Autorización y autenticación

  • Artículo

Windows SharePoint Services 3.0 es compatible con la seguridad para el acceso de usuario en los niveles de sitio web, lista, carpeta de lista o biblioteca y elemento. La administración de la seguridad se basa en funciones en todos los niveles y proporciona una administración de seguridad uniforme en toda la plataforma Windows SharePoint Services con una interfaz de usuario basada en funciones coherente y un modelo de objetos para asignar permisos para los objetos. Por consiguiente, la seguridad de los niveles de lista, carpeta o elemento implementa el mismo modelo de usuario que la seguridad de nivel de sitio web, lo que facilita la administración de derechos de usuarios y grupos en todo el sitio web. Windows SharePoint Services es compatible además con permisos únicos para las carpetas y los elementos contenidos en las listas y las bibliotecas de documentos.

La autorización hace referencia al proceso mediante el cual Windows SharePoint Services proporciona seguridad para sitios web, listas, carpetas o elementos mediante la determinación de los usuarios que pueden realizar acciones específicas en un objeto concreto. En el proceso de autorización se da por supuesto que el usuario ya se ha autenticado, lo que se refiere al proceso mediante el cual Windows SharePoint Services identifica al usuario actual. Windows SharePoint Services no implementa su propio sistema de autenticación o administración de identidades, sino que se basa únicamente en sistemas externos, ya sea una autenticación de Microsoft Windows o una autenticación no basada en Windows.

Windows SharePoint Services es compatible con los siguientes tipos de autenticación:

  • Windows: todas las opciones de integración de autenticación de Microsoft Internet Information Services (IIS) y de Windows, incluidas las opciones de autenticación básica, implícita, de certificados, Windows NT LAN Manager (NTLM) y Kerberos. La autenticación de Windows permite que IIS realice la autenticación para Windows SharePoint Services.

    Importante

    Si instala "Infraestructura de actualización para Windows SharePoint Services 3.0 (KB951695)", las soluciones personalizadas pueden producir un error si llaman al modelo de objetos de SharePoint mientras se suspende la suplantación. Si se utiliza la autenticación de Windows y el código llama el modelo de objetos de SharePoint desde un proceso de trabajo de IIS, la solicitud debe suplantar la identidad del usuario que realiza la llamada. Windows SharePoint Services configura ASP.NET para suplantar al usuario que realiza la llamada de forma automática, pero el código puede trabajar de forma inesperada, o producir un error, si suspende la suplantación, por ejemplo, llamando a la función RevertToSelf de la API de Windows, o llamando al método System.Security.Principal.WindowsIdentity.Impersonate y pasando IntPtr.Zero como el valor del parámetro token del usuario. Incluso si el código no se revierte de forma explícita, podría llamarlo ASP.NET una vez se revierta, como sucede cuando se implementa un proveedor de ruta de acceso virtual; si el código no suplanta al usuario que realiza la llamada, podría no funcionar correctamente.

  • Formularios de ASP.NET: sistema de administración de identidades no basado en Windows que usa el sistema de autenticación conectable basado en formularios de Microsoft ASP.NET. Este modo permite que Windows SharePoint Services funcione con una serie de sistemas de administración de identidades, incluidos los grupos o las funciones definidos externamente, como el protocolo ligero de acceso a directorios (LDAP) y los sistemas ligeros de administración de identidades de bases de datos. La autenticación de formularios permite que ASP.NET realice la autenticación para Windows SharePoint Services, lo que suele implicar la redirección a una página de inicio de sesión.

  • Delegada: sistema para delegar las credenciales de usuario final de un sistema de confianza en Windows SharePoint Services. Esto permite que los servicios de confianza pasen las identidades de usuario a Windows SharePoint Services para la autorización, lo que indica la identificación del usuario actual sin que sea necesario que Windows SharePoint Services tenga las credenciales de dicho usuario.

Nota

Windows SharePoint Services no funciona con un proveedor de pertenencia que distingue mayúsculas de minúsculas y usa el almacenamiento SQL que no distingue mayúsculas de minúsculas para todos los usuarios de la base de datos con independencia del proveedor de pertenencia.

Autenticación basada en formularios

La autenticación basada en formularios proporciona una administración de identidades personalizada en Windows SharePoint Services mediante la implementación de un proveedor de pertenencia, que define las interfaces para identificar y autenticar a los usuarios individuales, y un administrador de funciones, que define las interfaces para agrupar a los usuarios individuales en grupos lógicos o funciones. Si se proporciona un nombre de usuario, el sistema del proveedor de funciones devuelve una lista de funciones a las que pertenece el usuario. El proveedor de pertenencia crea un token de usuario a partir del nombre y la contraseña de inicio de sesión, mientras que el administrador de funciones crea un conjunto de tokens de pertenencia a grupos para el usuario actual.

Dado que el administrador de funciones es opcional, si un sistema de autenticación personalizada no es compatible con grupos (por ejemplo, Windows Live ID), no es necesario ningún administrador de funciones. Windows SharePoint Services es compatible con un proveedor de pertenencia y un administrador de funciones por zona URL (SPUrlZone). Las funciones de formularios de ASP.NET no tienen derechos inherentes asociados. En su lugar, Windows SharePoint Services asigna derechos a las funciones de formularios mediante sus directivas y autorización.

Windows SharePoint Services proporciona el formulario de inicio de sesión (login.aspx), que reside en el directorio virtual _layouts (en unidad_local:\\Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS). Este archivo implementa los controles de formulario web de ASP.NET usados para recopilar las credenciales de usuario y las credenciales de memoria caché en una cookie.

El administrador central de un sitio web debe registrar el proveedor de pertenencia y el administrador de funciones mediante la modificación del archivo web.config para el servidor virtual en tiempo de ejecución. Si no se registra ningún proveedor, la autenticación basada en formularios de ASP.NET no funciona. El administrador central debe actualizar de forma similar el archivo sptimer.exe.config.

Windows SharePoint Services usa la interfaz de proveedor de funciones estándar de ASP.NET 2.0 para recopilar la información de grupos del usuario actual. Por lo que respecta a la autenticación, las funciones y los grupos son iguales: un método de agrupación de usuarios en conjuntos lógicos para la autorización. Cada función de ASP.NET se trata como un grupo de dominio en Windows SharePoint Services.

Para obtener información acerca del marco de autenticación conectable proporcionado por ASP.NET, consulte la página acerca de las nuevas características de seguridad de ASP.NET 2.0 (en inglés) .

Autenticación delegada

Windows SharePoint Services es compatible con la delegación de credenciales de usuario final desde un sistema externo en una implementación de SharePoint, lo que permite que los servicios de confianza pasen las identidades de usuario para la autorización si el usuario final no se conecta directamente a Windows SharePoint Services, pero se conecta mediante otro sistema. Por consiguiente, Windows SharePoint Services permite que el código de confianza especifique quién es el usuario actual sin que Windows SharePoint Services tenga las credenciales de usuario.

Mediante la autenticación delegada, un servidor delega la autenticación de un usuario final en otro servidor. El equipo cliente envía una solicitud al primer servidor, el cual envía a su vez una o más solicitudes a un segundo servidor por parte del usuario final. Para realizar esta operación correctamente, el primer servidor debe delegar la autenticación de los usuarios finales en un segundo servidor, lo que requiere una de estas dos relaciones de confianza:

  • El cliente confía al primer servidor su contraseña, por ejemplo, para usar la autenticación básica o un almacén de credenciales del servidor, como el mecanismo de inicio de sesión único conectable de Microsoft Office SharePoint Server 2007 o los Servicios de federación de Active Directory (ADFS).

  • El segundo servidor confía en el primer servidor para pasar credenciales válidas con fines válidos como, por ejemplo, para establecer una relación de confianza de delegación limitada de Kerberos entre los servidores.