Configurar a autenticação (Windows SharePoint Services)

Atualizado em: 2008-05-01

Neste artigo:

• Configurar acesso anônimo (Windows SharePoint Services 3.0)

• Configurar a autenticação Digest (Windows SharePoint Services)

• Configurar autenticação baseada em formulários (Windows SharePoint Services)

• Configurar a autenticação SSO da Web usando o ADFS (Windows SharePoint Services)

Autenticação é o processo de validar a identidade do cliente, geralmente por meio de uma autoridade designada. A autenticação de site ajuda a estabelecer que um usuário que está tentando acessar recursos de site pode ser verificado como uma entidade autenticada. Um aplicativo de autenticação obtém credenciais de um usuário que está solicitando acesso a site. As credencias podem ser várias formas de identificação, como um nome de usuário e uma senha. O aplicativo de autenticação tenta validar as credenciais em relação à autoridade de autenticação. Se essas credenciais forem válidas, o usuário que as enviou será considerado uma entidade autenticada.

Autenticação do Windows SharePoint Services

Para determinar o mecanismo de autenticação do Windows SharePoint Services 3.0 mais apropriado para uso, considere as seguintes questões:

• Para usar um mecanismo de autenticação do Windows, você precisa de um ambiente com suporte para contas de usuário que possa ser autenticado por uma autoridade confiável.

• Se você usar um mecanismo de autenticação do Windows, o sistema operacional executará tarefas de gerenciamento de credencial do usuário. Se usar um provedor de autenticação diferente do Windows, como a autenticação de formulários, você deverá planejar e implementar um sistema de gerenciamento de credencial e determinar onde armazenar credenciais de usuário.

A autenticação do Windows SharePoint Services 3.0 é interna no modelo de autenticação ASP.NET e inclui três provedores de autenticação:

• Provedor de autenticação do Windows

• Provedor de autenticação de formulários

• Provedor de autenticação de SSO da Web

Você pode usar o serviço de diretório Active Directory para autenticação ou pode criar seu ambiente para validar as credenciais de usuário em relação a outros armazenamentos de dados, como um banco de dados do Microsoft SQL Server, um diretório LDAP ou qualquer outro diretório que tenha um provedor de associação ASP.NET 2.0. O provedor de associação especifica o tipo de armazenamento de dados que você usará. O provedor de associação ASP.NET 2.0 padrão usa um banco de dados SQL Server. O ASP.NET 2.0 inclui um provedor de associação SQL Server.

Os provedores de autenticação são usados autenticar as credenciais de usuário e grupo armazenadas no Active Directory, em um banco de dados SQL Server ou em um serviço de diretório LDAP não Active Directory (como o NDS). Para obter mais informações sobre os provedores de associação ASP.NET, consulte o artigo sobre como configurar um aplicativo ASP.NET para usar associação (https://go.microsoft.com/fwlink/?linkid=87014\&clcid=0x416). Essa página pode estar em inglês.

Provedor de autenticação do Windows

O provedor de autenticação do Windows suporta os seguintes métodos de autenticação:

• Autenticação anônima

  A autenticação anônima permite que os usuários encontrem recursos nas áreas públicas de sites sem fornecer credenciais de autenticação. Os Serviços de Informações da Internet (IIS) criam a conta IUSR_nomedocomputador para autenticar usuários anônimos em resposta a uma solicitação de conteúdo da Web. A conta IUSR_nomedocomputador, onde nomedocomputador é o nome do servidor executando o IIS, dá ao usuário acesso aos recursos anonimamente no contexto da conta IUSR. Você pode redefinir o acesso de usuário anônimo para utilizar qualquer conta válida do Windows. Em um ambiente autônomo, a conta IUSR_nomedocomputador fica no servidor local. Se o servidor for um controlador de domínio, a conta IUSR_nomedocomputador será definida para o domínio. Por padrão, o acesso anônimo estará desabilitado quando você criar um novo aplicativo Web. Isso fornecerá uma camada adicional de segurança, porque o IIS recusará solicitações de acesso anônimo antes do processamento delas, caso o acesso anônimo esteja desabilitado.

• Autenticação básica

  A autenticação básica requer credenciais de conta do Windows atribuídas anteriormente para o acesso de usuário. Esse tipo de autenticação permite que um navegador da Web forneça credenciais ao fazer uma solicitação durante uma transação HTTP. Como as credenciais de usuário não são criptografadas para transmissão de rede, mas enviadas pela rede em texto sem formatação, o uso de autenticação básica por uma conexão HTTP não segura não é recomendável. Para usar autenticação básica, você deve habilitar a criptografia SSL.

• Autenticação Digest

  A autenticação Digest fornece a mesma funcionalidade que a autenticação básica, só que com mais segurança. As credenciais de usuário são criptografadas, em vez de enviadas pela rede em texto sem formatação. Essas credenciais são enviadas como um resumo de mensagem MD5 no qual o nome de usuário e a senha originais não podem ser decifrados. A autenticação Digest usa um protocolo de desafio/resposta que requer que o solicitante da autenticação apresente credenciais válidas em resposta a um desafio do servidor. Para autenticar no servidor, o cliente tem que fornecer um resumo de mensagem MD5 em uma resposta que contém uma cadeia de caracteres de senha secreta compartilhada. O Algoritmo de Resumo de Mensagem MD5 é descrito com detalhes no IETF RFC 1321 (http://www.ietf.org/). Essa página pode estar em inglês.

  Para usar a autenticação Digest, observe os seguintes requisitos:

  • O usuário e o servidor IIS devem ser membros do mesmo domínio ou devem ter a confiança dele.

  • Os usuários devem ter uma conta de usuário do Windows válida armazenada no Active Directory no controlador de domínio.

  • O domínio deve usar um controlador de domínio do Microsoft Windows Server 2003.

  • Você deve instalar o arquivo IISSuba.dll no controlador de domínio. Esse arquivo é copiado automaticamente durante a Instalação do Windows Server 2003.

• Autenticação integrada do Windows usando o NTLM

  Este método destina-se a servidores Windows que não estão executando o Active Directory em um controlador de domínio. O NTLM é um protocolo seguro que suporta a criptografia de credencial de usuário e a transmissão pela rede. O NTLM se baseia na criptografia de nomes de usuário e senhas antes do envio dessas informações pela rede. O NTLM é o protocolo de autenticação usado no Windows NT Server, em ambientes de grupo de trabalho do Windows 2000 Server e em muitas implantações do Active Directory. O NTLM é usado em ambientes de domínio mistos do Windows 2000/Active Directory que precisam autenticar sistemas Windows NT.

Provedor de autenticação de formulários

O provedor de autenticação de formulários suporta autenticação de credenciais armazenadas no Active Directory, em um banco de dados como o do SQL Server ou em um armazenamento de dados LDAP, como o Novell eDirectory, Novell Directory Services (NDS) ou Sun ONE. A autenticação de formulários permite a autenticação de usuário com base na validação de entrada de credencial de um formulário de logon. As solicitações não autenticadas são redirecionadas para uma página de logon, onde o usuário deve fornecer credenciais válidas e enviar o formulário. Se for possível autenticar a solicitação, o sistema emitirá um cookie que contém uma chave para restabelecer a identidade das solicitações subsequentes.

Provedor de autenticação de logon único (SSO) da Web

O SSO da Web também é conhecido como autenticação federada ou delegada, porque suporta comunicação segura pelos limites da rede.

O SSO é um método de autenticação que permite o acesso a vários recursos seguros após uma única autenticação bem-sucedida de credenciais do usuário. Há várias implementações diferentes de autenticação de SSO. A autenticação de SSO da Web suporta comunicação segura pelos limites da rede permitindo que os usuários que foram autenticados em uma organização acessem aplicativos da Web em outra organização. Os Serviços de Federação do Active Directory (ADFS) suportam SSO da Web. Em um cenário ADFS, duas organizações podem criar uma relação de confiança de federação que permita aos usuários de uma organização acessar aplicativos baseados na Web controlados por outra organização. Para obter informações sobre como usar ADFS para configurar autenticação SSO da Web, consulte Configurar a autenticação SSO da Web usando o ADFS (Windows SharePoint Services).