Compartir a través de

Team Foundation Server, autenticación y acceso

  • Artículo

Puede configurar la implementación para ayudar a proteger las conexiones entre los usuarios y la implementación de Visual Studio Team Foundation Server.Team Foundation Server (TFS) admite la autenticación básica, la autenticación implícita y los certificados.Por consiguiente, puede configurar la implementación de TFS para que use el protocolo HTTPS con SSL y autenticación implícita o básica.Si adopta esta estrategia, los usuarios se conectarán con mayor seguridad a la implementación sin tener que emplear las conexiones de red privada virtual (VPN).

Configuraciones

Para admitir conexiones externas más seguras a la implementación de Team Foundation Server, debe configurar Internet Information Services (IIS) para habilitar la autenticación básica, implícita o ambas.También debe configurar las conexiones externas para que exijan los certificados.

Aa833874.collapse_all(es-es,VS.110).gifAutenticación básica y autenticación implícita

La autenticación básica es parte de la especificación 1.0 de HTTP y utiliza las cuentas de usuario de Windows.Durante la autenticación básica, el explorador pide al usuario un nombre de usuario y contraseña y, a continuación, transmite esa información por HTTP utilizando la codificación Base64.De forma predeterminada, la autenticación básica requiere que la cuenta de usuario de Windows tenga derechos de inicio de sesión local en el servidor web.Puede utilizar la autenticación básica en implementaciones de grupos de trabajo y de dominios.La mayoría de los servidores web, servidores proxy y exploradores web admiten la autenticación básica, pero no es segura.Dado que los datos codificados en Base64 son fáciles de descodificar, la autenticación básica envía esencialmente la contraseña como texto simple.Si supervisa las comunicaciones de la red, un usuario malintencionado puede interceptar y descifrar estas contraseñas con facilidad empleando las herramientas públicamente disponibles.Para mejorar la seguridad, considere el uso de HTTPS con SSL.

La autenticación implícita es un mecanismo de desafío/respuesta que envía un resumen (también conocido como hash) en lugar de una contraseña a través de la red.Durante la autenticación implícita, IIS envía un desafío al cliente para crear un resumen y enviarlo al servidor.Como respuesta al desafío, el cliente envía un resumen basado en la contraseña del usuario junto con los datos que se conocen al cliente y al servidor.El servidor utiliza el mismo proceso que el cliente para crear su propio resumen y utiliza la información del usuario obtenida de Active Directory.IIS solo autentica el cliente si el resumen que el servidor crea coincide con el resumen que el cliente crea.Solo puede utilizar la autenticación implícita en implementaciones de Active Directory.Por sí sola, la autenticación implícita es simplemente una pequeña mejora de la autenticación básica.Un usuario malintencionado podría grabar la comunicación entre el cliente y el servidor y, a continuación, utilizar esa información para volver a consultar la transacción.La autenticación implícita también tiene dependencias en el protocolo HTTP 1.1, que no todos los exploradores web admiten.Además, los intentos de acceso a Team Foundation Server darán error si no configura la autenticación implícita correctamente.No elija la autenticación implícita a menos que su implementación cumpla todos los requisitos para ese modo.Para obtener más información, vea la siguiente página del sitio web de Microsoft (Configurar la autenticación implícita (IIS 7.0)).

Aa833874.collapse_all(es-es,VS.110).gifProtocolos de autenticación

De forma predeterminada, Team Foundation Server utiliza el protocolo de autenticación de Desafío/Respuesta de Windows (NTLM).Las credenciales NTLM se basan en los datos obtenidos durante el proceso de inicio de sesión interactivo, e incluyen un hash unidireccional de la contraseña.

Team Foundation Server también admite la negociación de Microsoft como protocolo de autenticación.En el protocolo de Negociar, se selecciona Kerberos a no ser que uno de los sistemas implicados en el proceso de autenticación no pueda utilizarlo.En estos sistemas no configurados para Kerberos, se utiliza NTLM.Negociar es la opción más segura para la mayoría de las implementaciones, pero puede requerir tareas de configuración adicionales.

Aa833874.collapse_all(es-es,VS.110).gifLimitaciones

Además de los requisitos de los grupos de trabajo y dominios anteriormente mencionados en este tema, la autenticación básica y la autenticación implícita son insuficientes por sí solas para ofrecer seguridad de red a los clientes externos.Por consiguiente, no debe configurar Team Foundation Server para clientes externos a menos que también configure estas conexiones de manera que exijan HTTPS con SSL.

Vea también

Conceptos

Arquitectura de Team Foundation Server

Otros recursos

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)