Configurar la autenticación de servidor a servidor entre Office Online Server y SharePoint Server 2016
Resumen: configurar la autenticación de servidor a servidor entre Office Online Server y SharePoint Server 2016.
La autenticación de servidor a servidor entre Office Online Server y SharePoint Server 2016 establece la confianza entre los dos servidores. Esta confianza es un requisito previo necesario para algunas características de Excel Online, como la compatibilidad con archivos de Office Data Connection (ODC) y el panel de administración de TI, que forma parte de SQL Server Power Pivot para SharePoint. En este artículo, se le guiará a través de los pasos para configurar esta confianza.
Para configurar la autenticación de servidor a servidor, la granja de Office Online Server y la granja de servidores de SharePoint Server deben estar en el mismo bosque de Active Directory. También debe tener una aplicación de servicio de perfil de usuario configurada en la granja de servidores de SharePoint Server.
Las acciones básicas que se requieren para configurar la autenticación de servidor a servidor son:
- Importar el certificado en Office Online Server
- Exportar el certificado para su uso en SharePoint Server
- Configurar Office Online Server para usar el certificado para la autenticación de servidor a servidor
- Configurar SharePoint Server para usar el certificado para la autenticación de servidor a servidor
Comenzará con la importación del certificado en Office Online Server.
Importar el certificado en Office Online Server
El primer paso consiste en importar el certificado para que lo use Office Online Server. Siga los permisos Importar el certificado y Conceder servicio de red para usar los procedimientos clave en cada servidor de la granja de Office Online Server.
Importar el certificado
Puede usar un certificado SSL de clave privada o un certificado autofirmado. Le recomendamos usar un certificado SSL de clave privada. En las siguientes secciones se proporcionan procedimientos para ambas opciones. Elija el que esté usando.
Usar un certificado SSL de clave privada
Instale el certificado en cada servidor que ejecuta Office Online Server.
Para instalar el certificado en Office Online Server
- En el servidor que ejecuta Office Online Server, abra Administrador de IIS.
- En el panel de la izquierda, haga clic en el nombre del servidor.
- Haga doble clic en Certificados de servidor.
- En el panel Acciones, haga clic en Importar.
- Escriba la ruta de acceso y el nombre de archivo del certificado SSL que quiere usar.
- En el cuadro Contraseña, escriba la contraseña del certificado.
- En la lista desplegable Seleccionar almacén de certificados, asegúrese de que Personal está seleccionado.
- Haga clic en Aceptar.
Repita este procedimiento en cada servidor que ejecuta Office Online.
Usar un certificado autofirmado
Si está usando un certificado autofirmado, necesita agregarlo a las entidades de certificación raíz de confianza.
Para importar el certificado en las entidades de certificación raíz de confianza
- Abra Microsoft Management Console.
- En el menú Archivo, elija Agregar o quitar complemento.
- Elija Certificados y, después, haga clic en Agregar.
- Elija la opción Cuenta de equipo, haga clic en Siguiente y, luego, en Finalizar.
- Haga clic en Aceptar.
- Expanda Certificados (equipo local), haga clic con el botón derecho en Entidades de certificación raíz de confianza, haga clic en Todas las tareas y, después, haga clic en Importar.
- Haga clic en Siguiente.
- Vaya a la ubicación del certificado, selecciónelo y, después, haga clic en Siguiente.
- Escriba la contraseña del certificado, haga clic en Siguiente y, después, haga clic en Finalizar.
Mantenga Microsoft Management Console abierto para el siguiente procedimiento.
Conceder permiso de servicio de red para usar la clave
Después, use Microsoft Management Console (MMC) para conceder los permisos de servicio de red para usar la clave privada.
Para conceder permisos de servicio de red para usar la clave privada
- Abra Microsoft Management Console.
- En el menú Archivo, elija Agregar o quitar complemento.
- Elija Certificados y, después, haga clic en Agregar.
- Elija la opción Cuenta de equipo, haga clic en Siguiente y, luego, en Finalizar.
- Haga clic en Aceptar.
- Expanda Certificados (equipo local), expanda Personal y, por último, haga clic en Certificados.
- Haga clic con el botón derecho en el certificado que acaba de importar, haga clic en Todas las tareas y, después, haga clic en Administrar claves privadas.
- En el cuadro de diálogo Permisos, haga clic en Agregar.
- Escriba Servicio de red y, después, haga clic en Aceptar.
- Haga clic en Aceptar.
Asegúrese de seguir los permisos Importar el certificado y Conceder servicio de red para usar los procedimientos clave en cada servidor de la granja de Office Online Server.
Mantenga Microsoft Management Console abierto para el siguiente procedimiento.
Exportar el certificado para su uso en SharePoint Server
El paso siguiente es exportar el certificado, de manera que pueda usarlo para registrar Office Online Server como un emisor de tokens de confianza.
Para exportar el certificado para su uso con SharePoint Server 2016
- Haga clic con el botón derecho en el certificado que acaba de importar, haga clic en Todas las tareas y, después, haga clic en Exportar.
- En la página principal, haga clic en Siguiente.
- Elija la opción No exportar la clave privada y, después, haga clic en Siguiente.
- Elija la opción DER binario codificado X.509 (.CER) y, después, haga clic en Siguiente.
- Escriba la ruta de acceso y el nombre del archivo que quiere exportar y, después, haga clic en Siguiente.
- Haga clic en Finalizar y, después, en Aceptar.
Copie el archivo de certificado que ha creado en una ubicación a la que tenga acceso desde SharePoint Server.
Después, necesita especificar este certificado como el certificado S2S para Office Online Server.
Configurar Office Online Server para usar el certificado para la autenticación de servidor a servidor
Para especificar el certificado S2S para Office Online Server
- Abra una ventana de PowerShell de Microsoft como administrador.
- Escriba lo siguiente donde <friendlyName> es el nombre descriptivo del certificado que está usando.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force
Usar HTTP con Office Online Server
Si usa HTTP en lugar de HTTPS para la granja de Office Online Server, debe permitir conexiones HTTP salientes desde Office Online Server. (Si está usando SSL, puede omitir este procedimiento).
Para habilitar las conexiones HTTP de salida de Office Online Server, ejecute el siguiente comando de PowerShell:
Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset
Importante
Se recomienda encarecidamente usar HTTPS (TLS) independientemente del entorno, ya que Office Online Server usa tokens de OAuth para comunicarse con servicios externos, como SharePoint o Exchange Server. Los tokens de OAuth contienen información que puede ser interceptada y reproducida por un atacante, concediéndole al atacante los mismos derechos que el usuario que realiza la solicitud para Office Online Server.
Usar rutas HTTP con archivos ODC
Si planea almacenar archivos ODC en una ruta HTTP, tiene que configurar Office Online Server para permitir conexiones de almacenamiento seguro en HTTP.
Importante
Cuando usa las conexiones de almacenamiento seguro en HTTP, el contenido del archivo ODC se pasa en texto no cifrado. Los archivos ODC contienen información de conexión de base de datos y pueden contener contraseñas. Microsoft vuelve a hacer comentarios mediante HTTPS.
Para habilitar Office Online Server para usar rutas HTTP con almacenamiento seguro, ejecute el siguiente comando de PowerShell:
Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset
Configurar SharePoint Server para usar el certificado para la autenticación de servidor a servidor
Debe registrar SharePoint Server y SQL Server como emisores de tokens de confianza. Esto se hace a través de PowerShell. Aquí se muestran los parámetros que usará:
- <SPSiteURL> : dirección URL de la colección de sitios de nivel superior.
- <CertificateIssuer> : nombre del emisor del certificado. Puede encontrar esta información en la pestaña Detalles del certificado en el Administrador de IIS.
- <X509Certificate> : ruta de acceso y nombre de archivo del archivo de certificado que exportó.
- <RegisteredIssuer> : el GUID del emisor de tokens de confianza. SharePoint Server es 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 y SQL Server es 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a
Realice el procedimiento siguiente dos veces: una para cada <GUID registeredIssuer> .
Para registrar el emisor de tokens de confianza
- Abra la Consola de administración de SharePoint 2016 como administrador.
- Ejecute el siguiente script mediante los parámetros que se han mencionado anteriormente:
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
- Si está usando un certificado autofirmado, ejecute el siguiente comando:
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>