Compartilhar via


Autenticação de servidor para servidor e perfis de usuário no SharePoint Server

APLICA-SE A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

A autenticação de servidor para servidor permite aos servidores compatíveis com autenticação de servidor para servidor acessar e solicitar recursos de um a outro em nome do usuário. Por tanto, o servidor que executa o SharePoint Server e que auxilia na solicitação de recursos de entrada deve ser capaz de realizar duas tarefas:

  • Resolver a solicitação a um usuário SharePoint específico

  • Determinar o conjunto de declaração de função que está associado ao usuário, processo conhecido como reidratar a identidade do usuário

Para reidratar a identidade do usuário, um servidor que pode executar autenticação de servidor para servidor solicita acesso aos recursos do SharePoint. O SharePoint Server obtém as declarações do token de segurança de entrada e as resolve para um usuário específico do SharePoint. Por padrão, o SharePoint Server usa o aplicativo de serviço Perfil de Usuário integrado para resolver a identidade.

Os principais atributos do usuário para localizar o perfil do usuário correspondente são:

  • O identificador de segurança do Windows (SID)

  • O nome do usuário principal (UPN) dos serviços de domínio Active Directory (AD DS)

  • O endereço do Protocolo SMTP Seguro

  • O endereço do Protocolo (SIP)

Portanto, pelo menos um desses atributos de usuário deve ser atual nos perfis do usuário.

Observação

[!OBSERVAçãO] Apenas para o SharePoint Server 2013, recomendamos uma sincronização periódica de repositórios de identidade para o aplicativo de serviço de Perfil de Usuário. Para saber mais, confira Plano de sincronização de perfil do SharePoint Server 2013.

Além disso, o SharePoint Server espera apenas uma entrada correspondente no aplicativo de serviço Perfil de Usuário para uma determinada consulta de pesquisa baseada nesses quatro atributos. Caso contrário, ele retorna uma condição de erro indicando que vários perfis de usuários foram encontrados. Portanto, exclua periodicamente perfis de usuário obsoletos no aplicativo de serviço Perfil de Usuário para evitar vários perfis de usuários que compartilham esses quatro atributos.

Se um perfil de usuário e os membros de grupos relevantes para o usuário não são sincronizados, o SharePoint Server pode negar o acesso a um determinado recurso por engano. Portanto, certifique-se de que membros do grupo estão sincronizados com o aplicativo de serviço do Perfil de usuário. Para declarações do Windows, o usuário do aplicativo de serviço do Perfil do usuário importa o usuário quatro atributos principais anteriormente descritos.

Para autenticação de declarações com base em formulários e declarações SAML, você deve fazer uma das seguintes opções:

  • Criar uma conexão de sincronização a uma fonte de dados que o aplicativo de serviço de Perfil do usuário suporta e associa a uma conexão com o provedor de autenticação com base em formulários específicos ou SAML. Além disso, você tem que mapear os atributos do repositório do usuário para os quatro atributos do usuário descritos anteriormente, ou, como acontece com muitos deles, você pode obter a partir da fonte de dados.

  • Criar e implantar um componente personalizado para executar a sincronização manualmente. Esta é a opção mais provável para os usuários que não usam o Windows. Observe que o provedor de autenticação com base em formulários ou SAML é invocado quando a identidade do usuário é reidratada para obter suas declarações de função.

Reidratação de usuário para servidores de solicitação

Se o servidor de solicitação estiver executando o Exchange Server 2016 ou o Skype for Business Server 2015, que usam os métodos padrão de autenticação do Windows, o token de segurança de entrada enviado pelo servidor de solicitação conterá o UPN do usuário e poderá conter outros atributos como SMTP, SIP e o SID da identidade do usuário. O SharePoint Server, o servidor de recebimento, utiliza essas informações para localizar o perfil do usuário.

Para servidores de solicitação executando o SharePoint Server, o servidor de recebimento reidrata o usuário por meio dos seguintes métodos de autenticação com base em declarações:

  • Para autenticação de declaração do Windows, o SharePoint Server usa um atributo AD DS para encontrar o perfil para o usuário (por exemplo, valores UPN ou SID) e suas declarações de função (membros do grupo).

  • Para autenticações com base em formulários, o SharePoint Server usa o atributo Account para localizar o perfil do usuário e, em seguida, invocar o provedor da função e todos os demais provedores de declaração padrão para obter o conjunto correspondente de declarações de função. Por exemplo, o SharePoint Server usa o atributo AD DS, em um banco de dados como um banco de dados do SQL Server, ou em um repositório de dados de Protocolo LDAP, para encontrar o perfil do usuário que represente o usuário (por exemplo, valores UPN ou SID). Seus componentes para sincronizar seus provedores com base em formulários deve preencher minimamente os perfis do usuário com os nomes das contas do usuário. É possível também criar um provedor de declarações padrão para importar declarações adicionais como atributos nos perfis do usuário.

  • Para autenticação de declarações baseadas em SAML, o SharePoint Server utiliza o atributo AccountName para localizar o perfil do usuário e, em seguida invocar o provedor SAML e todos os provedores de declarações personalizadas adicionais para obter o conjunto correspondente de declarações de função. A declaração de identidade do usuário deve ser mapeada para o atributo Account em perfis de usuários por meio do provedor correspondente de declarações SAML, que deve ser configurado para preencher seus perfis de usuário. Da mesma forma, uma declaração UPN deve ser mapeada para o atributo UPN e a declaração SMTP deve ser mapeada para o atributo SMTP. Para duplicar o conjunto de declarações que o usuário normalmente obtêm de seu provedor de identidade, você deve adicionar essas declarações, incluindo as declarações de função, através do aumento de declarações. Um provedor de declaração personalizado deve importar essas declarações como atributos aos perfis de usuário.

Confira também

Conceitos

Plano de autenticação servidor-para-servidor no SharePoint Server

Visão geral da autenticação do SharePoint Server