Conceptos de Team Foundation Server
Para implementar y administrar Visual Studio Team Foundation Server de forma eficaz, debe entender cómo funciona y se comunica con otros componentes de Team Foundation. Como administrador de Team Foundation Server, debe estar familiarizado con la autenticación de Windows, el tráfico y los protocolos de red y la estructura de la red empresarial en la que Team Foundation Server está instalado. También debe dominar los grupos y permisos de Team Foundation Server. Además, el conocimiento de SQL Server, SQL Server Reporting Services y Productos de SharePoint le resultará útil al administrar Team Foundation Server.
Descripción de componentes y términos
Estará mejor preparado para planear, implementar y administrar Team Foundation Server si comprende los siguientes componentes y términos:
Capa de aplicación, capa de datos y capa de cliente: son las capas lógicas que componen Team Foundation Server. Estas capas pueden implementarse en el mismo equipo físico o se pueden instalar en varios equipos. Para obtener más información, consulta Arquitectura de Team Foundation Server.
Colección de proyectos de equipo: la unidad organizativa principal de todos los datos de Team Foundation Server. Las colecciones pueden incluir más de un proyecto de equipo. Para obtener más información, consulta Administrar colecciones de proyectos de equipo.
Proyecto de equipo: punto central donde el equipo comparte las actividades necesarias para desarrollar una tecnología de software o producto concretos. Los proyectos de equipo se organizan en colecciones de proyectos de equipo. Para obtener más información, consulta Realizar un seguimiento del trabajo con Visual Studio ALM y TFS.
Consola de administración de Team Foundation Server: la herramienta de administración centralizada desde la que los administradores de TFS configuran y administran los recursos. Para obtener más información, consulta Configurar y administrar recursos de TFS.
Cuentas de servicio: la cuenta o cuentas usadas por los servicios web y las aplicaciones de Team Foundation. Team Foundation Server necesita cuentas de servicio para realizar operaciones en los servidores y servicios web. Estas cuentas de servicio tienen requisitos específicos. Para obtener más información, consulta Cuentas de servicio y dependencias de Team Foundation Server.
Productos de SharePoint: software que proporciona compatibilidad con los paneles y portales de proyectos de equipo. Puede incluir más de una aplicación web de SharePoint como parte de la implementación de Team Foundation Server. Para incluir una de estas aplicaciones, debe instalar y configurar extensiones de Team Foundation Server para Productos de SharePoint y configurar los permisos en la implementación. Para obtener más información, consulta Compartir información a través del portal del proyecto.
SQL Server y SQL Server Reporting Services: software que proporciona una plataforma de base de datos para el almacenamiento de datos y una plataforma de inteligencia empresarial para integración de datos, análisis y soluciones de informes. TFS almacena sus datos en bases de datos de SQL Server. Opcionalmente, también puede incluir un servidor que ejecute SQL Server Reporting Services que genere automáticamente informes de proyectos de equipo. Para obtener más información, consulta Administrar informes de TFS, el almacén de datos y el cubo de Analysis Services.
Descripción de Team Foundation Server Security
Para optimizar la seguridad de Team Foundation Server, debe tener claros los conceptos siguientes:
Topología, que incluye dónde y cómo se implementan los servidores que ejecutan los componentes de Team Foundation, el tráfico de red que pasa entre Team Foundation Server y los clientes de Team Foundation, y los servicios que deben ejecutarse en Team Foundation Server.
Autenticación, que incluye la determinación de la validez de los usuarios, grupos y servicios de Team Foundation Server.
Autorización, que incluye la determinación de si los usuarios, grupos y servicios válidos de Team Foundation Server tienen los permisos adecuados para realizar acciones específicas.
También debe considerar los otros componentes y servicios de los que depende Team Foundation Server.
Al considerar la seguridad de Team Foundation Server, debe entender la diferencia entre la autenticación y la autorización. Autenticación es la verificación de las credenciales de un intento de conexión de un cliente, servidor o proceso. Autorización es la verificación de que la identidad que está intentando conectarse tiene los permisos para acceder al objeto o método. La autorización se produce tras una autenticación correcta. Si una conexión no se autentica, se produce un error antes de que se realice la comprobación de autorización. Aunque la autenticación de una conexión se verifique positivamente, se puede denegar una determinada acción porque el usuario o el grupo no están autorizados a realizar esa acción.
Topologías, puertos y servicios
El primer elemento de implementación y seguridad de Team Foundation Server es si los componentes de la implementación pueden conectarse entre sí para comunicarse. El objetivo es habilitar las conexiones entre los clientes de Team Foundation y Team Foundation Server, y limitar o evitar otros intentos de conexión.
El funcionamiento de Team Foundation Server depende de determinados puertos y servicios. Estos puertos se pueden proteger y supervisar para ayudar a satisfacer las necesidades de seguridad de la empresa. Debe permitir que el tráfico de red de Team Foundation Server circule entre los clientes de Team Foundation, los servidores que hospedan los componentes lógicos de la capa de aplicación y de la capa de datos de Team Foundation, los equipos de Team Foundation Build y los clientes remotos que usan el proxy de Team Foundation Server. De forma predeterminada, Team Foundation Server está configurado para usar HTTP en sus servicios web. Para obtener una lista completa de los puertos y los servicios usados por Team Foundation Server y ver cómo se utilizan dentro de su arquitectura, consulte Arquitectura de Team Foundation Server.
Puede implementar Team Foundation Server en un dominio de Active Directory o en un grupo de trabajo. Active Directory dispone de más características de seguridad integradas que los grupos de trabajo. Puede usar las características de Active Directory para ayudar a proteger la implementación de Team Foundation Server. Por ejemplo, puede configurar Active Directory para evitar el uso de nombres de equipo duplicados. De este modo, los usuarios malintencionados no podrán suplantar el nombre del equipo con un servidor no autorizado que ejecute Team Foundation Server. Para mitigar el mismo tipo de amenaza en un grupo de trabajo, debe configurar certificados de equipo.
Si implementa Team Foundation Server en un grupo de trabajo o en un dominio, debe cumplir determinadas restricciones impuestas por los propios requisitos de Team Foundation Server. Para obtener más información sobre topologías de Team Foundation Server, vea Ejemplos de topología sencilla, Ejemplos de topología moderada, Ejemplos de topología compleja, Understanding Windows SharePoint Services y Introducción a SQL Server y SQL Server Reporting Services.
Autenticación
La seguridad de Team Foundation Server se basa y se integra en la autenticación de Windows y en las características de seguridad del sistema operativo Windows. La autenticación integrada de Windows se puede usar para autenticar las conexiones de las cuentas de los clientes de Team Foundation y TFS, los servicios web de los servidores que hospedan las capas lógicas de datos y de aplicación, y las conexiones entre los servidores de capa de aplicación y capa de datos.
Nota
Después de instalar TFS, puede configurarlo para usar Kerberos en la autenticación mutua del cliente y del servidor.
No configure ninguna conexión de bases de datos de SQL Server entre Team Foundation Server y Productos de SharePoint para que usen la autenticación de SQL Server, ya que no es tan segura como la autenticación de Windows. Cuando se conecta a la base de datos, el nombre de usuario y la contraseña de la cuenta de administrador de la base de datos se envían en un formato sin cifrar. La autenticación integrada de Windows no envía el nombre de usuario ni la contraseña. En su lugar, usa los protocolos de seguridad de la autenticación integrada de Windows para transferir a SQL Server la información de identidad de cuenta de servicio que está asociada con el grupo de aplicaciones de Internet Information Services (IIS) del host.
Autorización
La autorización de Team Foundation Server se basa en los usuarios y grupos de Team Foundation, en los permisos asignados directamente a esos usuarios y grupos, y en los permisos que esos usuarios y grupos pueden heredar por pertenecer a otros grupos de Team Foundation Server. Los usuarios y grupos de Team Foundation pueden ser locales, de Active Directory o ambos.
Team Foundation Server está preconfigurado con grupos predeterminados en el nivel de servidor, colección y proyecto. Puede rellenar estos grupos agregando usuarios individuales. Sin embargo, puede que le resulte más fácil administrarlos si rellena estos grupos mediante los grupos de seguridad de Active Directory. Con este enfoque, puede administrar la pertenencia a grupos y los permisos de manera más eficaz en varios equipos o aplicaciones, como Productos de SharePoint y SQL Server.
Es posible que, en el caso de su implementación, sea necesario configurar usuarios, grupos y permisos en varios equipos y en diversas aplicaciones. Por ejemplo, si desea incluir informes y portales de proyecto como parte de la implementación, deberá configurar los permisos para usuarios y grupos en Reporting Services, Productos de SharePoint y Team Foundation Server. En Team Foundation Server, puede establecer permisos para cada proyecto, para cada colección y en toda una implementación (en el nivel de servidor). Además, hay determinados permisos que se conceden de manera predeterminada a cualquier usuario o grupo que se agregue a Team Foundation Server, ya que ese usuario o grupo se agrega automáticamente a Team Foundation Valid Users. Para obtener más información, consulta Administrar usuarios o grupos en TFS.
Además de configurar los permisos de autorización en Team Foundation Server, podría necesitar autorización en los elementos de trabajo y en el control de versiones. Estos permisos se administran por separado en un símbolo del sistema, pero se integran como parte de la interfaz de Team Explorer.
Vea también
Tareas
Agregar productos de SharePoint a implementación
Conceptos
Arquitectura de Team Foundation Server
Arquitectura de Team Foundation Server
Administrar usuarios o grupos en TFS
Otros recursos
SharePoint Products and Technologies and Team Foundation Server