Gerenciar autenticação para o Catálogo de Dados Corporativos

Artigo
06/12/2012

Atualizado em: 2009-04-28

O Catálogo de Dados Corporativos do Microsoft Office SharePoint Server 2007 oferece suporte a dois modelos e três modos de autenticação que usam SSO (logon único) para armazenar credenciais do usuário.

Neste artigo:

Selecionar um modelo e um modo de autenticação preferenciais
Configurar contas para o aplicativo back-end
Habilitar e configurar o serviço de logon único
Criar e configurar definições de aplicativos empresariais
Modificar e importar a definição de aplicativo para o aplicativo
Requisitos da tarefa

Para gerenciar a autenticação no Catálogo de Dados Corporativos usando SSO, execute as etapas descritas neste documento para cada banco de dados ou serviço Web que você esteja integrando à sua implantação.

Selecionar um modelo e um modo de autenticação preferenciais

Os aplicativos do Catálogo de Dados Corporativos podem usar vários diferentes modos de autenticação que podem usar um dos dois modos de autenticação distintos.

Selecionar um modelo de autenticação

Os modelos de autenticação usados pelo Catálogo de Dados Corporativos são conceituais e não correspondem a nenhuma configuração específica XML ou de outro tipo. Implemente um modelo de autenticação configurando o arquivo XML de definição do aplicativo para que use uma conta específica para conectar-se ao servidor back-end.

O Catálogo de Dados Corporativos oferece suporte aos seguintes modelos de autenticação:

Subsistema Confiável
Representação e Delegação

No modelo Subsistema Confiável, a camada intermediária (normalmente o servidor Web) é autenticada no servidor back-end como identidade fixa. No modelo Representação e Delegação, o cliente delega autenticação à camada intermediária, que representa o cliente e é autenticada no back-end em nome do cliente. Cada modelo oferece suporte a vários modos de autenticação que podem ser usados em diferentes cenários de integração.

O modelo Subsistema Confiável oferece as seguintes vantagens:

Pool de conexões de banco de dados
Administração menos complexa
Os administradores do servidor back-end do aplicativo têm que gerenciar permissões para uma conta apenas

O Subsistema Confiável é uma boa opção em implantações novas. Os administradores de aplicativos não precisam configurar permissões de autorização no servidor back-end para um grande número de usuários. Em vez disso, eles podem configurar uma conta para cada aplicativo e configurar a autorização no Office SharePoint Server.

O modelo Subsistema Confiável usa uma conta de serviço ou de banco de dados associada a uma conta de grupo na definição do aplicativo empresarial.

O modelo Representação e Delegação oferece as seguintes vantagens:

Auditoria no servidor back-end
Autorização por usuário no servidor back-end sem qualquer configuração adicional

O modelo Representação e Delegação pode ser uma boa opção em um aplicativo existente configurado para autorização por usuário. Após a configuração do modelo Representação e Delegação, cada usuário continua a ser autenticado com o uso da configuração no aplicativo back-end. Isso pode ser complicado quando uma organização administra vários aplicativos de linha de negócios integrados a uma implantação do Office SharePoint Server, cada um com suas próprias configurações de autorização que devem ser gerenciadas ininterruptamente. A menos que seja necessária a auditoria no servidor back-end, é uma prática frequentemente recomendada usar o modelo Representação e Delegação somente durante a implantação inicial até que um modelo Subsistema Confiável possa ser configurado.

O modelo Representação e Delegação usa uma conta de usuário do Windows e uma conta de usuário do banco de dados (somente para bancos de dados) ou um usuário de autenticação baseada em formulários (somente para serviços Web) associado a uma conta individual.

Selecionar e configurar um modo de autenticação

A tabela a seguir descreve os modos de autenticação que recebem suporte do Catálogo de Dados Corporativos e se cada modo usa SSO.

Modo de autenticação	Descrição	Usa SSO
PassThrough	Usa as credenciais do usuário conectado para autenticação para o aplicativo no servidor back-end. Este modo está disponível somente para o modelo de autenticação Representação e Delegação. A autenticação PassThrough exige que a delegação do Kerberos esteja habilitada.	Não
RevertToSelf	Usa a conta de identidade do pool de aplicativos para autenticar usuários no servidor back-end. Como uma conta de serviço é sempre usada no lugar de uma conta individual, o modo RevertToSelf usa o modelo de autenticação Subsistema Confiável.	Não
WindowsCredentials	Usado para serviços e bancos de dados da Web. O Catálogo de Dados Corporativos representa uma conta de usuário do Windows com credenciais de uma definição de aplicativo empresarial e executa autenticação do Windows.	Sim
Credentials	Usado para serviços Web que utilizam autenticação básica ou Digest em vez da autenticação do Windows. Para ajudar a preservar a segurança, ao usar o modo de autenticação Credentials, é altamente recomendável que o canal entre o Catálogo de Dados Corporativos e o servidor back-end seja protegido com o uso do protocolo SSL (Secure Socket Layer) ou IPSec (Segurança de Protocolo Internet).	Sim
RdbCredentials	Usado somente para bancos de dados back-end. O Catálogo de Dados Corporativos usa credenciais de uma definição de aplicativo empresarial para autenticação.	Sim

A maior parte desses modos usa SSO para armazenar credenciais para o aplicativo, usando uma identidade individual ou de grupo configurada como definição de aplicativo empresarial. O modo PassThrough usa as credenciais do usuário conectado e o modo RevertToSelf usa a conta de identidade do pool de aplicativos para autenticar usuários.

Em todos os modos de autenticação SSO, a definição de aplicativo empresarial usa uma conta de grupo para o modelo Subsistema Confiável e uma conta individual para o modelo Representação e Delegação. Para obter mais informações sobre a definição de aplicativo empresarial, consulte a seção “Criar e configurar definições de aplicativos empresariais” deste documento.

O modo de autenticação selecionado por você afeta as contas ou credenciais que você configura no servidor back-end e as configurações de SSO. As propriedades que você deve configurar para o arquivo XML de definição do aplicativo são descritas na seção “Modificar e importar o arquivo XML de definição do aplicativo” adiante, neste documento.

Para obter mais informações sobre modelos e modos de autenticação, consulte a página sobre autenticação do Catálogo de Dados Corporativos (https://go.microsoft.com/fwlink/?linkid=100498\&clcid=0x416).

Configurar contas para o aplicativo

Antes de configurar o SSO ou o arquivo XML de definição do aplicativo, você deve configurar permissões de autorização para uma ou mais credenciais do servidor back-end:

Se você estiver usando o modelo de autenticação Subsistema Confiável, precisará configurar apenas uma conta ou um conjunto de credenciais no aplicativo.
Se você estiver usando o modelo de autenticação Representação e Delegação, deverá configurar autorização para cada credencial que o Catálogo de Dados Corporativos representa de uma conta de grupo do SSO. Se um aplicativo já estiver sendo usado pela sua organização, talvez as credenciais necessárias já tenham sido configuradas e você possa pular esta etapa.

As contas são configuradas no banco de dados ou serviço Web e os detalhes da configuração dependem de permissões específicas do aplicativo.

Habilitar e configurar o serviço de logon único

Se você tiver selecionado um modo de autenticação para o Catálogo de Dados Corporativos que use SSO, deverá habilitar e configurar o SSOSrv (Serviço de Logon Único da Microsoft) em todos os servidores Web front-end do farm. Se já estiver usando a pesquisa para o Catálogo de Dados Corporativos, deverá habilitar o SSOrv no servidor de indexação.

A conta de logon do serviço deve ser:

Uma conta de usuário de domínio. Ela não pode ser uma conta de grupo.
Uma conta de farm do Office SharePoint Server.
Membro do grupo Administradores local, no servidor de chave de criptografia. (O servidor de chave de criptografia é o primeiro servidor em que o SSOSrv deve ser iniciado.)
Membro da função Administradores de Segurança e da função db_creator no computador que executa o Microsoft SQL Server.
A mesma conta de administrador de SSO ou membro da conta do grupo que é a conta do administrador de SSO.

Após a configuração do serviço SSO, defina as configurações adicionais na página da Administração Central. As configurações de servidor do SSO incluem informações de conta para uma conta separada de administrador de SSO, o servidor de banco de dados do SSO e o nome do servidor, além de configurações de tempo limite e log de auditoria.

O usuário ou grupo especificado por você como conta de administrador de SSO deve ser:

Uma conta de grupo global ou de usuário individual do Windows. Ela não pode ser uma conta de grupo local do domínio ou uma lista de distribuição.
A mesma conta do serviço de Logon Único, caso um usuário seja especificado. Se for especificado um grupo, a conta do serviço de Logon Único deverá ser membro desse grupo.
A mesma conta de configuração do SSO, caso um usuário seja especificado. Se for especificado um grupo, a conta de configuração do SSO deverá ser membro desse grupo.
Membro do grupo Administradores de Farm do do SharePoint.

Para obter mais informações sobre como habilitar e ativar o serviço de Logon Único, consulte Configurar e iniciar o serviço Logon Único da Microsoft. Para obter mais informações sobre como configurar o serviço de Logon Único, consulte Configurar logon único (Office SharePoint Server).

Criar e configurar definições de aplicativos empresariais

Depois de configurar o serviço de Logon Único, você deverá criar e configurar definições de aplicativos empresariais para seus aplicativos de linha de negócios. Você deve criar uma definição de aplicativo empresarial para cada credencial armazenada usada por seus aplicativos de linha de negócios, bancos de dados e serviços Web. Normalmente, uma definição de aplicativo empresarial é criada para cada aplicativo ou serviço, mas se você tiver vários aplicativos que usem o mesmo conjunto de credenciais, precisará de apenas uma definição de aplicativo empresarial que pode ser usada para conectar-se a todos os aplicativos que usam essas credenciais.

Dica

Uma definição de aplicativo empresarial para o SSO não é o mesmo que o arquivo XML de definição do aplicativo importado para o Catálogo de Dados Corporativos para cada aplicativo ou serviço. Você deve criar uma definição de aplicativo empresarial e, separadamente, fazer referência a essa definição no arquivo XML de definição do aplicativo.

Após criar uma definição de aplicativo empresarial, você deve configurar informações da conta para essas definições. Você deve estar conectado ao servidor como administrador local para concluir esse procedimento.

Para obter mais informações sobre a criação de definições de aplicativos empresariais, consulte Criar definição de aplicativo empresarial para o Catálogo de Dados Corporativos. Para obter mais informações sobre a configuração de definições de aplicativos empresariais, consulte Configurar a definição do aplicativo corporativo do Catálogo de Dados Corporativos.

Modificar e importar o arquivo XML de definição do aplicativo

Depois de configurar o SSO, criar e configurar definições de aplicativos empresariais, você deve modificar a definição do aplicativo para incluir o modo de autenticação do aplicativo, a implementação da interface do ISsoProvider usada pelo aplicativo e a ID do aplicativo. Essas propriedades são configuradas no objeto LOBSystemInstance no arquivo XML de definição do aplicativo.

Também é possível modificar outras propriedades do aplicativo. Para obter uma tabela que mostre a lista completa das propriedades disponíveis para autenticação de configuração de bancos de dados e serviços Web, consulte a página sobre LOBSystemInstance (https://go.microsoft.com/fwlink/?linkid=124545\&clcid=0x416). Também são fornecidos exemplos.

Para poder usar as configurações de autenticação para o Catálogo de Dados Corporativos, você deve importar o arquivo XML de definição do aplicativo para o Catálogo de Dados Corporativos.

Para obter mais informações sobre como criar, modificar e importar definições de aplicativos para o Catálogo de Dados Corporativos, consulte Gerenciar definições de aplicativo.

As tarefas de criação comuns para arquivos XML de definição de aplicativos são descritas nas seguintes subseções:

Configurando a autenticação SSO para um banco de dados
Configurando a autenticação SSO para um serviço Web
Configurando o provedor de SSO para o aplicativo
Configurando a autenticação RevertToSelf
Configurando a autenticação PassThrough
Configurando a autenticação no nível de aplicativo para o aplicativo

Configurando a autenticação SSO para um banco de dados

Para usar SSO com sistemas de bancos de dados, são necessárias as seguintes propriedades:

AuthenticationMode do objeto LOBSystemInstance é definida como WindowsCredentials ou RdbCredentials.
A SsoProviderImplementation é definida como o nome totalmente qualificado da interface do ISsoProvider.

Dica

Se uma interface ISsoProvider de terceiros estiver em uso no lugar da interface ISsoProvider do Office SharePoint Server, você deverá incluir o nome totalmente qualificado desse provedor.
A SsoApplicationId é definida como o valor da ID do aplicativo empresarial para o aplicativo. Você forneceu o nome da definição do aplicativo empresarial quando o criou.

Configurando a autenticação SSO para um serviço Web

Para usar SSO com sistemas de serviços da Web, são necessárias as seguintes propriedades:

WebServiceAuthenticationMode do objeto LOBSystemInstance é definida como WindowsCredentials ou Credentials.
A SsoProviderImplementation é definida como o nome totalmente qualificado da interface do ISsoProvider.

Dica

Se uma interface ISsoProvider de terceiros estiver em uso no lugar da interface ISsoProvider do Office SharePoint Server, você deverá incluir o nome totalmente qualificado desse provedor.
A WebServiceSsoApplicationId é definida como o valor da ID do aplicativo empresarial para o aplicativo.

Configurando o provedor de SSO para o aplicativo

Os aplicativos de linha de negócios que usam SSO para autenticar usuários podem definir a propriedade SsoProviderImplementation e a interface ISsoProvider para o uso de qualquer provedor de SSO de terceiros. Para usar um provedor de SSO diferente daquele do Office SharePoint Server, você deve configurar esse provedor e, em seguida, incluir o nome totalmente qualificado do provedor na definição do aplicativo para essa propriedade. Para obter mais informações, consulte a página sobre membros do ISsoProvider (https://go.microsoft.com/fwlink/?linkid=124546\&clcid=0x416).

Configurando a autenticação RevertToSelf para o aplicativo

Em vez de usar SSO, você pode usar o modo de autenticação RevertToSelf para configurar o aplicativo para ser executado como a identidade da conta do pool de aplicativos e fazer a autenticação usando as permissões individuais de cada usuário para o aplicativo. Para usar o modo de autenticação RevertToSelf, defina a propriedade de autenticação do seguinte modo:

Para fazer autenticação em um banco de dados, defina a propriedade AuthenticationMode do objeto LOBSystemInstance como RevertToSelf.
Para fazer autenticação em um serviço Web, defina a propriedade WebServiceAuthenticationMode do objeto LOBSystemInstance como RevertToSelf.

Configurando a autenticação PassThrough para o aplicativo

A autenticação PassThrough também funciona com o uso de SSO para armazenar contas e autentica cada usuário diretamente usando as permissões de cada conta no aplicativo back-end. Para usar o modo de autenticação PassThrough, defina a propriedade de autenticação do seguinte modo:

Para fazer autenticação em um banco de dados, defina a propriedade AuthenticationMode do objeto LOBSystemInstance como PassThrough.
Para fazer autenticação em um serviço Web, defina a propriedade WebServiceAuthenticationMode do objeto LOBSystemInstance como PassThrough.

Configurando a autenticação no nível de aplicativo para o aplicativo

O Catálogo de Dados Corporativos também oferece suporte a uma autenticação secundária, no nível do aplicativo. Ela é usada além da principal, configurada para o sistema. Isso é especialmente útil em situações em que um aplicativo back-end precise que as credenciais de segurança sejam passadas nas chamadas do método para autorizar usuários, por exemplo. Para habilitar a autenticação no nível do aplicativo, siga estas etapas:

Na propriedade SecondarySsoApplicationId do objeto LobSystemInstance, especifique o aplicativo SSO que contém as credenciais.
Defina as propriedades UsernameCredentialFilter e PasswordCredentialFilter e associe cada uma delas a um parâmetro de entrada.

Configurar acesso anônimo

O 2007 Microsoft Office Servers Service Pack 1 adiciona uma nova propriedade AllowAnonymousExecute à definição do aplicativo, para permitir acesso anônimo a dados corporativos em Web Parts de dados corporativos. A configuração do valor dessa propriedade como true permite acesso anônimo. Este é o XML da propriedade:

<Properties>

<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>

</Properties>

Para permitir acesso anônimo a dados em uma Web Part de Dados Corporativos ou Web Part do Item de Dados Corporativos, adicione essa propriedade à instância do método usada pela Web Part.

Por exemplo, para permitir que usuários anônimos executem a instância do método ArtistRead para uma Web Part de Item de Dados Corporativos que exiba informações sobre um artista da área musical:

<MethodInstance Type="SpecificFinder" ReturnParameterName="ArtistRead" Name="ArtistRead">