Visão geral da autenticação do SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
O SharePoint Server requer autenticação para os seguintes tipos de interações:
Usuários que acessam recursos locais do SharePoint
Aplicativos que acessam recursos locais do SharePoint
Servidores locais que acessam recursos locais do SharePoint, ou vice-versa
Saiba mais sobre a autenticação do SharePoint no Microsoft 365.
Observação
No SharePoint Server Subscription Edition, suportamos agora a autenticação OIDC 1.0. Para obter mais informações sobre como trabalhar com este novo tipo de autenticação, veja Autenticação do OpenID Connect 1.0.
Autenticação de usuário no SharePoint Server
A autenticação de utilizador é a validação da identidade de um utilizador relativamente a um fornecedor de autenticação, que é um diretório ou base de dados que contém as credenciais do utilizador e pode verificar se o utilizador as submeteu corretamente. Ela ocorre quando um usuário tenta acessar um recurso do SharePoint.
O SharePoint Server oferece suporte à autenticação baseada em declarações.
O resultado de uma autenticação baseada em declarações é um token de segurança baseado em declarações, gerado pelo Serviço de token de segurança (STS) do SharePoint.
O SharePoint Server suporta autenticação de afirmações baseada em Windows, formulários, Security Assertion Markup Language (SAML) e Open ID Connect (OIDC). Para obter informações sobre como funcionam os métodos de autenticação baseados em Windows, formulários e SAML, veja os seguintes vídeos. Para obter informações sobre como funciona a autenticação OIDC, veja o Guia de configuração do OIDC.
Observação
Estas informações nos vídeos aplicam-se ao SharePoint Server 2013, SharePoint Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition.
Vídeo de autenticação de declarações do Windows no SharePoint Server 2013 e 2016
Vídeo de autenticação de declarações baseada em formulários no SharePoint Server 2013 e 2016
Vídeo de autenticação de declarações baseada em SAML no SharePoint Server 2013 e 2016
Confira mais informações em Plano para métodos de autenticação do usuário no SharePoint Server
Autenticação de aplicativos no SharePoint Server
Autenticação de aplicativo é a validação da identidade de um aplicativo remoto do SharePoint e a autorização do aplicativo e de um usuário associado de uma solicitação de recurso protegido do SharePoint. A autenticação de aplicativo ocorre quando um componente externo de um aplicativo do SharePoint Store ou de um aplicativo do App Catalog, como um servidor Web localizado na intranet ou na Internet, tenta acessar um recurso protegido do SharePoint.
Por exemplo, suponha que um usuário abre uma página do SharePoint que contém um IFRAME de um aplicativo do SharePoint, e que o IFRAME precisa de um componente externo, como um servidor na intranet ou na Internet, para acessar um recurso protegido do SharePoint para renderizar a página. O componente externo do aplicativo do SharePoint deve ser autenticado e autorizado, de forma que o SharePoint forneça as informações solicitadas e o aplicativo possa renderizar a página para o usuário.
Se a aplicação SharePoint não precisar de um recurso protegido pelo SharePoint para compor a página para o utilizador, a autenticação da aplicação não é necessária. Por exemplo, uma aplicação do SharePoint que fornece informações de previsão meteorológica e só tem de aceder a um servidor de informações meteorológicas na Internet não tem de utilizar a autenticação de aplicações.
A autenticação de aplicativo é uma combinação entre dois processos:
Autenticação
Verificar se o aplicativo foi registrado corretamente em um agente de identidade comumente confiável
Autorização
Verificar se o aplicativo e o usuário associado para a solicitação têm as permissões apropriadas para executar sua operação, como acessar uma pasta ou lista ou executar uma consulta
Para efetuar a autenticação de aplicações, a aplicação obtém um token de acesso do Serviço de Controlo de Acesso (ACS) do Microsoft Azure ou através da assinatura automática de um token de acesso através de um certificado fidedigno do SharePoint Server. O token de acesso afirma um pedido de acesso a um recurso específico do SharePoint e contém informações que identificam a aplicação e o utilizador associado, em vez da validação das credenciais do utilizador. O token de acesso não é um token de início de sessão.
Veja a seguir um exemplo do processo de autenticação para os aplicativos do Repositório do SharePoint:
Um utilizador abre uma página Web do SharePoint que contém uma IFRAME que tem de ser composta por uma aplicação da Loja SharePoint, que está alojada na Internet e utiliza o ACS como o respetivo mediador de confiança. Para compor a IFRAME para o utilizador, a aplicação Loja SharePoint tem de aceder a um recurso do SharePoint.
O SharePoint STS solicita e recebe um token de contexto do ACS.
O SharePoint envia a página da web solicitada junto com o token de contexto para o navegador da web do usuário.
O navegador da web do usuário envia uma solicitação para o conteúdo do IFRAME e o token de contexto para o servidor de aplicativo do Repositório do SharePoint na Internet.
O servidor de aplicativo do Repositório do SharePoint solicita e recebe um token de acesso do ACS.
O servidor de aplicativo do Repositório do SharePoint envia a solicitação de recurso do SharePoint e o token de acesso ao servidor do SharePoint.
O servidor do SharePoint autoriza o acesso, verificando as permissões do aplicativo que foram especificadas quando o aplicativo foi instalado, e as permissões do usuário associado.
Se permitido, o SharePoint envia os dados solicitados ao servidor de aplicativo do Repositório do SharePoint na Internet.
O servidor de aplicativo do Repositório do SharePoint na Internet envia os resultados do IFRAME ao navegador da web que renderiza a parte do IFRAME da página para o usuário.
Repare como a aplicação Da Loja SharePoint acedeu aos recursos do servidor do SharePoint sem ter de obter as credenciais do utilizador. O acesso foi autenticado pelo ACS, que é confiável para o servidor que está executando o SharePoint Server e autorizado pelo conjunto de permissões de aplicativo e usuário.
Veja a seguir um exemplo do processo de autenticação para aplicativos do Catálogo de Aplicativos do SharePoint:
Um utilizador abre uma página Web do SharePoint que contém uma IFRAME que tem de ser composta por uma aplicação do Catálogo de Aplicações alojada na intranet e utiliza um certificado autoassinado para os respetivos tokens de acesso. Para compor o IFRAME para o utilizador, a aplicação Catálogo de Aplicações tem de aceder a um recurso do SharePoint.
O SharePoint envia a página solicitada com o IFRAME para o navegador da web do usuário.
O navegador da web do usuário envia uma solicitação para o conteúdo do IFRAME para o servidor de aplicativo do Catálogo de Aplicativos na intranet.
O servidor de aplicativo do Catálogo de Aplicativos autentica o usuário e gera um token de acesso, assinado com o seu certificado autoassinado.
O servidor de aplicativo do Catálogo de Aplicativos envia a solicitação de recurso do SharePoint e o token de acesso ao servidor do SharePoint.
O servidor do SharePoint autoriza o acesso, verificando as permissões do aplicativo que foram especificadas quando o aplicativo foi instalado, e as permissões do usuário associado.
Se permitido, o servidor SharePoint envia os dados solicitados ao servidor de aplicativo do Catálogo de Aplicativos na intranet.
O servidor de aplicativo do Catálogo de Aplicativos envia os resultados do IFRAME ao navegador da web que renderiza a parte do IFRAME da página para o usuário.
Observação
Os aplicativos do Catálogo de Aplicativos podem usar o ACS ou um certificado autoassinado para seus tokens de acesso.
Para saber mais, confira Plan for app authentication in SharePoint Server.
Autenticação de servidor para servidor no SharePoint Server
A autenticação servidor a servidor é a validação do pedido de recursos de um servidor baseado numa relação de confiança estabelecida entre o STS do servidor que executa o SharePoint Server e o STS de outro servidor que suporta o protocolo OAuth servidor a servidor, como no local a executar o SharePoint Server, o Exchange Server 2016, o Skype para Empresas 2016 ou o Serviço de Fluxo de Trabalho do Azure, e o SharePoint Server em execução no Microsoft 365. Com base nessa relação de confiança, um servidor solicitante pode acessar os recursos protegidos no servidor do SharePoint em nome de uma conta de usuário especificada, sujeito às permissões do servidor e do usuário.
Por exemplo, um servidor com o Exchange Server 2016 pode pedir recursos de um servidor com o SharePoint Server para uma conta de utilizador específica. Esta aprovisionamento contrasta com a autenticação de aplicações, na qual a aplicação não tem acesso às informações de credenciais da conta de utilizador. O usuário pode ou não estar atualmente conectado ao servidor que faz a solicitação de recurso, dependendo do serviço e da solicitação.
Quando um servidor que executa o SharePoint Server tenta acessar um recurso em um servidor, ou um servidor tenta acessar um recurso em um servidor que executa o SharePoint Server, a solicitação de acesso de entrada deve ser autenticada, de forma que o servidor aceite essa solicitação e os dados subsequentes. A autenticação servidor a servidor verifica se o servidor que executa o SharePoint Server e o utilizador que representa são fidedignos.
O token utilizado para uma autenticação servidor a servidor é um token servidor a servidor e não um token de início de sessão. O token de servidor para servidor contém informações sobre o servidor que solicita o acesso e a conta do usuário em cujo nome o servidor está atuando.
Para servidores locais, um exemplo do processo básico é o seguinte:
Um usuário abre uma página da web do SharePoint que exige informações de outro servidor (por exemplo, mostrar a lista de tarefas do SharePoint Server e do Exchange Server 2016).
O SharePoint Server gera um token de servidor para servidor.
O SharePoint Server envia o token de servidor para servidor ao outro servidor.
O outro servidor valida o token de servidor para servidor do SharePoint.
O outro servidor envia uma mensagem ao SharePoint Server para indicar que o token de servidor para servidor enviado era válido.
O serviço no servidor que executa o SharePoint Server acessa os dados no servidor.
O serviço no servidor que executa o SharePoint Server renderiza a página para o usuário.
Quando os dois servidores estão em execução no Microsoft 365, um processo de exemplo é o seguinte:
Um usuário abre uma página da web do SharePoint Online que exige informações de outro servidor (por exemplo, mostrar a lista de tarefas do SharePoint Online e do Exchange Online).
O Microsoft Office SharePoint Online solicita e recebe um token de servidor para servidor do ACS.
O SharePoint Online envia o token de servidor para servidor ao servidor do Microsoft 365.
O servidor do Microsoft 365 verifica a identidade do usuário no token de servidor para servidor com o ACS.
O servidor do Microsoft 365 envia uma mensagem ao SharePoint Online para indicar que o token de servidor para servidor enviado era válido.
O serviço no SharePoint Online acessa os dados no servidor Microsoft 365.
O serviço no Microsoft Office SharePoint Online renderiza a página para o usuário.
Para saber mais, veja Plano de autenticação servidor-para-servidor no SharePoint Server.