Visão geral da autenticação do SharePoint Server

APLICA-SE A:2013 2019 Subscription Edition SharePoint no Microsoft 365

O SharePoint Server requer autenticação para os seguintes tipos de interações:

• Usuários que acessam recursos locais do SharePoint

• Aplicativos que acessam recursos locais do SharePoint

• Servidores locais que acessam recursos locais do SharePoint, ou vice-versa

Saiba mais sobre a autenticação do SharePoint no Microsoft 365.

Observação

Em Edição de Assinatura do SharePoint Server, agora oferecemos suporte à autenticação OIDC 1.0. Para obter mais informações sobre como trabalhar com esse novo tipo de autenticação, consulte Autenticação OpenID Connect 1.0.

Autenticação de usuário no SharePoint Server

A autenticação do usuário é a validação da identidade de um usuário em relação a um provedor de autenticação, que é um diretório ou banco de dados que contém as credenciais do usuário e pode verificar se o usuário as enviou corretamente. Ela ocorre quando um usuário tenta acessar um recurso do SharePoint.

O SharePoint Server oferece suporte à autenticação baseada em declarações.

O resultado de uma autenticação baseada em declarações é um token de segurança baseado em declarações, gerado pelo Serviço de token de segurança (STS) do SharePoint.

O SharePoint Server dá suporte à autenticação de declarações baseada em Windows, formulários, SAML (Security Claim Markup Language) e Open ID Connect (OIDC). Para obter informações sobre como os métodos de autenticação baseados em Windows, formulários e SAML funcionam, confira os vídeos a seguir. Para obter informações sobre como funciona a autenticação OIDC, verifique o guia de configuração do OIDC.

Observação

Essas informações nos vídeos se aplicam ao SharePoint Server 2013, SharePoint Server 2016, SharePoint Server 2019 e Edição de Assinatura do SharePoint Server.

Vídeo de autenticação de declarações do Windows no SharePoint Server 2013 e 2016

Vídeo de autenticação de declarações baseada em formulários no SharePoint Server 2013 e 2016

Vídeo de autenticação de declarações baseada em SAML no SharePoint Server 2013 e 2016

Confira mais informações em Plano para métodos de autenticação do usuário no SharePoint Server

Autenticação de aplicativos no SharePoint Server

Autenticação de aplicativo é a validação da identidade de um aplicativo remoto do SharePoint e a autorização do aplicativo e de um usuário associado de uma solicitação de recurso protegido do SharePoint. A autenticação de aplicativo ocorre quando um componente externo de um aplicativo do SharePoint Store ou de um aplicativo do App Catalog, como um servidor Web localizado na intranet ou na Internet, tenta acessar um recurso protegido do SharePoint.

Por exemplo, suponha que um usuário abre uma página do SharePoint que contém um IFRAME de um aplicativo do SharePoint, e que o IFRAME precisa de um componente externo, como um servidor na intranet ou na Internet, para acessar um recurso protegido do SharePoint para renderizar a página. O componente externo do aplicativo do SharePoint deve ser autenticado e autorizado, de forma que o SharePoint forneça as informações solicitadas e o aplicativo possa renderizar a página para o usuário.

Se o aplicativo SharePoint não exigir um recurso protegido do SharePoint para renderizar a página para o usuário, a autenticação do aplicativo não será necessária. Por exemplo, um aplicativo do SharePoint que fornece informações de previsão do tempo e só precisa acessar um servidor de informações meteorológicas na Internet não precisa usar a autenticação do aplicativo.

A autenticação de aplicativo é uma combinação entre dois processos:

• Autenticação

  Verificar se o aplicativo foi registrado corretamente em um agente de identidade comumente confiável

• Autorização

  Verificar se o aplicativo e o usuário associado para a solicitação têm as permissões apropriadas para executar sua operação, como acessar uma pasta ou lista ou executar uma consulta

Para executar a autenticação do aplicativo, o aplicativo obtém um token de acesso no ACS (Serviço de Controle de Acesso do Microsoft Azure) ou assinando automaticamente um token de acesso usando um certificado em que o SharePoint Server confia. O token de acesso afirma uma solicitação de acesso a um recurso específico do SharePoint e contém informações que identificam o aplicativo e o usuário associado, em vez da validação das credenciais do usuário. O token de acesso não é um token de entrada.

Veja a seguir um exemplo do processo de autenticação para os aplicativos do Repositório do SharePoint:

1. Um usuário abre uma página da Web do SharePoint que contém um IFRAME que precisa ser renderizado por um aplicativo da SharePoint Store, que é hospedado na Internet e usa o ACS como seu agente de confiança. Para renderizar o IFRAME para o usuário, o aplicativo da SharePoint Store deve acessar um recurso do SharePoint.

2. O SharePoint STS solicita e recebe um token de contexto do ACS.

3. O SharePoint envia a página da web solicitada junto com o token de contexto para o navegador da web do usuário.

4. O navegador da web do usuário envia uma solicitação para o conteúdo do IFRAME e o token de contexto para o servidor de aplicativo do Repositório do SharePoint na Internet.

5. O servidor de aplicativo do Repositório do SharePoint solicita e recebe um token de acesso do ACS.

6. O servidor de aplicativo do Repositório do SharePoint envia a solicitação de recurso do SharePoint e o token de acesso ao servidor do SharePoint.

7. O servidor do SharePoint autoriza o acesso, verificando as permissões do aplicativo que foram especificadas quando o aplicativo foi instalado, e as permissões do usuário associado.

8. Se permitido, o SharePoint envia os dados solicitados ao servidor de aplicativo do Repositório do SharePoint na Internet.

9. O servidor de aplicativo do Repositório do SharePoint na Internet envia os resultados do IFRAME ao navegador da web que renderiza a parte do IFRAME da página para o usuário.

Observe como o aplicativo da SharePoint Store acessou recursos do servidor do SharePoint sem precisar obter as credenciais do usuário. O acesso foi autenticado pelo ACS, que é confiável para o servidor que está executando o SharePoint Server e autorizado pelo conjunto de permissões de aplicativo e usuário.

Veja a seguir um exemplo do processo de autenticação para aplicativos do Catálogo de Aplicativos do SharePoint:

1. Um usuário abre uma página da Web do SharePoint que contém um IFRAME que precisa ser renderizado por um aplicativo do Catálogo de Aplicativos hospedado na intranet e usa um certificado autoassinado para seus tokens de acesso. Para renderizar o IFRAME para o usuário, o aplicativo catálogo de aplicativos deve acessar um recurso do SharePoint.

2. O SharePoint envia a página solicitada com o IFRAME para o navegador da web do usuário.

3. O navegador da web do usuário envia uma solicitação para o conteúdo do IFRAME para o servidor de aplicativo do Catálogo de Aplicativos na intranet.

4. O servidor de aplicativo do Catálogo de Aplicativos autentica o usuário e gera um token de acesso, assinado com o seu certificado autoassinado.

5. O servidor de aplicativo do Catálogo de Aplicativos envia a solicitação de recurso do SharePoint e o token de acesso ao servidor do SharePoint.

6. O servidor do SharePoint autoriza o acesso, verificando as permissões do aplicativo que foram especificadas quando o aplicativo foi instalado, e as permissões do usuário associado.

7. Se permitido, o servidor SharePoint envia os dados solicitados ao servidor de aplicativo do Catálogo de Aplicativos na intranet.

8. O servidor de aplicativo do Catálogo de Aplicativos envia os resultados do IFRAME ao navegador da web que renderiza a parte do IFRAME da página para o usuário.

Observação

Os aplicativos do Catálogo de Aplicativos podem usar o ACS ou um certificado autoassinado para seus tokens de acesso.

Para saber mais, confira Plan for app authentication in SharePoint Server.

Autenticação de servidor para servidor no SharePoint Server

A autenticação servidor a servidor é a validação da solicitação de um servidor para recursos que se baseia em uma relação de confiança estabelecida entre o STS do servidor que executa o SharePoint Server e o STS de outro servidor que dá suporte ao protocolo OAuth server-to-server, como executar o SharePoint Server local Exchange Server 2016, Skype for Business 2016, ou Serviço de Fluxo de Trabalho do Azure e SharePoint Server em execução no Microsoft 365. Com base nessa relação de confiança, um servidor solicitante pode acessar os recursos protegidos no servidor do SharePoint em nome de uma conta de usuário especificada, sujeito às permissões do servidor e do usuário.

Por exemplo, um servidor que executa Exchange Server 2016 pode solicitar recursos de um servidor que executa o SharePoint Server para uma conta de usuário específica. Essa disposição contrasta com a autenticação do aplicativo, na qual o aplicativo não tem acesso a informações de credencial da conta de usuário. O usuário pode ou não estar atualmente conectado ao servidor que faz a solicitação de recurso, dependendo do serviço e da solicitação.

Quando um servidor que executa o SharePoint Server tenta acessar um recurso em um servidor, ou um servidor tenta acessar um recurso em um servidor que executa o SharePoint Server, a solicitação de acesso de entrada deve ser autenticada, de forma que o servidor aceite essa solicitação e os dados subsequentes. A autenticação servidor a servidor verifica se o servidor que executa o SharePoint Server e o usuário que ele representa são confiáveis.

O token usado para uma autenticação servidor a servidor é um token servidor a servidor, não um token de entrada. O token de servidor para servidor contém informações sobre o servidor que solicita o acesso e a conta do usuário em cujo nome o servidor está atuando.

Para servidores locais, um exemplo do processo básico é o seguinte:

1. Um usuário abre uma página da web do SharePoint que exige informações de outro servidor (por exemplo, mostrar a lista de tarefas do SharePoint Server e do Exchange Server 2016).

2. O SharePoint Server gera um token de servidor para servidor.

3. O SharePoint Server envia o token de servidor para servidor ao outro servidor.

4. O outro servidor valida o token de servidor para servidor do SharePoint.

5. O outro servidor envia uma mensagem ao SharePoint Server para indicar que o token de servidor para servidor enviado era válido.

6. O serviço no servidor que executa o SharePoint Server acessa os dados no servidor.

7. O serviço no servidor que executa o SharePoint Server renderiza a página para o usuário.

Quando os dois servidores estão em execução no Microsoft 365, um processo de exemplo é o seguinte:

1. Um usuário abre uma página da web do SharePoint Online que exige informações de outro servidor (por exemplo, mostrar a lista de tarefas do SharePoint Online e do Exchange Online).

2. O Microsoft Office SharePoint Online solicita e recebe um token de servidor para servidor do ACS.

3. O SharePoint Online envia o token de servidor para servidor ao servidor do Microsoft 365.

4. O servidor do Microsoft 365 verifica a identidade do usuário no token de servidor para servidor com o ACS.

5. O servidor do Microsoft 365 envia uma mensagem ao SharePoint Online para indicar que o token de servidor para servidor enviado era válido.

6. O serviço no SharePoint Online acessa os dados no servidor Microsoft 365.

7. O serviço no Microsoft Office SharePoint Online renderiza a página para o usuário.

Para saber mais, veja Plano de autenticação servidor-para-servidor no SharePoint Server.