Planejar métodos de autenticação (Windows SharePoint Services)
Atualizado em: 2009-04-16
Neste artigo:
Sobre autenticação
Métodos de autenticação com suporte
Configurar autenticação
Planejar autenticação para rastreamento de conteúdo
Planejar zonas para design de autenticação
Escolher os métodos de autenticação permitidos no seu ambiente
Planilha
Este artigo descreve os métodos de autenticação compatíveis com o Windows SharePoint Services 3.0. Depois de ler o artigo, você estará apto a:
Compreender como a autenticação é implementada no Windows SharePoint Services 3.0.
Identificar os métodos de autenticação apropriados ao seu ambiente.
Sobre autenticação
Autenticação é o processo de validação da identidade de um usuário. Após a validação da identidade de um usuário, o processo de autorização determina os sites, o conteúdo e outros recursos que ele pode acessar.
No Windows SharePoint Services 3.0, o processo de autenticação é gerenciado pelo IIS. Depois que o IIS executa a autenticação de usuários, os recursos de segurança do Windows SharePoint Services 3.0 realizam o processo de autorização.
Para obter mais informações sobre como implementar autorização do Windows SharePoint Services 3.0, consulte Planejar a segurança de site e de conteúdo (Windows SharePoint Services).
O planejamento da autenticação é importante não somente para proteger sua solução por meio da validação de identidades de usuários, mas também para proteger as credenciais do usuário na rede.
Métodos de autenticação com suporte
O Windows SharePoint Services 3.0 fornece um sistema de autenticação flexível e extensível, que oferece suporte à autenticação em sistemas de gerenciamento de identidades baseados ou não no sistema operacional Microsoft Windows. Por meio da integração com a autenticação conectável do ASP.NET, o Windows SharePoint Services 3.0 oferece suporte a uma variedade de esquemas de autenticação baseados em formulários. O suporte à autenticação no Windows SharePoint Services 3.0 permite várias situações de autenticação, incluindo:
Uso de métodos de autenticação padrão do Windows.
Uso de um banco de dados simples, contendo nomes e senhas de usuário.
Conexão direta ao sistema de gerenciamento de identidades de uma organização.
Uso de dois ou mais métodos de autenticação para acessar aplicativos parceiros (por exemplo, conectar-se ao sistema de gerenciamento de identidades da empresa parceira para autenticar funcionários do parceiro e usar métodos de autenticação do Windows para autenticar funcionários internos).
Participação em sistemas de gerenciamento de identidades federados.
A tabela a seguir lista os métodos de autenticação com suporte:
| Método de autenticação | Descrição | Exemplos |
|---|---|---|
Windows |
Os métodos de autenticação padrão do IIS do Windows têm suporte. |
|
Formulários ASP.NET |
O Windows SharePoint Services 3.0 inclui suporte aos sistemas de gerenciamento de identidades não baseados no Windows, por meio da integração com o sistema de autenticação de formulários ASP.NET. A autenticação do ASP.NET permite ao Windows SharePoint Services 3.0 trabalhar com sistemas de gerenciamento de identidades que implementam a interface MembershipProvider. Não é preciso recriar páginas de administração de segurança, nem gerenciar contas de sombra do serviço de diretório do Active Directory. |
|
SSO (Logon Único) da Web |
O Windows SharePoint Services 3.0 oferece suporte à autenticação federada por meio de fornecedores SSO da Web. O SSO da Web permite o SSO em ambientes que incluam serviços em execução em plataformas diferentes. Você não precisa gerenciar contas separadas do Active Directory. |
|
Autenticação de contas do sistema
A autenticação de formulários ASP.NET e o SSO da Web podem ser usados para autenticar somente contas de usuário. As contas de processo utilizadas na conexão com o software de banco de dados do Microsoft SQL Server e na execução de web farm devem ser contas do Windows, mesmo ao usar métodos alternativos de autenticação para autenticar usuários.
O Windows SharePoint Services 3.0 oferece suporte à autenticação do SQL Server e às contas locais de processo do computador em farms que não estejam executando o Active Directory. Por exemplo, você pode implementar contas locais usando nomes de usuário e senhas idênticos em todos os servidores de um farm.
Configurar a autenticação
Embora a configuração da autenticação do Windows seja um processo simples, configurar a autenticação para usar formulários ASP.NET ou SSO da Web requer mais planejamento. Esta seção fornece um resumo sobre como a autenticação é configurada no Windows SharePoint Services 3.0. Essas informações o ajudarão a compreender como estabelecer uma estratégia de autenticação para sua solução e a determinar quem na organização precisa estar envolvido no planejamento da autenticação.
Configurar autenticação para aplicativos Web do SharePoint
A autenticação no Windows SharePoint Services 3.0 é configurada no nível do aplicativo Web do SharePoint. O diagrama a seguir ilustra um farm de servidores do Windows SharePoint Services configurado para hospedar sites de várias empresas. A autenticação é configurada separadamente para cada empresa.
.gif "Autenticação de host para duas empresas diferentes")
Quando você cria inicialmente ou estende um aplicativo Web, você vê um número limitado de opções de autenticação (Kerberos, NTLM e anônima). Se estiver usando um desses métodos, você poderá configurar a autenticação ao criar ou estender o aplicativo Web.
A ilustração a seguir mostra as opções limitadas de autenticação que estão disponíveis quando você cria inicialmente ou estende um aplicativo Web:
.gif "Configurações de autenticação padrão")
No entanto, se estiver usando outras configurações de autenticação, selecione as opções de autenticação padrão e configure a autenticação depois que o aplicativo Web for criado ou estendido. (Para fazer isso, na Administração Central, na página Gerenciamento de Aplicativos, na seção Segurança de Aplicativo, marque Provedores de autenticação e clique na zona para abrir a página Editar Autenticação.) As configurações definidas nessa página dependem do tipo de autenticação selecionado: Windows, formulários ou SSO da Web.
A ilustração a seguir mostra a página Editar Autenticação:
.gif "Página de edição de autenticação")
Dependendo das opções de autenticação selecionadas na Administração Central, talvez seja necessária alguma configuração adicional. A tabela a seguir resume as etapas de configuração baseadas no método de autenticação. Essa tabela também indica se são necessárias funções especializadas, além da função Administrador do SharePoint.
| Método de autenticação | Configuração adicional | Funções especializadas |
|---|---|---|
Anônima |
Nenhuma |
Nenhuma |
Básica |
Nenhuma |
Nenhuma |
Digest |
Configure a autenticação Digest diretamente no IIS. |
Nenhuma |
Certificados |
|
Administrador do Windows Server 2003, para obter e configurar certificados |
NTLM (Autenticação Integrada do Windows) |
Nenhuma |
Nenhuma |
Kerberos (Autenticação Integrada do Windows) |
|
Administrador do IIS |
Formulários |
|
|
SSO da Web |
Além das etapas de configuração necessárias à autenticação de formulários ASP.NET, registre um módulo HTTP do provedor de SSO da Web. |
|
Conectar-se a sistemas de gerenciamento de identidades externos ou não baseados no Windows
Para usar formulários ASP.NET ou SSO da Web na autenticação de usuários em um sistema de gerenciamento de identidades externo ou não baseado no Windows, você deve registrar o provedor de associação no arquivo Web.config. Além de registrar um provedor de associação, você pode registrar também um gerenciador de funções. O Windows SharePoint Services 3.0 usa a interface do gerenciador de funções padrão do ASP.NET para coletar informações do grupo, sobre o usuário atual. Cada função do ASP.NET é tratada como um grupo de domínios pelo processo de autorização do Windows SharePoint Services 3.0. Você registra gerenciadores de funções da mesma maneira que registra provedores de associação para autenticação.
Para gerenciar usuários ou funções de associação no site da Administração Central, você pode, opcionalmente, registrar o provedor de associação e o gerenciador de funções no arquivo Web.config do site da Administração Central (além de registrá-los no arquivo Web.config dos aplicativos que hospedam o conteúdo).
Certifique-se de que o nome do provedor de associação e do gerenciador de funções registrado no arquivo Web.config sejam os mesmos inseridos na página Authentication.aspx da Administração Central. Se você não inserir o gerenciador de funções no arquivo Web.config, o provedor padrão especificado no arquivo machine.config poderá ser usado no lugar.
Por exemplo, a cadeia de caracteres a seguir, em um arquivo Web.config, especifica um provedor de associação SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Para obter informações adicionais sobre como usar a autenticação de formulários ASP.NET para se conectar a um provedor de autenticação do SQL Server, consulte Exemplos de autenticação (Windows SharePoint Services).
Finalmente, se estiver usando o SSO da Web para se conectar a um sistema de gerenciamento de identidades externo, você também deverá registrar um módulo HTTP no SSO da Web. Um módulo HTTP é um assembly chamado em cada solicitação feita ao seu aplicativo. Os módulos HTTP são chamados como parte do pipeline de solicitação do ASP.NET. Para obter mais informações, consulte o artigo de introdução aos módulos HTTP (https://go.microsoft.com/fwlink/?linkid=77954\&clcid=0x416).
A integração com a autenticação de formulários ASP.NET impõe requisitos adicionais ao provedor de autenticação. Além de registrar os vários elementos no arquivo Web.config, é preciso programar o provedor de associação, o gerenciador de funções e o módulo HTTP para interagir com os métodos do Windows SharePoint Services 3.0 e do ASP.NET, conforme indicado na seguinte tabela:
| Categoria | Descrição |
|---|---|
Provedor de associação |
Para trabalhar com o Windows SharePoint Services 3.0, o provedor de associação deve implementar os seguintes métodos:
|
Gerenciador de funções |
O gerenciador de funções deve implementar os seguintes métodos:
|
Módulo HTTP |
O módulo HTTP deve lidar com os seguintes eventos:
|
Habilitando o acesso anônimo
Você pode habilitar o acesso anônimo em um aplicativo Web, bem como configurar um método de autenticação mais seguro. Com essa configuração, os administradores dos sites internos do aplicativo Web podem optar por permitir o acesso anônimo. Se os usuários anônimos quiserem acessar recursos protegidos, poderão clicar em um botão de logon para enviar suas credenciais.
Usando métodos de autenticação diferentes para acessar um site
Você pode configurar aplicativos Web no Windows SharePoint Services 3.0 para serem acessados por até cinco métodos de autenticação ou sistemas de gerenciamento de identidades diferentes. A figura a seguir ilustra um aplicativo parceiro configurado para ser acessado por usuários de dois sistemas de gerenciamento de identidades diferentes. Os funcionários internos são autenticados pelo método de autenticação padrão do Windows. Os funcionários da empresa parceira são autenticados pelo sistema de gerenciamento de identidades da própria empresa.
.gif "Diagrama de opções de Gerenciar Autenticação")
Para configurar um aplicativo Web para ser acessado por dois ou mais sistemas de autenticação diferentes, você deve configurar zonas adicionais no aplicativo Web. As zonas representam caminhos lógicos diferentes de obtenção de acesso ao mesmo aplicativo físico. Com um aplicativo parceiro típico, os funcionários de uma empresa parceira acessam o aplicativo pela Internet, enquanto os funcionários internos o acessam diretamente na intranet.
Para criar uma nova zona, estenda o aplicativo Web. Na página Estender Aplicativo Web para Outro Site do IIS, na seção URL com Carga Equilibrada , especifique a URL e o tipo de zona. O tipo de zona é simplesmente um nome de categoria aplicado à zona e não afeta a configuração dela.
Depois de estender o aplicativo Web, você pode configurar um método de autenticação diferente para a nova zona. A figura a seguir mostra a página Provedores de Autenticação de um aplicativo Web configurado usando duas zonas diferentes. A zona padrão é a usada por funcionários internos. A zona Internet é configurada para acesso do parceiro e usa formulários ASP.NET para autenticar os funcionários dele no respectivo sistema de gerenciamento de identidades.
.gif "Um aplicativo Web configurado com duas zonas")
Planejar autenticação para rastreamento de conteúdo
Para executar rastreamentos bem-sucedidos de conteúdo em um aplicativo Web, você precisa entender os requisitos de autenticação do componente de índice do servidor de pesquisa (também chamado de rastreador ). Esta seção descreve como configurar a autenticação de aplicativos Web para garantir o êxito do rastreamento desse conteúdo.
Quando um administrador de farm cria um aplicativo Web usando todas as configurações padrão, a zona padrão desse aplicativo Web é configurada para usar NTLM. O administrador de farm pode alterar o método de autenticação da zona para qualquer método de autenticação padrão aceito pelo Windows SharePoint Services 3.0.
O administrador de farm também pode estender um aplicativo Web uma ou mais vezes para habilitar zonas adicionais. Até cinco zonas podem ser associadas a um determinado aplicativo Web e cada zona pode ser configurada para usar qualquer método de autenticação aceito pelo Windows SharePoint Services 3.0.
Ordem em que o rastreador acessa as zonas
Ao planejar as zonas de um aplicativo Web, considere a ordem de sondagem em que o rastreador acessará as zonas ao tentar autenticar. A ordem de sondagem é importante, pois, se o rastreador encontrar uma zona configurada para usar autenticação básica, digest ou Kerberos, a autenticação falhará e o rastreador não tentará acessar a próxima zona da ordem de sondagem. Se isso ocorrer, o rastreador não rastreará o conteúdo nesse aplicativo Web.
Observação
Verifique se, na ordem de sondagem, a zona configurada para NTLM vem antes da zona configurada para autenticação básica, digest ou Kerberos.
O rastreador sonda as zonas na seguinte ordem:
Zona padrão
Zona da intranet
Zona da Internet
Zona personalizada
Zona da extranet
A figura a seguir mostra as decisões tomadas pelo sistema de autenticação quando o rastreador tenta autenticar:
.gif "Mostra a ordem das zonas de sondagem do rastreador.")
A tabela a seguir descreve as ações associadas a cada texto explicativo na figura:
| Texto explicativo | Ação |
|---|---|
1 |
Rastreador tenta autenticar usando a zona padrão. .gif "Observação") Observação:
O rastreador sempre tenta usar primeiro a zona padrão ao tentar autenticar um determinado aplicativo Web.
|
2 |
Se a zona estiver configurada para NTLM, o rastreador será autenticado e prosseguirá para a fase de autorização. |
3 |
Se a zona estiver configurada para autenticação básica, digest ou Kerberos, a autenticação falhará e o rastreador não tentará autenticar usando outra zona. Isso significa que o conteúdo não será rastreado. |
4 |
Se não houver mais zonas na ordem de sondagem, a autenticação falhará e o conteúdo não será rastreado. |
5 |
O rastreador tenta autenticar, usando a próxima zona da ordem de sondagem. |
Se você configurar a zona padrão para usar um método de autenticação incompatível com o rastreador — por exemplo, autenticação de formulários ou SSO da Web — crie pelo menos uma zona adicional e configure-a para usar autenticação NTLM. Considere este cenário.
Cenário de autenticação
O administrador de farm cria um aplicativo Web e o configura para usar autenticação de formulários. Como o administrador de farm quer que o conteúdo do aplicativo Web seja rastreado e indexado, e porque ele sabe que o rastreador exige uma zona configurada com NTLM, o administrador de farm estende o aplicativo Web e configura a zona da intranet para usar NTLM.
Quando o rastreador tenta autenticar, usando a zona padrão, o sistema de autenticação determina que o rastreador e a zona não estão configurados para usar o mesmo método de autenticação. Como a zona não está configurada para autenticação básica, digest ou Kerberos, e há pelo menos uma zona adicional na ordem de sondagem, o rastreador tenta autenticar via zona da intranet. Como a zona da intranet está configurada para usar NTLM e o rastreador também usa NTLM, a autenticação é bem-sucedida.
Além de configurar corretamente o método de autenticação, verifique se o rastreador está autorizado a rastrear conteúdo no aplicativo Web. Para isso, verifique se as credenciais usadas para a conta de acesso ao conteúdo têm a permissão Leitura Completa, ou uma permissão superior, no aplicativo Web a ser rastreado. Os administradores de farms podem usar a página Política para Aplicativo Web, na Administração Central, para criar uma política que conceda, à conta de acesso ao conteúdo, o nível de permissão Leitura Completa em um determinado aplicativo Web.
Rastreando conjuntos de sites nomeados pelo host
O processo e as regras ilustrados na figura anterior não se aplicam aos conjuntos de sites nomeados pelo host. Isso porque os conjuntos de sites nomeados pelo host só estão disponíveis na zona padrão. Se você não configurar a zona padrão para usar NTLM ao implantar conjuntos de sites nomeados pelo host, configure um método alternativo para que o componente de índice acesse o conteúdo.
Para obter mais informações sobre como rastrear conjuntos de sites nomeados pelo host, mas que não foram configurados para autenticação NTLM, consulte estes artigos:
Preparar-se para rastrear sites nomeados pelo host que usam autenticação de formulários
Preparar-se para rastrear sites nomeados pelo host e que usam autenticação Básica
Planejando zonas para design de autenticação
Se você pretende implementar mais de um método de autenticação em um aplicativo Web usando zonas, siga estas diretrizes:
Use a zona padrão para implementar as configurações de autenticação mais seguras. Se não for possível associar uma solicitação a uma zona específica, as configurações de autenticação e outras diretivas de segurança da zona padrão serão aplicadas. A zona padrão é gerada na criação inicial de um aplicativo Web. Geralmente, as configurações de autenticação mais seguras são as criadas para acesso do usuário final. Consequentemente, a zona padrão provavelmente será aquela acessada pelos usuários finais.
Use o número mínimo de zonas exigido pelo aplicativo. Cada zona é associada a um novo site e domínio do IIS para acessar o aplicativo Web. Adicione novos pontos de acesso somente quando forem necessários.
Para que o conteúdo de um aplicativo Web seja incluído nos resultados da pesquisa, configure pelo menos uma zona para usar autenticação NTLM. O componente de índice precisa da autenticação NTLM para rastrear conteúdo. Não crie uma zona dedicada para o componente de índice se ela não for necessária.
Escolher métodos de autenticação permitidos no seu ambiente
Além da compreensão de como a autenticação está configurada, o planejamento da autenticação inclui:
Consideração sobre o contexto ou o ambiente de segurança do aplicativo Web no Windows SharePoint Services 3.0.
Avaliação das recomendações e das implicações de cada método.
Entendimento sobre como as credenciais dos usuários e os dados de identidade relacionados são armazenados em cache e consumidos pelo Windows SharePoint Services 3.0.
Entendimento sobre como as contas de usuário são gerenciadas.
Garantia de que os métodos de autenticação sejam compatíveis com os navegadores usados pelos usuários.
| Ação de planilha |
|---|
Use a planilha de métodos de autenticação (https://go.microsoft.com/fwlink/?linkidLinkId=77970&clcid=0x416)0x409) para identificar os métodos de autenticação a serem utilizados no seu ambiente e para registrar as decisões e recomendações de cada método. Essa planilha será usada no planejamento dos métodos de autenticação de cada aplicativo Web do Windows SharePoint Services 3.0. |
Recomendações para ambientes de segurança específicos
A escolha dos métodos de autenticação está voltada principalmente para o contexto de segurança do aplicativo. A tabela a seguir fornece recomendações com base nos ambientes de segurança mais comuns:
| Ambiente | Considerações |
|---|---|
Intranet interna |
No mínimo protege as credenciais do usuário contra exibição simples. Integra-se ao sistema de gerenciamento de usuários implementado no ambiente. Se o Active Directory estiver implementado, usará os métodos de autenticação do Windows incluídos no IIS. |
Colaboração segura externa |
Configura uma zona diferente para cada empresa parceira que se conecta ao site. Usa o SSO da Web para autenticação no sistema de gerenciamento de identidades de cada parceiro. Isso elimina a necessidade de criar contas em seu próprio sistema de gerenciamento de identidades e também garante que as identidades dos colaboradores continuem a ser mantidas e validadas pelos empregadores parceiros. Se um colaborador não for mais funcionário de uma empresa parceira, ele não poderá ter acesso ao aplicativo parceiro. |
Anônimo externo |
Habilita o acesso anônimo (sem autenticação) e concede permissões Somente Leitura aos usuários que se conectam pela Internet. Para fornecer conteúdo direcionado ou baseado em função, você pode usar a autenticação de formulários ASP.Net para registrar usuários usando um banco de dados simples com nomes e funções dos usuários. Use o processo de registro para identificar usuários por função (como médico, paciente ou farmacêutico). Quando os usuários fizerem logon, seu site poderá apresentar conteúdo específico da função. Neste cenário, a autenticação não é usada para validar credenciais nem para limitar quem pode acessar o conteúdo; o processo de autenticação simplesmente oferece um método de direcionamento do conteúdo. |
Recomendações e implicações dos métodos de autenticação
Compreender as vantagens, as recomendações e as implicações de cada método de autenticação pode ajudar a determinar o método ideal para seu ambiente. A tabela a seguir destaca as recomendações e as implicações de cada método de autenticação. Para obter mais informações sobre cada método de autenticação do Windows compatível com o IIS, consulte o artigo sobre autenticação do IIS (em inglês) (https://go.microsoft.com/fwlink/?linkid=78066\&clcid=0x416) (em inglês).
| Método de autenticação | Vantagens e recomendações | Compensações |
|---|---|---|
Windows |
|
|
Formulários ASP.NET |
|
|
SSO da Web |
|
|
Gerenciamento das informações de identidade do usuário
A forma como as credenciais e outras informações de identidade dos usuários são processadas e usadas pelo Windows SharePoint Services 3.0 pode influenciar sua decisão em relação à opção de autenticação mais adequada à finalidade pretendida. Esta seção fornece detalhes sobre como as informações de identidade do usuário são processadas nas seguintes categorias:
IDs binárias Como as identificações (IDs) binárias de usuário são criadas ou usadas pelo Windows SharePoint Services 3.0.
Armazenamento em cache O processo de retenção da identidade de um usuário por um período de tempo para evitar a repetição do processo de autenticação em cada solicitação.
Função e associação de grupo Além de determinar quem são os usuários, o processo de autenticação também determina a que grupos ou funções um usuário pertence. Essas informações são usadas durante o processo de autorização para determinar as ações que um usuário tem permissão para realizar. Para fins de autorização, o Windows SharePoint Services 3.0 trata grupos do Active Directory e funções do ASP.NET como o mesmo tipo de entidade.
A tabela a seguir detalha como o Windows SharePoint Services 3.0 gerencia as IDs binárias de usuários, os dados de usuário armazenados em cache e os dados de função e associação de grupo, dependendo do método de autenticação usado:
| Item | Autenticação do Windows | Formulários ASP.NET e SSO da Web |
|---|---|---|
IDs binárias |
O Windows SharePoint Services 3.0 usa o identificador de segurança (SID) do Windows. |
O Windows SharePoint Services 3.0 cria uma ID binária exclusiva, combinando o nome do provedor com o nome do usuário. |
Armazenamento em cache |
As credenciais de usuário são armazenadas em cache e gerenciadas pelo IIS, pelo Explorer Internet e pelo Windows. |
O ASP.NET usa um cookie criptografado para manter as credenciais do usuário durante a sessão. |
Função e associação de grupo |
O Windows mantém a lista de grupos de domínios do Active Directory aos quais o usuário pertence, no token de acesso. O Windows SharePoint Services 3.0 usa as informações armazenadas no token de acesso. |
Quando um gerenciador de funções é registrado, o Windows SharePoint Services usa a interface padrão desse gerenciador para coletar informações do grupo sobre o usuário atual. Cada função do ASP.NET é tratada como um grupo de domínios pelo processo de autorização. O ASP.NET pode armazenar em cache as funções às quais o usuário pertence em um cookie, dependendo das configurações definidas no arquivo Web.config. |
Gerenciamento de contas de usuário
Compreender como o Windows SharePoint Services 3.0 trata as tarefas típicas de gerenciamento de contas de usuário também pode influenciar a escolha do método de autenticação. Geralmente, os usuários que são membros de um provedor de autenticação em uma zona podem gerenciar contas em todas as zonas, desde que tenham permissão. As informações contidas na lista a seguir são aplicáveis, independentemente do método de autenticação implementado:
Adicionando e convidando novos usuários Você poderá adicionar ou convidar um novo usuário de qualquer zona e de todos os métodos de autenticação configurados se o provedor de associação e o gerenciador de funções estiverem registrados no arquivo Web.config atual. Quando você adiciona um novo usuário, o Windows SharePoint Services 3.0 resolve o nome do usuário nas fontes a seguir, na seguinte ordem:
Tabela UserInfoList armazenada pelo Windows SharePoint Services 3.0. As informações do usuário estarão nessa lista se os usuários já tiverem sido adicionados a outro site.
Provedor de autenticação configurado na zona atual. Por exemplo, se um usuário for um membro do provedor de autenticação configurado na zona padrão, o Windows SharePoint Services 3.0 primeiro verificará esse provedor de associação.
Todos os outros provedores de autenticação.
Excluindo usuários As contas de usuário são marcadas como excluídas no banco de dados do Windows SharePoint Services 3.0. No entanto, o registro do usuário não é removido.
Alguns comportamentos de gerenciamento de conta de usuário no Windows SharePoint Services 3.0 diferem conforme o provedor de autenticação. A tabela a seguir destaca várias tarefas comuns de conta de usuário que diferem conforme o método de autenticação implementado:
| Tarefa | Contas autenticadas do Windows | Contas autenticadas por formulários ASP.NET e por SSO da Web |
|---|---|---|
Adicionando e convidando novos usuários |
O Windows SharePoint Services 3.0 valida identidades de usuário usando o Active Directory. |
O Windows SharePoint Services 3.0 chama o provedor de associação e o gerenciador de funções para verificar se o usuário e as funções existem. |
Alterações nos nomes de logon |
Os nomes de usuário atualizados são automaticamente reconhecidos pelo Windows SharePoint Services 3.0. Novas entradas não são adicionadas à tabela UserInfoList. |
Você deve excluir o antigo nome da conta e adicionar o novo. As permissões não podem ser migradas. |
Fazendo logon |
Se a autenticação integrada do Windows (Kerberos ou NTLM) for usada e o navegador estiver configurado para fazer logon automaticamente, os usuários não precisarão fazer logon manualmente nos sites do SharePoint. Por padrão, o Internet Explorer está configurado para fazer logon automaticamente nos sites da intranet. Se for necessário o logon (por exemplo, sites que exijam um conjunto diferente de credenciais), apenas o nome e a senha serão solicitados ao usuário. No entanto, se a autenticação básica for usada ou se o usuário estiver usando um navegador não configurado para logon automático, talvez sejam solicitadas ao usuário as credenciais de logon quando ele acessar um site do SharePoint. |
O Windows SharePoint Services 3.0 fornece uma página de logon padrão para uso na autenticação de formulários. Essa página inclui os seguintes campos: nome de usuário, senha, entre na rede automaticamente (para preservar o cookie). Você pode criar sua própria página de logon para adicionar outros controles (por exemplo, criar uma nova conta ou redefinir a senha). |
Suporte do navegador
Nem todos os navegadores funcionam com cada um dos métodos de autenticação compatíveis. Antes de selecionar os métodos de autenticação a serem permitidos no seu ambiente, determine os navegadores aos quais terá de oferecer suporte. Em seguida, determine os métodos de autenticação que são compatíveis com os navegadores. O Internet Explorer funciona com todos os métodos de autenticação aceitos. Outros navegadores compatíveis com o Windows SharePoint Services 3.0 incluem:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Planilha
Use a seguinte planilha para registrar os métodos de autenticação apropriados ao ambiente:
A seguinte tabela representa um exemplo de planilha preenchida:
| Método de autenticação | Permitir | Não permitir | Observações e recomendações |
|---|---|---|---|
Anônima |
x |
||
Básica |
x |
||
Digest |
x |
||
Certificados |
x |
||
NTLM (Autenticação Integrada do Windows) |
x |
"Use NTLM em todos os sites de departamento, com exceção de finanças." |
|
Kerberos (Autenticação Integrada do Windows) |
x |
"Use autenticação Kerberos em sites com um contrato de nível de serviço de alta segurança." |
|
Formulários ASP.NET |
x |
"Use a autenticação de formulários para permitir o acesso de empresas parceiras aos sites hospedados na extranet do parceiro. Atualmente, permitimos a autenticação nos seguintes sistemas de gerenciamento de identidades: Active Directory e LDAP. Trabalhe com Sidney Higa no desenvolvimento de configurações de autenticação para usar na autenticação de formulários." |
|
SSO da Web |
x |
"Use este método em aplicativos parceiros somente se a empresa parceira fizer parte dos sistemas de gerenciamento de identidades federados. Consulte David Jones para obter mais informações." |
Observações adicionais: "Trabalhe com Denise Smith na aprovação de todas as configurações de autenticação dos aplicativos Web do SharePoint antes da implementação."
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Parte 2 do material sobre planejamento e arquitetura do Windows SharePoint Services 3.0 (em inglês)
Planejando um ambiente de extranet para o Windows SharePoint Services (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).