Compartir a través de


Información general de seguridad de Servicios de conectividad empresarial (SharePoint Foundation 2010)

 

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se describe la arquitectura de seguridad del servidor y del cliente de los Servicios de conectividad empresarial de Microsoft, los entornos de seguridad admitidos, los modos de autenticación disponibles para conectar tipos de contenido externo a sistemas externos, las opciones de autorización disponibles en objetos almacenados y las técnicas generales para configurar la seguridad de los Servicios de conectividad empresarial de Microsoft.

En este artículo:

  • Acerca de este artículo

  • Arquitectura de seguridad de los Servicios de conectividad empresarial

  • Introducción a la autenticación de los Servicios de conectividad empresarial

  • Introducción a los permisos de los Servicios de conectividad empresarial

  • Protección de Servicios de conectividad empresarial

Acerca de este artículo

Los Servicios de conectividad empresarial de Microsoft incluyen características de seguridad para autenticar a los usuarios de modo que puedan obtener acceso a sistemas externos y para configurar los permisos en los datos de sistemas externos. Los Servicios de conectividad empresarial de Microsoft son sumamente flexibles y pueden dar cabida a una serie de métodos de seguridad desde dentro de las aplicaciones de Microsoft Office 2010 admitidas y desde el explorador web.

Arquitectura de seguridad de los Servicios de conectividad empresarial

En esta sección se describe la arquitectura de seguridad de los Servicios de conectividad empresarial de Microsoft.

Nota de seguridadSecurity Note
Se recomienda usar la Capa de sockets seguros (SSL) en todos los canales entre los equipos cliente y los servidores front-end. También se recomienda usar SSL o el protocolo de seguridad de Internet (IPSec) entre los servidores que ejecutan Microsoft SharePoint Foundation 2010 y los sistemas externos. Una excepción es que no se puede usar SSL al transmitir mensajes a sistemas externos que usan el protocolo SOAP 1.1 o al conectarse a una base de datos de SQL Server. Sin embargo, en esos casos se puede usar IPSec para proteger el intercambio de datos.

Obtener acceso a datos externos

Cuando un usuario obtiene acceso a datos externos desde un explorador web, se involucran tres sistemas: el equipo cliente del usuario conectado, la granja de servidores web y el sistema externo.

Arquitectura de seguridad BCS desde un explorador web

  1. Desde los exploradores web, los usuarios generalmente interactúan con datos externos en listas externas o mediante elementos web.

  2. El tiempo de ejecución de servidor BDC en servidores front-end usa datos del Servicio de conectividad a datos empresariales para establecer una conexión con sistemas externos y ejecutar operaciones en ellos.

  3. El Servicio de almacenamiento seguro almacena de modo seguro los conjuntos de credenciales para sistemas externos y los asocia con identidades individuales o de grupo.

    Importante

    No se incluye el Servicio de almacenamiento seguro en SharePoint Foundation 2010. Si necesita un almacén seguro en SharePoint Foundation 2010, debe proporcionar un proveedor de almacenamiento seguro personalizado.

  4. El servicio de token de seguridad es un servicio web que responde a las solicitudes de autenticación mediante la emisión de tokens de seguridad formados por notificaciones de identidad que se basan en la información de cuentas de usuario.

  5. Los Servicios de conectividad empresarial de Microsoft pueden pasar las credenciales a bases de datos y servicios web que estén configurados para usar autenticación basada en notificaciones. Para obtener información general acerca de la autenticación basada en notificaciones, vea Planeación de métodos de autenticación (SharePoint Foundation 2010).

Introducción a la autenticación de los Servicios de conectividad empresarial

Los Servicios de conectividad empresarial de Microsoft se pueden configurar de modo que pasen solicitudes de autenticación a sistemas externos mediante los siguientes tipos de métodos:

  • Credenciales. En general, tienen un formato de nombre y contraseña. Es posible que algunos sistemas externos requieran credenciales adicionales como un valor de número de identificación personal (PIN).

  • Notificaciones Los vales del lenguaje de marcado de aserción de seguridad (SAML) pueden pasarse a los servicios para notificaciones que suministran datos externos.

Configuración de los Servicios de conectividad empresarial para la autenticación de credenciales

Los Servicios de conectividad empresarial de Microsoft pueden usar las credenciales que suministran los usuarios para autenticar las solicitudes para datos externos. Se admiten los siguientes métodos, mediante los cuales los usuarios pueden suministrar credenciales para obtener acceso a datos externos:

  • Autenticación de Windows:

    • Desafío/Respuesta de Windows (NTLM)

    • Microsoft Negotiate

  • Otras autenticaciones que no sean de Windows

    • Basadas en formularios

    • Implícita

    • Básica

Al configurar Servicios de conectividad empresarial de Microsoft para que pase credenciales, el diseñador de soluciones agrega información acerca del modo de autenticación a los tipos de contenido externo. El modo de autenticación proporciona información de Servicios de conectividad empresarial de Microsoft acerca de cómo procesar una solicitud de autenticación entrante de un usuario y asignarla a un conjunto de credenciales que puede pasarse al sistema de contenido externo. Por ejemplo, un modo de autenticación puede especificar que las credenciales del usuario deben pasarse directamente mediante el sistema de datos externos. Otra posibilidad es especificar que las credenciales del usuario se asignen a una cuenta almacenada en un Servicio de almacenamiento seguro, que debe pasarse posteriormente al sistema externo.

Se puede asociar un modo de autenticación con un tipo de contenido externo de los siguientes modos:

  • Cuando se crea un tipo de contenido externo en Microsoft SharePoint Designer.

  • Si el sistema externo es un servicio web, se pueden usar las páginas de administración de los Servicios de conectividad empresarial de Microsoft para especificar el modo de autenticación.

  • Se puede especificar el modo de autenticación mediante la edición directa del archivo .XML que define el tipo de contenido externo.

En la siguiente tabla se describen los modos de autenticación de los Servicios de conectividad empresarial de Microsoft:

Modo de autenticación Descripción

PassThrough

Pasa las credenciales del usuario conectado al sistema externo. Esto requiere que el sistema externo reconozca las credenciales del usuario.

Nota

Si la aplicación web no está configurada para la autenticación con credenciales de Windows, se pasa la cuenta NT Authority/Inicio de sesión anónimo al sistema externo en lugar de las credenciales del usuario.

Este modo se denomina Identidad del usuario en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.

RevertToSelf

Cuando el usuario accede a datos externos desde un explorador web, este modo omite las credenciales del usuario y envía la cuenta de identidad del grupo de aplicaciones en la que se ejecuta el tiempo de ejecución de BCS en el servidor al sistema externo. Cuando el usuario accede a datos externos desde una aplicación cliente de Office, este modo es equivalente al modo PassThrough, ya que Servicios de conectividad empresarial de Microsoft que se ejecuta en el cliente se ejecutará bajo las credenciales del usuario.

Este modo se denomina Identidad de BDC en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.

Nota

De forma predeterminada, no está habilitado el modo RevertToSelf. Debe usar Windows PowerShell para habilitar el modo RevertToSelf para poder crear o importar modelos que usen RevertToSelf. Para obtener más información, vea Modo de autenticación RevertToSelf. El modo RevertToSelf no se admite en entornos hospedados.

WindowsCredentials

Para bases de datos o servicios web externos, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales de Windows en el sistema externo.

Este modo se denomina Identidad de Windows suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.

Credentials

Para un servicio web externo, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales suministradas por un origen que no es Windows y que se usan para obtener acceso a datos externos. El servicio web debería usar autenticación básica o implícita cuando se usa este modo.

Importante

Para ayudar a preservar la seguridad en este modo, se recomienda que la conexión entre los Servicios de conectividad empresarial de Microsoft y el sistema externo se asegure mediante Capa de sockets seguros (SSL) o protocolo de seguridad de Internet (IPsec).

Este modo se denomina Identidad personalizada suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en Office SharePoint Designer.

RDBCredentials

Para una base de datos externa, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales suministradas por un origen que no es Windows. Para preservar la seguridad en este modo, se recomienda proteger la conexión entre Servicios de conectividad empresarial de Microsoft y el sistema externo mediante SSL o IPSec.

Este modo se denomina Identidad personalizada suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en Office SharePoint Designer.

DigestCredentials

En un servicio web de WCF, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales mediante la autenticación implícita.

Este modo se denomina Suplantación de identidad personalizada - Resumen en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.

En la siguiente ilustración se muestran los modos de autenticación de los Servicios de conectividad empresarial de Microsoft al usar credenciales.

Autenticación de Servicios de conectividad empresarial

  • En el modo (A) PassThrough (Identidad del usuario), las credenciales del usuario conectado se pasan directamente al sistema externo.

  • En el modo (B) RevertToSelf (Identidad de BDC), las credenciales del usuario conectado se reemplazan por las credenciales de la cuenta de proceso en la que se ejecuta Servicios de conectividad empresarial de Microsoft, y esas credenciales se pasan al sistema externo.

  • Tres modos usan el Servicio de almacenamiento seguro: WindowsCredentials (Identidad de Windows suplantada), RdbCredentials (Identidad personalizada suplantada) y Credentials. En esos modos, las credenciales del usuario se asignan a un conjunto de credenciales para el sistema externo y Servicios de conectividad empresarial de Microsoft pasa esas credenciales al sistema externo. Los administradores de soluciones pueden asignar las credenciales de cada usuario a una cuenta única en el sistema externo o asignar un conjunto de usuarios autenticados a una sola cuenta de grupo.

Configuración de los Servicios de conectividad empresarial para la autenticación basada en notificaciones

Servicios de conectividad empresarial de Microsoft puede proporcionar acceso a datos externos basados en tokens de seguridad entrantes y puede pasar los tokens de seguridad a sistemas externos. Un token de seguridad está formado por un conjunto de notificaciones de identidad sobre un usuario y el uso de dichos tokens para la autenticación se denomina “autenticación basada en notificaciones”. SharePoint Foundation incluye un servicio de token de seguridad que emite tokens de seguridad.

En la siguiente ilustración se muestra cómo el servicio de token de seguridad y el Servicio de almacenamiento seguro funcionan de forma conjunta en la autenticación basada en notificaciones:

Autenticación de notificaciones en Servicios de conectividad empresarial

  1. Un usuario intenta una operación en una lista externa que está configurada para la autenticación de notificaciones.

  2. La aplicación cliente solicita un token de seguridad del servicio de token de seguridad.

  3. En función de la identidad del usuario solicitante, el servicio de token de seguridad emite un token de seguridad que contiene un conjunto de notificaciones y un identificador de aplicaciones de destino. El servicio de token de seguridad devuelve el token de seguridad a la aplicación cliente.

  4. El cliente pasa el token de seguridad al Servicio de almacenamiento seguro.

  5. El Servicio de almacenamiento seguro evalúa el token de seguridad y usa el identificador de aplicaciones de destino para devolver un conjunto de credenciales que se aplican al sistema externo.

  6. El cliente recibe las credenciales y las pasa al sistema externo para que se pueda llevar a cabo una operación (como recuperar o actualizar datos externos).

Introducción a los permisos de los Servicios de conectividad empresarial

Los permisos de Servicios de conectividad empresarial de Microsoft asocian una cuenta individual, una cuenta de grupo o una notificación con uno o varios niveles de permisos en un objeto de un repositorio de metadatos. Al establecer correctamente los permisos en los objetos de Servicios de conectividad empresarial de Microsoft, se ayuda a habilitar soluciones para incorporar datos externos de forma segura. Al planear una estrategia de permisos, se recomienda proporcionar permisos específicos a cada usuario o grupo que los necesite, de modo que las credenciales otorguen los privilegios mínimos necesarios para llevar a cabo las tareas necesarias.

Advertencia

El establecimiento de los permisos adecuados de los Servicios de conectividad empresarial de Microsoft es un elemento de una estrategia de seguridad global. Es igualmente importante asegurar los datos de los sistemas externos. El modo de hacerlo depende de las características y del modelo de seguridad del sistema externo y va más allá del propósito de este artículo.

Nota

Servicios de conectividad empresarial usa los permisos de los objetos de metadatos y los permisos del sistema externo para determinar las reglas de autorización. Por ejemplo, un optimizador de seguridad puede impedir que aparezcan datos externos en los resultados de la búsqueda de los usuarios. Sin embargo, si de alguna manera los usuarios detectan la dirección URL de los datos externos recortados, podrán obtener acceso a los datos externos si tienen los permisos necesarios en el objeto de metadatos y en el sistema externo. El modo correcto de impedir que los usuarios tengan acceso a los datos externos consiste en establecer los permisos adecuados tanto en Servicios de conectividad empresarial como en el sistema externo.

¿Qué permisos se pueden establecer?

Cada sesión del Servicio de conectividad a datos empresariales (o bien, en el caso de hospedaje, cada partición) contiene un almacén de metadatos que incluye todos los modelos, sistemas externos, tipos de contenido externo, métodos y sesiones de métodos que se definieron para el propósito de ese repositorio. Estos objetos existen en una jerarquía, tal como se representa en la siguiente ilustración:

Jerarquía del almacén de metadatos

Nota

En el gráfico de jerarquía anterior, las etiquetas entre paréntesis son los nombres de los objetos tal y como están definidos en el esquema de metadatos de Servicios de conectividad empresarial de Microsoft. Las etiquetas que no están entre paréntesis son los nombres de cada objeto tal como aparecen en la interfaz de usuario del Servicio de conectividad a datos empresariales. Para obtener una explicación completa del esquema de metadatos de Servicios de conectividad empresarial de Microsoft y tutoriales sobre varias tareas de desarrollo, vea el kit de desarrollo de software de Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0xC0A ).

La jerarquía de los objetos en un almacén de metadatos determina qué objetos pueden propagar sus permisos a otros objetos. En la ilustración, cada objeto en el que se pueden establecer permisos y propagarlos opcionalmente, se muestra con una línea sólida y cada objeto que obtiene los permisos del objeto primario se muestra con una línea de puntos. Por ejemplo, en la ilustración se muestra que un Sistema externo (LobSystem) se puede asegurar mediante la asignación de permisos, pero a una Acción no se le pueden asignar permisos directamente. Los objetos a los que no se puede asignar permisos obtienen sus permisos de los objetos primarios. Por ejemplo, una Acción obtiene los permisos del Tipo de contenido externo (Entidad) primario.

Nota de seguridadSecurity Note
Una vez que se propagan los permisos en un objeto de un almacén de metadatos, la configuración de los permisos de todos los elementos secundarios de ese elemento se reemplaza por los permisos del objeto que propaga. Por ejemplo, si los permisos se propagan desde un Tipo de contenido externo, todos los Métodos y Sesiones de métodos de ese Tipo de contenido externo reciben los permisos nuevos.

Se pueden establecer cuatro niveles de permisos en el almacén de metadatos y en los objetos que éste contiene:

  • Editar

    Nota de seguridadSecurity Note
    El permiso de edición debe tener privilegios elevados. Con este permiso, un usuario malintencionado puede robar credenciales o dañar un conjunto o granja de servidores. En un sistema de producción, se recomienda conceder permisos de edición solo a los usuarios considerados de confianza para poseer permisos de administrador.
  • Ejecutar

  • Seleccionable en clientes

  • Establecer permisos

En la siguiente tabla se define el significado de estos permisos en todos los objetos para los que se pueden establecer.

Nombre Definición Permisos Editar Permisos Ejecutar Permisos Seleccionable en clientes Permisos Establecer permisos

Almacén de metadatos

La colección de archivos XML, almacenada en el Servicio de conectividad a datos empresariales, que cada una contiene definiciones de modelos, tipos de contenido externo y sistemas externos.

El usuario puede crear sistemas externos nuevos.

Si bien el permiso “de ejecución” no está en el propio repositorio de metadatos, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.

Si bien el permiso “Seleccionable en clientes” no está en el propio repositorio de metadatos, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.

El usuario puede establecer permisos en todos los objetos del almacén de metadatos mediante su propagación desde el almacén de metadatos.

Modelo

Un archivo XML que contiene conjuntos de descripciones de uno o varios tipos de contenido externo, de los sistemas externos relacionados e información específica del entorno, como las propiedades de autenticación.

El usuario puede editar el archivo de modelo.

El permiso “de ejecución” no se aplica a los modelos.

El permiso “Seleccionable en clientes” no se aplica a los modelos.

El usuario puede establecer permisos en el modelo.

Sistema externo

La definición de metadatos de un origen admitido de datos que se pueden modelar, como una base de datos, un servicio web o un ensamblado de conectividad .NET.

El usuario puede editar el sistema externo. El establecimiento de este permiso también hace visibles en SharePoint Designer el sistema externo y todas las sesiones de sistemas externos que éste contiene.

Si bien el permiso “de ejecución” no está en el propio sistema externo, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.

Si bien el permiso “Seleccionable en clientes” no está en el propio sistema externo, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.

El usuario puede establecer permisos en el sistema externo.

Tipo de contenido externo

Una colección de metadatos reutilizable que define un conjunto de datos desde un sistema externo, o más, las operaciones disponibles sobre esos datos e información de conectividad relacionada con los datos.

Si bien el permiso “de edición” no está en el propio tipo de contenido externo, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.

El usuario puede ejecutar operaciones en el tipo de contenido externo.

El usuario puede crear listas externas del tipo de contenido externo.

El usuario puede establecer permisos en el tipo de contenido externo.

Método

Una operación relacionada con un tipo de contenido externo.

El usuario puede editar el método.

Si bien el permiso “de ejecución” no está en el propio método, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.

No hay ningún permiso “Seleccionable en clientes” en un método.

El usuario puede establecer permisos en el método.

Sesión de método

Para un método en particular, describe cómo usar un método mediante un conjunto específico de valores predeterminados.

El usuario puede editar la sesión de método.

El usuario puede ejecutar la sesión de método.

No hay ningún permiso “Seleccionable en clientes” en una sesión de método.

El usuario puede establecer permisos en la sesión de método.

Permisos especiales del Servicio de conectividad a datos profesionales

Junto con las funcionalidades generales del establecimiento de permisos descritos anteriormente, hay un conjunto de servicios especiales para el Servicio de conectividad a datos empresariales:

  • Los administradores de la granja de servidores disponen de permisos totales para el Servicio de conectividad a datos empresariales. Esto es necesario, por ejemplo, para poder mantener o reparar una sesión del servicio. No obstante, tenga en cuenta que el administrador de la granja de servidores no dispone de permisos de ejecución sobre ningún objeto del almacén de metadatos. Este permiso se debe proporcionar explícitamente por un administrador de una sesión del Servicio de conectividad a datos empresariales, en caso de que se requiera.

  • Los usuarios de Windows PowerShell son administradores de la granja de servidores y pueden ejecutar comandos en el Servicio de conectividad a datos empresariales.

  • Las cuentas de grupos de aplicaciones de servidores front-end disponen de los mismos permisos para el Servicio de conectividad a datos empresariales que los administradores de la granja de servidores. Este permiso es necesario para generar paquetes de implementación basados en los Servicios de conectividad empresarial de Microsoft.

  • En la mayoría de los casos, a los usuarios de SharePoint Designer se les debería otorgar los siguientes permisos en el almacén de metadatos completo: Editar, Ejecutar y Seleccionable en clientes. A los usuarios de SharePoint Designer no se les debería otorgar permisos de tipo Establecer permisos. Si es necesario, se pueden limitar los permisos del usuario de SharePoint Designer a un subconjunto del almacén de metadatos.

    Advertencia

    Para garantizar una solución segura, se debería usar SharePoint Designer para crear tipos de contenido externo en un entorno de prueba en el que los permisos de edición se puedan asignar libremente. Al implementar la solución probada en un entorno de producción, quite los permisos de edición para ayudar a proteger la integridad de los datos externos.

Tareas comunes y los permisos relacionados

En esta sección se describen las tareas comunes del Servicio de conectividad a datos empresariales y los permisos requeridos para llevarlas a cabo.

Tarea Permisos

Creación de un objeto nuevo en el almacén de metadatos

Para crear un objeto de metadatos nuevo, un usuario debe tener permisos de edición en el objeto de metadatos primario. Por ejemplo, para crear un método nuevo en un tipo de contenido externo, un usuario debe disponer de permisos en el tipo de contenido externo. Para obtener una descripción de las relaciones secundarias y primarias entre los objetos del almacén de metadatos, vea la ilustración que aparece anteriormente en este artículo.

Eliminación de un objeto del almacén de metadatos

Para eliminar un objeto de metadatos, un usuario debe disponer de permisos en ese objeto. Para eliminar un objeto y todos sus objetos secundarios (por ejemplo, eliminar un tipo de contenido externo y todos sus métodos), el permiso editar también se requiere en todos los objetos secundarios.

Adición de un tipo de contenido externo a un modelo

Para agregar un tipo de contenido externo a un modelo, un usuario debe disponer de permisos de edición en el modelo.

Importación de modelos

Para importar un modelo al almacén de metadatos, un usuario debe disponer de permisos de edición en el almacén de metadatos. Si no hay permisos explícitos asignados en el modelo, se le otorgarán permisos de edición en el modelo al usuario que lo importó.

Exportación de modelos

Para exportar un modelo del almacén de metadatos, un usuario debe disponer de permisos de edición en el modelo y en todos los sistemas externos que éste contiene.

Generación de un paquete de implementación

La cuenta del grupo de aplicaciones que usa el servidor front-end genera los paquetes de implementación. Esta cuenta dispone de permisos totales en el repositorio de metadatos para poder llevar a cabo esta tarea.

Establecimiento de los permisos iniciales en el almacén de metadatos.

Cuando se crea por primera vez una sesión del Servicio de conectividad a datos empresariales, su almacén de metadatos está vacío. El administrador de la granja de servidores dispone de permisos totales para el repositorio y puede establecer los permisos iniciales.

Protección de Servicios de conectividad empresarial

En esta sección se explican las medidas adicionales que se pueden usar para ayudar a proteger Servicios de conectividad empresarial.

Cuenta de servicio

Para el aislamiento de seguridad, la aplicación de Servicio de conectividad a datos empresariales y el servidor front-end no deben usar la misma cuenta de servicio.

Comunicación de servidor a servidor

La protección de la comunicación entre la aplicación de Servicio de conectividad a datos empresariales y los sistemas externos ayuda a garantizar que no se pongan en peligro los datos confidenciales. Debe usar un canal de comunicación cifrada para proteger los datos enviados entre los servidores que ejecutan SharePoint Foundation 2010 y los sistemas externos. El protocolo de seguridad de Internet (IPsec) es un método que puede usarse para ayudar a proteger la comunicación. La elección del método que se usará depende de los canales de comunicación específicos que se vayan a proteger y de las ventajas y compensaciones que resulten más adecuadas para su organización.

Aplicaciones que usan FileBackedMetadataCatalog

Por motivos de seguridad, el modo de autenticación RevertToSelf está deshabilitado en SharePoint Foundation 2010 de forma predeterminada. Sin embargo, esto no impide que las aplicaciones que usan la clase FileBackedMetadataCatalog importen modelos y ejecuten llamadas que usan la autenticación RevertToSelf. Como resultado, es posible que los usuarios tengan privilegios más elevados si se conceden privilegios en la cuenta de grupo de aplicaciones. Debe revisar todas las aplicaciones para asegurarse de que no usan la clase FileBackedMetadataCatalog y la autenticación RevertToSelf antes de instalarlas en un sistema de producción.