Planear la autenticación de servidor a servidor en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
La autenticación de servidor a servidor permite que los servidores que pueden realizar la autenticación de servidor a servidor obtengan acceso y soliciten recursos entre sí en nombre de los usuarios. Los servidores que pueden realizar la autenticación de servidor a servidor ejecutan SharePoint Server, Exchange Server 2016, Skype para Business Server 2015, Azure Workflow Service u otro software que admita el protocolo de servidor a servidor de Microsoft. La autenticación de servidor a servidor ofrece un nuevo conjunto de funciones y escenarios al que se puede obtener acceso a través del acceso y los recursos compartidos entre servidores.
Para proporcionar los recursos solicitados desde otro servidor que pueda realizar la autenticación de servidor a servidor, el servidor que ejecuta SharePoint Server debe hacer lo siguiente:
Comprobar que el servidor solicitante es de confianza. Para autenticar el servidor solicitante, debe configurar el servidor que ejecuta SharePoint Server para confiar en el servidor que envía las solicitudes. Se trata de una relación de confianza unidireccional.
Comprobar que el tipo de acceso que solicita el servidor está autorizado. Para autorizar el acceso, debe configurar el servidor que ejecuta SharePoint Server para el conjunto apropiado de permisos para los recursos solicitados.
Tenga en cuenta que el protocolo de autenticación de servidor a servidor en Share Point es independiente de la autenticación de usuarios y no se usa como un protocolo de autenticación de inicio de sesión de los usuarios de SharePoint. El protocolo de autenticación de servidor a servidor, que usa el protocolo Open Authorization (OAuth) 2.0, no se agrega al conjunto de protocolos de inicio de sesión de usuario, como WS-Federation. No hay ningún protocolo de autenticación de usuarios nuevo en SharePoint Server. El protocolo de autenticación de servidor a servidor no aparece en la lista de proveedores de identidades.
Para obtener información sobre cómo planear el servicio de aplicación de perfiles de usuario para la autenticación de servidor a servidor, vea Autenticación de servidor a servidor y perfiles de usuario en SharePoint Server.
Introducción
La planeación para la autenticación de servidor a servidor consta de las siguientes tareas:
Identificar el conjunto de relaciones de confianza que tiene que configurar en un servidor que ejecuta SharePoint Server.
Descripción de las consideraciones de servicio de aplicación de perfiles de usuario. Para obtener más información, vea Autenticación de servidor a servidor y perfiles de usuario en SharePoint Server.
Importante
Las aplicaciones web que incluyen los extremos de la autenticación de servidor a servidor (para las solicitudes entrantes de servidor a servidor) o que realizan las solicitudes salientes de servidor a servidor a otros servidores deben configurarse para utilizar la Capa de sockets seguros (SSL).
Nota:
Solo tiene que planear la autenticación de servidor a servidor en un servidor que ejecuta SharePoint Server si va a configurar uno o varios escenarios de servidor a servidor que requieran su uso.
Identificación del conjunto de relaciones de confianza
Desde la perspectiva de un servidor que ejecuta SharePoint Server, una relación de confianza con otro servidor que puede realizar la autenticación de servidor a servidor consiste en lo siguiente:
El servidor que ejecuta SharePoint Server confía en las solicitudes de un servidor que puede realizar la autenticación de servidor a servidor (entrando al servidor que ejecuta SharePoint Server).
Esto requiere una configuración en el servidor que ejecuta SharePoint Server para que confíe en el servidor solicitante.
El servidor que puede realizar la autenticación de servidor a servidor confía en las solicitudes de un servidor que ejecuta SharePoint Server (saliendo del servidor que ejecuta SharePoint Server).
Esto requiere una configuración en el servidor que puede realizar una autenticación de servidor a servidor para que confíe en el servidor solicitante que ejecuta SharePoint Server.
Para cada granja de servidores que ejecuta SharePoint Server, haga una lista de servidores que puedan realizar la autenticación de servidor a servidor y que van a recibir solicitudes entrantes basadas en los escenarios de servidor a servidor que implican a la granja de servidores. Existen dos casos de relaciones de autenticación de servidor a servidor para examinar.
Caso 1: las granjas son locales
Si la granja de servidores que puede llevar a cabo la autenticación de servidor a servidor es local, deberá configurar la granja de servidores que ejecuta SharePoint Server. Use el cmdlet New-SPTrustedSecurityTokenIssuer PowerShell para agregar un extremo de metadatos de notación de objetos JavaScript (JSON) del servidor que pueda realizar la autenticación de servidor a servidor para el servidor que ejecuta SharePoint Server. Si el servidor que puede realizar la autenticación de servidor a servidor es otro servidor que ejecuta SharePoint Server, el punto de conexión de metadatos JSON tiene el formato: https://< HostName>/_layouts/15/metadata/json/1.
Caso 2: las granjas forman parte de un espacio empresarial de Microsoft 365
Si la granja de servidores que ejecuta SharePoint Server y el otro servidor que puede realizar la autenticación servidor a servidor son ambos parte de una organización de Microsoft 365 no se necesita ninguna configuración adicional para la autenticación de servidor a servidor.
Después de determinar la granja de servidores que necesitan la autenticación de servidor a servidor, vea Configure server-to-server authentication in SharePoint Server para configurar las relaciones de confianza de servidor a servidor.
Consulte también
Conceptos
Introducción a la autenticación para el servidor de SharePoint
Autenticación de servidor a servidor y perfiles de usuario en SharePoint Server