Modos de autenticación disponibles
Última modificación: viernes, 16 de abril de 2010
Hace referencia a: SharePoint Server 2010
En este artículo
Autenticación de paso a través
Autenticación RevertToSelf
Autenticación con credenciales de Windows
Autenticación con credenciales
Autenticación implícita de credenciales
Importante
Los siguientes modos de autenticación están disponibles al usar los Servicios de conectividad empresarial (BCS) de Microsoft para conectarse a un servicio web o WCF.
Autenticación de paso a través
La autenticación de paso a través se refiere a la capacidad del sistema operativo para pasar la información de autenticación de un cliente al sistema externo. BCS admite la autenticación de paso a través para las conexiones de bases de datos y para las conexiones de servicios web o de WCF. Cuando se usa la autenticación de paso a través, se autentica con la identidad del usuario final.
Cuando se obtiene acceso a BDC desde una página web, se ejecuta en el proceso de trabajo de Microsoft Internet Information Services (IIS), w3wp.exe. La identidad de este proceso es la cuenta del grupo de aplicaciones de IIS que suplanta al usuario con sesión iniciada. Para evitar perder la identidad del usuario con sesión iniciada cuando BDC se autentica en el servidor back-end, debe habilitar la delegación Kerberos entre el servidor que ejecuta IIS y el otro equipo. La delegación Kerberos permite al servidor receptor enviar la solicitud de autenticación a la ubicación correcta.
Al usar BDC para rastrear, se ejecuta en el proceso de demonio de filtro, mssdmn.exe. Para obtener acceso al origen de contenido back-end, los subprocesos del proceso de demonio de filtro suplantan a la cuenta de acceso al contenido asociada con ese origen de contenido back-end.
Una desventaja de usar la autenticación de paso a través es que el sistema operativo expone sólo el nombre de usuario y la contraseña. Por lo tanto, si una compañía usa una autenticación en dos fases (si los usuarios deben poseer cierta información específica (privada) además del nombre de usuario y la contraseña), no se puede usar la autenticación de paso a través.
La facilidad de uso hace que la autenticación de paso a través sea una buena candidata en un entorno de prueba. También podría usarla si el servicio web o el servidor de destino usan autenticación anónima o conexiones SSL.
Autenticación RevertToSelf
Si un usuario inicia sesión con la autenticación de Windows, IIS suplanta esa cuenta en particular. Mientras IIS se ejecuta bajo la identidad del grupo de aplicaciones, suplanta al usuario con sesión iniciada y la solicitud se ejecuta bajo la suplantación del usuario antes de pasarse.
La autenticación RevertToSelf permite revertir esta suplantación y autenticarse como la cuenta subyacente que está configurada para el grupo de aplicaciones de IIS.
Precaución |
---|
Si el código personalizado usa RevertToSelf para la autenticación, puede conceder a los usuarios privilegios de nivel de sistema en los servidores back-end al otorgarles privilegios para la identidad del grupo de aplicaciones. Asegúrese de probar exhaustivamente el código personalizado antes de ejecutarlo en un sistema de producción. |
Autenticación con credenciales de Windows
Microsoft SharePoint Server 2010 se autentica mediante credenciales de Windows desde el proveedor de almacenamiento seguro proporcionado. Use este modo si el servicio web o WCF usa la autenticación de Windows. Debe configurar el Servicio de almacenamiento seguro antes de usar este modo. Si usa las credenciales de Windows, BDC intenta dividir el campo de nombre de usuario devuelto por Servicio de almacenamiento seguro en dominio\usuario y, a continuación, usa el trío dominio, nombre de usuario y contraseña para autenticarse.
Autenticación con credenciales
Microsoft SharePoint Server 2010 autentica los sistemas de servicios web o WCF con credenciales distintas a las de la autenticación de Windows del proveedor de almacenamiento seguro proporcionado. Estas credenciales se usan para la autenticación básica o implícita, según la configuración del servidor de servicios web. Dado que la autenticación básica y la autenticación implícita no protegen adecuadamente las credenciales, se debe usar SSL, IPsec o ambas para proteger la comunicación entre el servidor de servicios web y el servidor que ejecuta BDC.
Use este modo si el servicio web usa credenciales distintas a las credenciales de Windows. Debe configurar el Servicio de almacenamiento seguro antes de usar este modo. Si se usan credenciales, BDC no intenta dividir el campo de nombre de usuario devuelto por el Servicio de almacenamiento seguro en dominio\nombre de usuario como en el modo de credenciales de Windows, sino que usa el nombre de usuario y la contraseña directamente para realizar la autenticación.
Autenticación implícita de credenciales
Microsoft SharePoint Server 2010 también puede autenticar sistemas de servicios WCF con las credenciales implícitas de HTTP. Vea el tema sobre la propiedad ClientCredentials.HttpDigest para obtener más información.
Importante
Si recibe un error de importación de definición de la aplicación que indica que BDC no puede conectarse al archivo WSDL, es posible que el archivo WSDL no sea público. En tal caso, debe configurar la autenticación mediante uno de los modos descritos en este tema, o bien, copiar manualmente el archivo WSDL en el sistema local e indicar la dirección URL del archivo como valor de WSDLFetchURL.