Autenticación, autorización y seguridad en SharePoint
Novedades para autenticación, autorización y seguridad en SharePoint
A continuación se especifican algunas de las mejoras agregadas a SharePoint.
Inicio de sesión del usuario
SharePoint continúa ofreciendo compatibilidad con los modos de notificaciones y autenticación clásico. La autenticación de notificaciones es la opción de autenticación predeterminada en SharePoint. La autenticación de modo clásico está en desuso y solo puede administrarse con Windows PowerShell. Muchas de las funciones de SharePoint requieren el modo de notificaciones.
El método MigrateUsers de SharePoint 2010 ahora está en desuso y ya no es la forma correcta para migrar cuentas. Para migrar cuentas, use el nuevo cmdlet Windows PowerShell denominado
Convert-SPWebApplication. Para obtener más información, vea Migración del modo clásico a la autenticación basada en notificaciones en SharePoint.Se elimina el requisito de registrar a los proveedores de notificaciones. Sin embargo, tiene que configurar previamente el tipo de notificaciones. Puede elegir los caracteres para el tipo de notificación y no hay ninguna obligación en el orden de los tipos de notificación.
SharePoint realiza el seguimiento de cookies de FedAuth en el nuevo servicio de caché distribuido mediante Windows Server AppFabric Caching.
Se proporciona un registro significativamente mayor para ayudar a solucionar los problemas de autenticación.
Autenticación de servicios y aplicaciones
En SharePoint, ahora puede crear aplicaciones para SharePoint. Un Complemento de SharePoint tiene su propia identidad y está asociado con una entidad de seguridad, llamada entidad de seguridad de aplicación. Al igual que los usuarios y los grupos, una entidad de seguridad de aplicación tiene ciertos derechos y permisos.
En SharePoint, el servicio de token de seguridad (STS) de servidor a servidor proporciona tokens de acceso para la autenticación de servidor a servidor. El STS de servidor a servidor permite tokens para obtener acceso temporal a otros servicios de la aplicación, tales como Exchange Server 2013 y Microsoft Lync 2013, y aplicaciones de SharePoint.
Autenticación y autorización
SharePoint admite la seguridad para el acceso de usuario en los niveles de sitio web, lista, carpeta de lista o biblioteca y elemento. La administración de la seguridad se basa en roles en todos los niveles y proporciona una administración de seguridad uniforme en toda la plataforma de SharePoint con una interfaz de usuario basada en roles coherente y un modelo de objetos destinado a asignar permisos sobre los objetos. Por consiguiente, la seguridad de los niveles de lista, carpeta o elemento implementa el mismo modelo de usuario que la seguridad de nivel de sitio web, lo que facilita la administración de derechos de usuario y los derechos de grupo en todo el sitio web. SharePoint admite asimismo los permisos exclusivos para las carpetas y los elementos contenidos en las listas y las bibliotecas de documentos.
Nota:
Para obtener información sobre la autorización relacionada con complementos de SharePoint, vea Autorización y autenticación de complementos de SharePoint.
Por autorización se entiende el proceso mediante que SharePoint proporciona seguridad para sitios web, listas, carpetas o elementos al determinar los usuarios que pueden realizar acciones específicas en un objeto concreto. En el proceso de autorización se da por supuesto que el usuario ya se ha autenticado, proceso mediante que SharePoint identifica al usuario actual. SharePoint no implementa su propio sistema de autenticación o administración de identidades, sino que se basa en sistemas externos, ya sea una autenticación de Windows o una autenticación no basada en Windows.
SharePoint es compatible con los siguientes tipos de autenticación:
Windows: se admiten todas las opciones de integración de autenticación de Internet Information Services (IIS) y de Windows, incluidas las opciones de autenticación básica, implícita, de certificados, Windows NT LAN Manager (NTLM) y Kerberos. La autenticación de Windows permite que IIS realice la autenticación para SharePoint.
Para obtener información sobre cómo iniciar sesión en SharePoint mediante el modo de notificaciones de Windows, vea Notificaciones entrantes: Iniciar sesión en SharePoint.
Importante
Para obtener información sobre la suspensión de la suplantación, vea Evitar la suplantación del usuario que realiza la llamada.
Formularios de ASP.NET: se admite el sistema de administración de identidades no basado en Windows que usa el sistema de autenticación acoplable basado en formularios de ASP.NET. Este modo permite que SharePoint funcione con una serie de sistemas de administración de identidades, incluidos los grupos o roles definidos externamente, como el protocolo ligero de acceso a directorios (LDAP) y los sistemas ligeros de administración de identidades de bases de datos. La autenticación de formularios permite que ASP.NET realice la autenticación para SharePoint, lo que suele implicar la redirección a una página de inicio de sesión. En SharePoint, los formularios de ASP.NET se admiten únicamente a través de la autenticación de notificaciones. Así, un proveedor de formularios deberá estar registrado en una aplicación web configurada para notificaciones.
Para obtener información sobre el inicio de sesión en SharePoint mediante la pertenencia a ASP.NET y el inicio de sesión pasivo de rol, vea Notificaciones entrantes: Iniciar sesión en SharePoint.
Nota:
SharePoint no funciona con un proveedor de pertenencia que distingue mayúsculas de minúsculas. Usa el almacenamiento SQL que no distingue mayúsculas de minúsculas para todos los usuarios de la base de datos, con independencia del proveedor de pertenencia.
Autenticación e identidad basada en notificaciones
La identidad basada en notificaciones es un modelo de identidad de SharePoint que incluye características como autenticación entre usuarios de sistemas de Windows y sistemas que no son de Windows, varios tipos de autenticación, autenticación más segura en tiempo real, un conjunto más amplio de tipos principales y delegación de identidad de usuario entre aplicaciones.
Cuando un usuario inicia sesión en SharePoint, el token del usuario se valida y se usa después para iniciar sesión en SharePoint. El token del usuario es un token de seguridad emitido por un proveedor de notificaciones. Se admiten los siguientes modos de acceso o inicio de sesión:
Inicio de sesión en modo de notificaciones de Windows (predeterminado)
Inicio de sesión pasivo SAML
Inicio de sesión pasivo de rol y pertenencia ASP.NET
Inicio de sesión en el modo clásico de Windows (en desuso en esta versión)
Nota:
Para obtener más información sobre cómo iniciar sesión en SharePoint y los diferentes modos de inicio de sesión, vea Notificaciones entrantes: Iniciar sesión en SharePoint.
Al crear aplicaciones para notificaciones, el usuario presenta una identidad en la aplicación como conjunto de notificaciones. Una notificación puede ser el nombre del usuario, otra podría ser una dirección de correo electrónico. La idea es que un sistema de identidad externa se configura para proporcionar a la aplicación toda la información que necesita sobre el usuario con cada solicitud, con la comprobación criptográfica de que los datos de identidad recibidos por la aplicación provienen de una fuente de confianza.
En este modelo, el inicio de sesión único es mucho más fácil de lograr, y la aplicación ya no es responsable de las siguientes acciones:
Autenticación de usuarios
Almacenamiento de cuentas de usuario y contraseñas
Llamada a directorios de empresa para buscar detalles de identidad del usuario
Integración con sistemas de identidad de otras plataformas o compañías
Bajo este modelo, la aplicación toma decisiones relacionadas con identidad en función de las notificaciones proporcionadas por el usuario. Esto puede ser cualquier cosa, desde la personalización sencilla de la aplicación con el nombre del usuario hasta la autorización del usuario para que obtenga acceso a recursos y características de alto nivel en la aplicación.
Nota:
Para obtener más información sobre los proveedores de identidades y notificaciones basados en notificaciones, vea Identidad basada en notificaciones y conceptos en SharePoint y Proveedor de notificaciones en SharePoint.
Autenticación basada en formularios
La autenticación basada en formularios proporciona una administración de identidades personalizada en SharePoint mediante la implementación de un proveedor de pertenencia, que define las interfaces para identificar y autenticar a los usuarios individuales, y un administrador de roles, que define las interfaces para agrupar a los usuarios individuales en grupos lógicos o roles. En SharePoint, un proveedor de pertenencia debe implementar el método System.Web.Security.Membership.ValidateUser necesario. El proveedor de roles emplea el nombre de usuario para devolver una lista de roles a los que el usuario pertenece.
El proveedor de pertenencia es responsable de validar la información de credenciales mediante el método System.Web.Security.Membership.ValidateUser (necesario ahora en SharePoint). Sin embargo, el servicio de token de seguridad (STS) crea el token de usuario real. El STS crea el token de usuario a partir del nombre de usuario validado por el proveedor de pertenencia y del conjunto de pertenencias a grupos asociadas al nombre de usuario proporcionado por el proveedor de pertenencia.
Nota:
Para obtener más información sobre STS, vea Identidad basada en notificaciones y conceptos en SharePoint.
El administrador de roles es opcional. De este modo, si un sistema de autenticación personalizada no admite grupos, no es necesario ningún administrador de roles. SharePoint admite un proveedor de pertenencia y un administrador de roles por zona URL ( SPUrlZone ). Los roles de formularios de ASP.NET no tienen derechos inherentes asociados. En su lugar, SharePoint asigna derechos a las roles de formularios mediante sus directivas y autorización. En SharePoint, la autenticación basada en formularios se integra en el modelo de identidades basado en notificaciones. Si necesita un mayor aumento para soslayar el límite de un proveedor de roles por zona URL, puede basarse en proveedores de notificaciones.
Nota:
Para obtener más información sobre los proveedores de identidades y notificaciones basados en notificaciones, vea Identidad basada en notificaciones y conceptos en SharePoint y Proveedor de notificaciones en SharePoint.
En el inicio de sesión de rol pasivo y pertenencia ASP.NET, el inicio de sesión ocurre al redireccionar el cliente a una página web en la que los controles del inicio de sesión ASP.NET están hospedados. Una vez creado el objeto de identidad que representa una identidad de usuario, SharePoint lo convierte en un objeto ClaimsIdentity (que representa una representación basada en notificaciones de un usuario).
Nota:
Para obtener más información sobre cómo iniciar sesión en SharePoint, vea Notificaciones entrantes: Iniciar sesión en SharePoint.
SharePoint usa la interfaz de proveedor de roles estándar de ASP.NET para recopilar la información de grupo del usuario actual. Por lo que respecta a la autenticación, los roles y los grupos son iguales: un método de agrupación de usuarios en conjuntos lógicos de cara a la autorización. Cada rol de ASP.NET se trata como un grupo de dominio en SharePoint.
Para obtener información sobre el marco de autenticación acoplable proporcionado por ASP.NET, vea la documentación para desarrolladores de ASP.NET.
Nota:
Para más información sobre la autenticación basada en formularios, consulte Autenticación de formularios en productos y tecnologías de SharePoint (parte 1): Introducción.