Configurar a autenticação (Office SharePoint Server)

Atualizado em: 2009-03-26

Neste capítulo:

• Configurar acesso anônimo (Office SharePoint Server)

• Configurar a autenticação Digest (Office SharePoint Server)

• Configurar a autenticação baseada em formulários (Office SharePoint Server)

• Configurar a autenticação SSO na Web usando o ADFS (Office SharePoint Server)

• Configurar a autenticação Kerberos (Office SharePoint Server)

A autenticação é o processo de validação da identidade de cliente, normalmente por meio de uma autoridade designada. A autenticação de sites ajuda a estabelecer que um usuário que está tentando acessar recursos de site pode ser verificado como uma entidade autenticada. Um aplicativo de autenticação obtém credenciais de um usuário que está solicitando acesso ao site. As credenciais podem ser várias formas de identificação, como nome de usuário e senha. O aplicativo de autenticação tenta validar as credenciais por meio de uma autoridade de autenticação. Se as credenciais forem válidas, o usuário que as enviou será considerado uma identidade autenticada.

Autenticação do Office SharePoint Server

Para determinar o mecanismo de autenticação do Office SharePoint Server mais apropriado, considere as seguintes questões:

• Para usar um mecanismo de autenticação do Windows, você precisa de um ambiente que dê suporte a contas de usuário que possam ser autenticadas por uma autoridade confiável.

• Se você usar um mecanismo de autenticação do Windows, o sistema operacional executará tarefas de gerenciamento de credenciais do usuário. Se você usar um provedor de autenticação diferente do Windows, como a autenticação de formulários, deverá planejar e implementar um sistema de gerenciamento de credenciais e determinar onde elas serão armazenadas.

• Talvez seja necessário implementar um modelo de representação/delegação que possa passar um contexto de nível de sistema operacional de um usuário entre camadas. Isso permite que o sistema operacional represente o usuário e delegue seu contexto de segurança para o próximo subsistema downstream.

O Microsoft Office SharePoint Server é um aplicativo distribuído logicamente dividido em três camadas: a camada do servidor Web front-end, a camada do servidor de aplicativos e a camada do banco de dados de back-end. Cada camada é um subsistema confiável e a autenticação pode ser necessária para o acesso a elas. A validação de credenciais exige um provedor de autenticação. Os provedores de autenticação são componentes de software que dão suporte a mecanismos de autenticação específicos. A autenticação do Office SharePoint Server 2007 é interna ao modelo de autenticação do ASP.NET e inclui três provedores de autenticação:

• Provedor de autenticação do Windows

• Provedor de autenticação de formulários

• Provedor de autenticação SSO da Web

Você pode usar o serviço de diretório do Active Directory para autenticação ou projetar seu ambiente para validar credenciais do usuário por meio de outros armazenamentos de dados, como um banco de dados do Microsoft SQL Server, um diretório de protocolo LDAP ou qualquer outro diretório que tenha um provedor de associação do ASP.NET 2.0. O provedor de associação especifica o tipo de armazenamento de dados que você irá usar. O provedor de associação padrão do ASP.NET 2.0 usa um banco de dados do SQL Server. O Office SharePoint Server 2007 inclui um provedor de associação LDAP v3 e o ASP.NET 2.0 inclui um provedor de associação do SQL Server.

Você também pode implantar vários provedores de autenticação para permitir, por exemplo, o acesso à intranet usando a autenticação do Windows e o acesso externo usando a autenticação de formulários. O uso de vários provedores de autenticação exige o uso de vários aplicativos Web. Cada aplicativo Web deve ter uma zona designada e um único provedor de autenticação.

Os provedores de autenticação são usados com credenciais do usuário e de grupo armazenadas no Active Directory, em um banco de dados do SQL Server ou em um serviço de diretório LDAP diferente do Active Directory (como o NDS). Para obter mais informações sobre provedores de associação do ASP.NET, consulte a configuração de um aplicativo ASP.NET para usar a associação (https://go.microsoft.com/fwlink/?linkid=87014\&clcid=0x416).

Provedor de autenticação do Windows

A autenticação do Windows dá suporte aos seguintes métodos de autenticação:

• Autenticação anônima

  A autenticação anônima permite que usuários localizem recursos nas áreas públicas de sites sem precisarem oferecer credenciais de autenticação. O Serviços de Informações da Internet (IIS) cria a conta IUSR_nomedocomputador para autenticar usuários anônimos em resposta a uma solicitação de conteúdo da Web. A conta IUSR_nomedocomputador, onde nomedocomputador é o nome do servidor que está executando o IIS, oferece ao usuário acesso a recursos de forma anônima sob o contexto da conta IUSR. É possível redefinir o acesso de usuário anônimo para usar qualquer conta válida do Windows. Em um ambiente autônomo, a conta IUSR_nomedocomputador é o servidor local. Se o servidor for um controlador de domínio, a conta IUSR_nomedocomputador será definida para o domínio. Por padrão, o acesso anônimo estará desabilitado quando você criar um novo aplicativo Web. Isso oferece uma camada adicional de segurança, já que o IIS rejeitará solicitações de acesso anônimo antes de que elas sejam processadas caso o acesso anônimo esteja desabilitado.

• Autenticação básica

  A autenticação básica exige credenciais de conta do Windows atribuídas anteriormente para acesso de usuário. A autenticação básica permite que um navegador da Web ofereça credenciais ao fazer uma solicitação durante uma transação HTTP. Como as credenciais do usuário não são criptografadas para transmissão pela rede, mas enviadas como texto sem formatação, o uso da autenticação básica sobre uma conexão HTTP não segura não é recomendado. Para usar a autenticação básica, é preciso habilitar a criptografia Secure Sockets Layer (SSL).

• Autenticação Digest

  A autenticação Digest oferece a mesma funcionalidade da autenticação básica, mas com maior segurança. As credenciais do usuário são criptografadas em vez de enviadas como texto sem formatação pela rede. As credenciais do usuário são enviadas como um digest de mensagem MD5 no qual o nome do usuário e senha originais não podem ser decifrados. A autenticação Digest usa um protocolo de desafio/resposta que exige que quem solicita a autenticação apresente credenciais válidas em resposta a um desafio do servidor. Para autenticar no servidor, o cliente precisa fornecer um digest de mensagem MD5 em uma resposta que contenha uma cadeia de caracteres de senha compartilhada. O Algoritmo Digest de mensagem MD5 é descrito em detalhes no Internet Engineering Task Force (IETF) RFC 1321 (http://www.ietf.org//).

  Para usar a autenticação digest, observe os seguintes requisitos:

  • O usuário e o servidor IIS devem ser membros do mesmo domínio ou ser confiáveis para ele.

  • Os usuários devem ter uma conta de usuário do Windows válida armazenada no Active Directory do controlador de domínio.

  • O domínio deve usar um controlador de domínio Microsoft Windows Server 2003.

  • É preciso instalar o arquivo IISSuba.dll no controlador de domínio. Esse arquivo é copiado automaticamente durante a Instalação do Windows Server 2003.

• Autenticação integrada do Windows

  A autenticação integrada do Windows pode ser implementada usando NTLM ou a delegação restrita do Kerberos. A delegação restrita do Kerberos é o método de autenticação mais seguro. A autenticação integrada do Windows funciona bem em um ambiente de intranet, onde usuários possuem contas de domínio do Windows. Na autenticação integrada do Windows, o navegador tenta usar as credenciais do usuário atual em um logon no domínio e, caso a tentativa não tenha êxito, será solicitado que o usuário insira um nome de usuário e senha. Se você usar a autenticação integrada do Windows, a senha do usuário não será transmitida para o servidor. Se o usuário se conectou ao computador local como um usuário do domínio, não terá de se autenticar novamente quando acessar um computador da rede nesse domínio.

• Autenticação Kerberos

  Esse método é para servidores que estejam executando o Active Directory no Microsoft Windows 2000 Server e em versões mais recentes do Windows. O Kerberos é um protocolo de segurança que dá suporte à autenticação por tíquete. Um servidor de autenticação Kerberos concede um tíquete em resposta a uma solicitação de autenticação de computador cliente que contenha credenciais do usuário válidas. O computador cliente usará o tíquete para acessar recursos da rede. Para habilitar a autenticação Kerberos, os computadores cliente e servidor devem possuir uma conexão confiável com o Key Distribution Center (KDC) principal. Esses computadores também devem poder acessar o Active Directory. Para obter mais informações sobre a configuração de um servidor virtual para usar a autenticação Kerberos, consulte o artigo da Base de Dados de Conhecimentos da Microsoft 832769: sobre a configuração de um servidor virtual do Windows SharePoint Services para usar a autenticação Kerberos e como trocar a autenticação Kerberos para usar a autenticação NTLM novamente (https://go.microsoft.com/fwlink/?linkid=115572\&clcid=0x416).

• Delegação restrita do Kerberos

  A autenticação restrita é a configuração mais segura para a comunicação entre várias camadas de aplicativos. Você pode usá-la para passar a identidade original do chamador por várias camadas de aplicativo: por exemplo, de um servidor Web para um servidor de aplicativos para um servidor de banco de dados. A delegação restrita do Kerberos também é a configuração mais segura para o acesso a fontes de dados de back-end a partir de servidores de aplicativos. A representação permite que um thread seja executado em um contexto de segurança diferente do contexto do processo que tem a propriedade do thread. Na maioria das implantações de farm de servidores nas quais os servidores Web front-end e os servidores de aplicativos são executados em diferentes computadores, a representação irá requerer a delegação restrita do Kerberos.

• Representação e delegação do Kerberos

  A delegação do Kerberos permite que uma entidade autenticada represente as credenciais de um usuário ou computador na mesma floresta. Quando a representação estiver habilitada, a entidade representante poderá usar credenciais para executar tarefas em nome do usuário ou computador representado.

  Durante a representação, os aplicativos ASP.NET podem ser executados por meio da utilização de credenciais de outra entidade autenticada. Por padrão, a representação do ASP.NET está desabilitada. Se a representação for habilitada para um aplicativo ASP.NET, esse aplicativo será executado com as credenciais do token de acesso passado pelo IIS para o ASP.NET. Esse token pode ser um token autenticado para um usuário do Windows conectado ou o token fornecido pelo IIS para usuários anônimos (normalmente, a identidade IUSR_nomedocomputador).

  Quando a representação estiver habilitada, somente o código do seu aplicativo será executado sob o contexto do usuário representado. Os aplicativos são compilados e as informações de configuração são carregadas usando a identidade do processo do ASP.NET.

  Para obter mais informações sobre representação, consulte a representação do ASP.NET (https://go.microsoft.com/fwlink/?linkid=115573\&clcid=0x416).

• Autenticação NTLM

  Esse método é para servidores Windows que não estejam executando o Active Directory em um controlador de domínio. A autenticação NTLM é necessária para redes que recebem solicitações de autenticação de computadores clientes que não dão suporte à autenticação Kerberos. O NTLM é um protocolo de segurança que dá suporte à criptografia de credenciais de usuário e à transmissão pela rede. O NTLM se baseia na criptografia de nomes de usuário e de senhas antes de seu envio pela rede. Ela é necessária em redes onde o servidor recebe solicitações de computadores clientes que não dão suporte à autenticação Kerberos. O NTLM é o protocolo de autenticação usado nos ambientes de grupo de trabalho do Windows NT Server e do Windows 2000 Server e em muitas implantações do Active Directory. Ele é usado em ambientes mistos do Active Directory do Windows 2000 que precisam autenticar sistemas Windows NT. Quando o Windows 2000 Server é convertido para modo nativo onde não há controladores de domínio Windows NT de nível inferior, o NTLM é desabilitado. O Kerberos se torna o protocolo de autenticação padrão da empresa.

Provedor de autenticação de formulários

O provedor de autenticação de formulários dá suporte a autenticação usando credenciais armazenadas no Active Directory, em um banco de dados como os do SQL Server ou em um armazenamento de dados LDAP como Novell eDirectory, Novell Directory Services (NDS) ou Sun ONE. A autenticação de formulários permite a autenticação de usuário baseada em validação de entrada de credencial a partir de um formulário de logon. As solicitações não autenticadas são redirecionadas para uma página de logon, onde o usuário precisa fornecer credenciais válidas e enviar o formulário. Se a solicitação puder ser autenticada, o sistema emitirá um cookie com uma chave para o restabelecimento da identidade para solicitações subsequentes.

Provedor de autenticação de logon único da Web (SSO)

O SSO da Web também é conhecido como autenticação federada ou autenticação delegada, uma vez que dá suporte à comunicação segura entre limites da rede.

O SSO é um método de autenticação que permite o acesso a vários recursos seguros após uma única autenticação bem-sucedida de credenciais do usuário. Existem diversas implementações diferentes da autenticação SSO. A autenticação SSO da Web dá suporte à comunicação segura entre limites de rede ao permitir que usuários que foram autenticados em uma organização acessem aplicativos Web em outra organização. Os Serviços de Federação do Active Directory (ADFS) dão suporte ao SSO da Web. Em um cenário de ADFS, duas organizações podem criar um relacionamento de confiança de federação que permita que usuários de uma organização acessem aplicativos baseados na Web controlados por outra organização. Para obter informações sobre o uso de ADFS na configuração da autenticação SSO da Web, consulte Configurar a autenticação SSO na Web usando o ADFS (Office SharePoint Server). Para obter informações sobre como executar este procedimento usando a ferramenta de linha de comando Stsadm, consulte Authentication: operação de Stsadm (Office SharePoint Server).

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

• Implantação do Office SharePoint Server 2007 (em inglês)

Consulte a lista completa de manuais disponíveis na biblioteca técnica do Office SharePoint Server (em inglês).