sondeo a una zona configurada para la autenticación básica, implícita o Kerberos.
El rastreador sondea las zonas en el siguiente orden:
Zona predeterminada
Zona de intranet
Zona de Internet
Zona personalizada
Zona de extranet
La siguiente ilustración muestra las decisiones que toma el sistema de autenticación cuando el rastreador intenta autenticar:
.gif "Muestra el orden de las zonas de sondeo del rastreador de datos.")
En la siguiente tabla se describen las acciones asociadas con cada leyenda de la ilustración:
| Leyenda | Acción |
|---|---|
1 |
El rastreador intenta autenticar mediante la zona predeterminada. Nota El rastreador siempre intenta usar la zona predeterminada en primer lugar al intentar autenticar una aplicación web en particular. |
2 |
Si la zona está configurada para NTLM, el rastreador se autentica y continúa en la fase de autorización. |
3 |
Si la zona está configurada para una autenticación básica, implícita o Kerberos, la autenticación fallará y el rastreador no intentará autenticar mediante otra zona. Esto significa que el contenido no se rastreará. |
4 |
Si no hay más zonas en el orden de sondeo, se produce un error de autenticación y no se rastrea el contenido. |
5 |
El rastreador intenta autenticar mediante la siguiente zona en el orden de sondeo. |
Si configura la zona predeterminada para usar un método de autenticación con el que el rastreador no es compatible (por ejemplo, autenticación de formularios o SSO web), deberá crear al menos una zona adicional y configurar dicha zona para usar la autenticación NTLM. Tenga en cuenta la situación siguiente.
Escenario de autenticación
El administrador de la granja de servidores crea una aplicación web y la configura para usar la autenticación de formularios. Puesto que el administrador de la granja de servidores desea rastrear e indizar el contenido de la aplicación web, y puesto que sabe que el rastreador requiere una zona configurada con NTLM, extenderá la aplicación web y configurará la zona Intranet para usar NTLM.
Cuando el rastreador intenta autenticarse mediante la zona predeterminada, el sistema de autenticación determina que el rastreador y la zona no están configurados para usar el mismo método de autenticación. Debido a que la zona no está configurada para la autenticación básica, implícita o Kerberos y hay al menos una zona adicional en el orden de sondeo, el rastreador intentará autenticar mediante la zona de intranet. Dado que la zona Intranet está configurada para usar NTLM y el rastreador también usa NTLM, la autenticación se realizará correctamente.
Además de configurar correctamente el método de autenticación, deberá asegurarse de que el rastreador esté autorizado para rastrear contenido de la aplicación web. Para ello, debe asegurarse de que las credenciales usadas para la cuenta de acceso a contenido tengan el nivel de permiso de acceso completo de lectura o superior en la aplicación web que se va a rastrear. Los administradores de la granja de servidores pueden usar la página de la directiva de la aplicación web de Administración central para crear una directiva que conceda a la cuenta de acceso a contenido el nivel de permiso de acceso completo de lectura en una aplicación web en particular.
Rastreo de colecciones de sitios con nombre de host
El proceso y las reglas mostrados en la ilustración anterior no son aplicables a colecciones de sitios con nombre de host. Esto se debe a que dichas colecciones están disponibles sólo en la zona predeterminada. Si no configura la zona predeterminada para usar NTLM al implementar colecciones de sitios con nombre de host, deberá configurar un método alternativo para el componente de índice para tener acceso al contenido.
Para obtener más información acerca de cómo rastrear colecciones de sitios con nombre de host que no están configuradas para la autenticación NTLM, vea los artículos siguientes:
Preparación del rastreo de sitios con nombre de host que usen autenticación por formularios
Preparación del rastreo de sitios con nombre de host que usen autenticación básica
Planeación de zonas para el diseño de autenticación
Si tiene previsto implementar más de un método de autenticación para una aplicación web por medio de zonas, siga las siguientes pautas:
Use la zona predeterminada para implementar la configuración de autenticación más segura. Si no se puede asociar una solicitud con una zona específica, se aplican la configuración de autenticación y otras directivas de seguridad de la zona predeterminada. La zona predeterminada es la zona que se crea cuando se crea una aplicación web inicialmente. Normalmente, la configuración de autenticación más segura está diseñada para el acceso de usuarios finales. Por tanto, es probable que la zona predeterminada sea la zona a la que obtengan acceso los usuarios finales.
Use el número de zonas mínimo que requiera la aplicación. Cada zona está asociada con un nuevo dominio y sitio de IIS para obtener acceso a la aplicación web. Agregue nuevos puntos de acceso sólo cuando sean necesarios.
Si desea que el contenido de la aplicación web se incluya en los resultados de las búsquedas, asegúrese de que al menos una zona esté configurada para usar la autenticación NTLM. El componente de indización necesita la autenticación NTLM para rastrear el contenido. No cree una zona dedicada para el componente de indización a menos que sea necesario.
Selección de métodos de autenticación permitidos en el entorno
Además de entender cómo se configura la autenticación, la planeación para la autenticación implica:
Considerar el contexto o el entorno de seguridad de la aplicación web en Windows SharePoint Services 3.0.
Evaluar las recomendaciones y las desventajas de cada método.
Entender cómo Windows SharePoint Services 3.0 copia en memoria caché y consume las credenciales de usuario y los datos de identidad relacionados.
Entender cómo se administran las cuentas de usuario.
Asegurarse de que los métodos de autenticación sean compatibles con los exploradores que usan los usuarios.
| Acción de hoja de trabajo |
|---|
Use la hoja de trabajo de métodos de autenticación (https://office.microsoft.com/search/redir.aspx?AssetID=AM101587611033) para identificar los métodos de autenticación para los que está dispuesto a ofrecer compatibilidad en su entorno y registre sus decisiones y recomendaciones para cada uno. Esta hoja de trabajo se usará al planear métodos de autenticación para aplicaciones web individuales en Windows SharePoint Services 3.0. |
Recomendaciones para entornos de seguridad específicos
La elección de los métodos de autenticación depende sobre todo del contexto de seguridad de cada aplicación. En la siguiente tabla se proporcionan recomendaciones basadas en los entornos de seguridad más comunes:
| Entorno | Consideraciones |
|---|---|
Intranet interna |
Como mínimo, proteja las credenciales de los usuarios para que no queden a plena vista. Sírvase del sistema de administración de usuarios implementado en su entorno. Si Active Directory está implementado, use los métodos de autenticación de Windows integrados en IIS. |
Colaboración externa segura |
Configure zonas separadas para cada compañía asociada que se conecte al sitio. Use el SSO web para la autenticación en el sistema de administración de identidades de cada socio. Así se evita tener que crear cuentas en su propio sistema de administración de identidades y se garantiza que las identidades de los colaboradores siguen manteniéndolas y validándolas los empleados del socio. Si un colaborador ya no trabaja para una compañía asociada, ya no podrá obtener acceso a su aplicación de socio. |
Anónimo externo |
Habilite el acceso anónimo (sin autenticación) y habilite permisos de solo lectura para los usuarios que se conectan desde Internet. Si desea proporcionar contenido dirigido o basado en funciones, puede usar la autenticación de formularios de ASP.NET para registrar usuarios mediante una base de datos simple de nombres de usuario y funciones. Use el proceso de registro para identificar usuarios por función (como doctor, paciente o farmacéutico). Cuando los usuarios inicien sesión, el sitio puede presentar contenido específico para la función de usuario. En esta situación, la autenticación no se usa para validar credenciales ni limitar quién puede obtener acceso al contenido; el proceso de autenticación simplemente constituye un método para dirigir contenido. |
Recomendaciones y desventajas de los métodos de autenticación
Entender las ventajas, recomendaciones y desventajas de cada método de autenticación en particular puede ayudarle a determinar qué métodos debe usar en su entorno. En la siguiente tabla se ponen de relieve las recomendaciones y las desventajas de cada método de autenticación. Para obtener más información acerca de cada uno de los métodos de autenticación de Windows que admite IIS, vea Autenticación de IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0xC0A).
| Método de autenticación | Ventajas y recomendaciones | Desventajas |
|---|---|---|
Windows |
|
|
Formularios de ASP.NET |
|
|
SSO web |
|
|
Administración de la información de identidad de usuarios
El modo en que Windows SharePoint Services 3.0 usa y procesa las credenciales de los usuarios y otra información de identidad puede influir en su decisión sobre qué opciones de autenticación son mejores para sus propósitos. En esta sección se explica cómo se procesa la información de identidad de usuarios en las siguientes categorías:
Identificadores binarios Modo en que Windows SharePoint Services 3.0 crea o usa identificadores binarios de usuarios.
Almacenamiento en memoria caché Proceso según el cual se conserva la identidad del usuario durante un período de tiempo para evitar repetir el proceso de autenticación para cada solicitud.
Pertenencia a grupos y funciones Además de determinar quién son los usuarios, el proceso de autenticación también determina las funciones o los grupos a los que pertenecen. Esta información se usa durante el proceso de autorización para determinar qué acciones tiene permisos para realizar cada usuario. Al llevar a cabo la autorización, Windows SharePoint Services 3.0 trata los grupos de Active Directory y las funciones de ASP.NET como un mismo tipo de entidad.
En la siguiente tabla se explica cómo administra Windows SharePoint Services 3.0 los identificadores binarios, los datos de usuario en memoria caché y los datos de pertenencia a grupos y funciones dependiendo del método de autenticación usado:
| Elemento | Autenticación de Windows | Formularios de ASP.NET y SSO web |
|---|---|---|
Identificadores binarios |
Windows SharePoint Services 3.0 usa el identificador de seguridad de Windows (SID). |
Windows SharePoint Services 3.0 crea un identificador binario único combinando el nombre de proveedor con el nombre de usuario. |
Almacenamiento en memoria caché |
IIS, Internet Explorer y Windows copian en memoria caché y administran las credenciales de los usuarios. |
ASP.NET usa una cookie cifrada para conservar las credenciales del usuario mientras dure la sesión. |
Pertenencia a grupos y funciones |
Windows mantiene una lista de los grupos de dominio de Active Directory a los que pertenece el usuario en el token de acceso. Windows SharePoint Services 3.0 usa información almacenada en el token de acceso. |
Cuando se registra un administrador de funciones, Windows SharePoint Services usa la interfaz de administrador de funciones estándar para recopilar información de grupo del usuario actual. El proceso de autorización trata cada función de ASP.NET como un grupo de dominio. ASP.NET puede almacenar las funciones a las que pertenece el usuario en una cookie, dependiendo de la configuración establecida en el archivo Web.config. |
Administración de cuentas de usuario
Entender cómo realiza Windows SharePoint Services 3.0 las típicas tareas de administración de cuentas de usuario también puede influir en el método de autenticación que se elige. Por lo general, los usuarios que son miembros de un proveedor de autenticación en una zona pueden administrar cuentas en todas las zonas siempre que se les concedan permisos. La información de la lista siguiente es aplicable independientemente del método de autenticación que se implemente:
Adición e invitación de nuevos usuarios Puede agregar o invitar a un nuevo usuario desde cualquier zona y todos los métodos de autenticación configurados si el proveedor de pertenencia y el administrador de funciones están registrados en el archivo Web.config actual. Al agregar un nuevo usuario, Windows SharePoint Services 3.0 resuelve el nombre de usuario con los siguientes recursos y en el siguiente orden:
La tabla UserInfoList que almacena Windows SharePoint Services 3.0. La información del usuario estará en esta lista si los usuarios ya se agregaron a otro sitio.
El proveedor de autenticación configurado para la zona actual. Por ejemplo si un usuario es miembro del proveedor de autenticación configurado para la zona predeterminada, Windows SharePoint Services 3.0 comprueba primero este proveedor de pertenencia asociado.
Todos los demás proveedores de autenticación.
Eliminación de usuarios Las cuentas de usuario están marcadas como eliminadas en la base de datos de Windows SharePoint Services 3.0. Sin embargo, el registro del usuario no se quita.
Algunos comportamientos de administración de cuentas de usuario en Windows SharePoint Services 3.0 difieren dependiendo del proveedor de autenticación. En la siguiente tabla se ponen de relieve varias tareas de cuentas de usuario comunes que difieren según el método de autenticación que se implemente:
| Tarea | Cuentas autenticadas por Windows | Cuentas autenticadas por formularios de ASP.NET y autenticadas por SSO web |
|---|---|---|
Adición e invitación de nuevos usuarios |
Windows SharePoint Services 3.0 valida las identidades de usuario por medio de Active Directory. |
Windows SharePoint Services 3.0 llama al proveedor de pertenencia y al administrador de funciones para comprobar que el usuario y las funciones existen. |
Cambios en nombres de inicio de sesión |
Los nombres de usuario actualizados son reconocidos automáticamente por Windows SharePoint Services 3.0. Las nuevas entradas no se agregan a la tabla UserInfoList. |
Debe eliminar el nombre de cuenta anterior y, a continuación, agregar el nuevo nombre de cuenta. Los permisos no se pueden migrar. |
Inicio de sesión |
Si se usa la autenticación integrada de Windows (Kerberos o NTLM) y el explorador está configurado para iniciar sesión automáticamente, los usuarios no tienen que iniciar sesión en los sitios de SharePoint manualmente. De manera predeterminada, Internet Explorer está configurado para iniciar sesión en los sitios de la intranet automáticamente. Si se requiere iniciar sesión (por ejemplo, en sitios que requieren otras credenciales), sólo se pide a los usuarios un nombre de usuario y una contraseña. Sin embargo, si se usa la autenticación básica o si el usuario está usando un explorador no configurado para iniciar sesión automáticamente, es posible que se pida a los usuarios sus credenciales de inicio de sesión cuando obtengan acceso a un sitio de SharePoint. |
Windows SharePoint Services 3.0 proporciona una página de inicio de sesión estándar para su uso con la autenticación de formularios. Esta página incluye los siguientes campos: Nombre de usuario, Contraseña e Iniciar sesión automáticamente (para conservar la cookie). Puede crear su propia página de inicio de sesión para agregar más controles de inicio de sesión (por ejemplo, Crear nueva cuenta o Restablecer contraseña). |
Compatibilidad con exploradores
No todos los exploradores funcionan con cada uno de los métodos de autenticación admitidos. Antes de seleccionar los métodos de autenticación que se permitirán en su entorno, determine para qué exploradores necesita proporcionar compatibilidad. A continuación, determine qué métodos de autenticación admiten los exploradores. Internet Explorer funciona con todos los métodos de autenticación admitidos. Entre los otros exploradores compatibles con Windows SharePoint Services 3.0 se encuentran:
Netscape 8,0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Hoja de trabajo
Use la siguiente hoja de trabajo para registrar los métodos de autenticación que son adecuados para su entorno:
- Hoja de trabajo de los métodos de autenticación (en inglés) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0xC0A) (en inglés)
La tabla siguiente constituye un ejemplo de una hoja de trabajo completada:
| Método de autenticación | Permitir | No permitir | Notas y recomendaciones |
|---|---|---|---|
Anónimos |
x |
||
Básica |
x |
||
Implícita |
x |
||
Certificados |
x |
||
NTLM (integrada de Windows) |
x |
*"Usar NTLM para todos los sitios de departamentos excepto el de finanzas."* |
|
Kerberos (integrada de Windows) |
x |
*"Usar la autenticación Kerberos para los sitios con un contrato de nivel de servicio de alta seguridad."* |
|
Formularios de ASP.NET |
x |
*"Usar la autenticación de formularios para permitir a las compañías asociadas el acceso a sitios hospedados en la extranet de socio. Actualmente se permite la autenticación con los siguientes sistemas de administración de identidades: Active Directory, LDAP. Colaborar con Sidney Higa para desarrollar opciones de configuración de autenticación para su uso con la autenticación de formularios."* |
|
SSO web |
x |
*"Usar este método para aplicaciones de socio sólo si una compañía asociada participa en sistemas de administración de identidades federados. Consultar a David Jones para obtener más información."* |
Notas adicionales: "Colaborar con Denise Smith para aprobar todas las opciones de configuración de autenticación para aplicaciones web de SharePoint Web antes de implementarlas."
Descarga de este libro
Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:
Planeación y arquitectura para Windows SharePoint Services 3.0, parte 2 (en inglés)
Planeación de un entorno de Extranet para Windows SharePoint Services (en inglés)
Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.