Compartilhar via

Team Foundation Server, autenticação e acesso

  • Artigo

Você pode configurar a implantação para ajudar a proteger as conexões entre os usuários e a implantação de Visual Studio Team Foundation Server.Team Foundation Server(TFS) pode oferecer suporte a autenticação básica, autenticação Digest e certificados.Portanto, você pode configurar a implantação do TFS usar Hypertext Transfer Protocol Secure (HTTPS) com Secure Sockets Layer (SSL) e autenticação básica ou Digest.Se você adotar essa estratégia, os usuários podem se conectar com mais segurança para sua implantação sem precisar usar conexões de rede virtual privada (VPN).

Configurações

Para oferecer suporte a conexões externas mais seguras para a implantação de Team Foundation Server, você deve configurar o Internet Information Services (IIS) para habilitar a autenticação básica, autenticação Digest ou ambos.Você também deve configurar as conexões externas para exigir certificados.

Aa833874.collapse_all(pt-br,VS.110).gifAutenticação básica e autenticação Digest

Autenticação básica é parte da especificação do HTTP 1.0 e usa contas de usuário do Windows.Durante a autenticação básica, o navegador solicita ao usuário um nome de usuário e senha e transmite as informações entre HTTP usando a codificação Base64.Por padrão, a autenticação básica requer que a conta de usuário do Windows com direitos de logon local no servidor web.Você pode usar a autenticação básica em implantações de trabalho e domínio.A maioria dos servidores web, servidores proxy e navegadores da web oferecem suporte à autenticação básica, mas não é seguro.Como fáceis de decodificar dados codificados com Base64, autenticação básica essencialmente está enviando a senha como texto sem formatação.Ao monitorar as comunicações na rede, um usuário mal-intencionado pode facilmente interceptar e decifrar essas senhas usando ferramentas disponíveis publicamente.Para melhorar a segurança, você deve considerar usando HTTPS com SSL.

Autenticação Digest é um mecanismo de desafio/resposta que envia um digest (também conhecido como um hash) em vez de uma senha pela rede.Durante a autenticação Digest, o IIS envia um desafio ao cliente para criar um digest e enviar esse digest no servidor.Como resposta ao desafio, o cliente envia um resumo com base na senha do usuário com dados que são conhecidos para o cliente e o servidor.O servidor usa o mesmo processo do cliente para criar sua própria síntese, com as informações do usuário obtidas no Active Directory.O IIS autentica o cliente apenas se o resumo o servidor cria corresponde o digest o cliente cria.Você pode usar a autenticação Digest somente em implantações do Active Directory.Por si só, a autenticação Digest é apenas uma pequena melhoria sobre a autenticação básica.Um usuário mal-intencionado poderia registrar a comunicação entre o cliente e o servidor e usar essas informações para repetir a transação.A autenticação Digest também tem dependências no protocolo HTTP 1.1, que nem todos os navegadores.Além disso, tentativas de acesso Team Foundation Server falhará se você não configurar a autenticação Digest corretamente.Não escolha a autenticação Digest atende a todos os requisitos para que o modo de sua implantação.Para obter mais informações, consulte a seguinte página no site da Microsoft (Configurar a autenticação Digest (IIS 7.0)).

Aa833874.collapse_all(pt-br,VS.110).gifProtocolos de autenticação

Por padrão, Team Foundation Server usa o protocolo de autenticação de desafio/resposta do Windows (NTLM).Credenciais do NTLM são baseadas nos dados obtidos durante o processo de logon interativo e incluem um hash unidirecional da senha.

Team Foundation Servertambém suporta Microsoft negociar como um protocolo de autenticação.No protocolo Negotiate, Kerberos é selecionado, a menos que ele não pode ser usado por um dos sistemas envolvidos no processo de autenticação.Para esses sistemas não configurados para Kerberos, NTLM é usado.Negociar é a opção mais segura para a maioria das implantações, mas pode exigir tarefas de configuração adicionais.

Aa833874.collapse_all(pt-br,VS.110).gifLimitações

Com os requisitos de domínio e grupo de trabalho que foram mencionados anteriormente neste tópico, autenticação Basic e Digest são insuficientes por si só para fornecer segurança de rede para clientes externos.Portanto, não deve configurar Team Foundation Server para oferecer suporte a clientes externos, a menos que você também configurar essas conexões para exigir HTTPS com SSL.

Consulte também

Conceitos

Team Foundation Arquitetura de servidor

Outros recursos

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)