¿Por qué usar la identidad basada en notificaciones?
Última modificación: miércoles, 16 de febrero de 2011
Hace referencia a: SharePoint Foundation 2010
La identidad basada en notificaciones es un modelo de identidad en Microsoft SharePoint Foundation 2010 y Microsoft SharePoint Server 2010 que incluye características como autenticación entre usuarios de sistemas de basados en Windows y sistemas no basados en Windows, los tipos de autenticación múltiples, una autenticación en tiempo real más segura, un conjunto más amplio de tipos principales y una delegación de identidades de usuario entre aplicaciones.
Diferentes sistemas de autenticación
La mayoría de las aplicaciones empresariales necesita algunas características de seguridad de usuario básicas. Como mínimo, necesitan autenticar los usuarios y, en muchos casos, también necesitan autorizar el acceso a determinadas características, de modo que solo los usuarios con privilegios específicos puedan tener acceso a ellas. A veces, estas reglas de autorización requieren atributos que no se encuentran en los tokens de seguridad de usuario existentes; por ejemplo, una lista de distribución de Microsoft Exchange Server puede usarse como una entidad de seguridad para proteger algunos objetos en SharePoint Server 2010. Estas características de seguridad están integradas en el sistema operativo Windows y suelen ser fáciles de integrar en una aplicación. Al aprovechar la autenticación integrada de Windows, no es necesario que cree su propio protocolo de autenticación ni que administre una base de datos de usuarios. Mediante el uso de listas de control de acceso (ACL), suplantación y características como grupos, puede implementar autorización sin necesidad de escribir mucho código.
Al igual que Windows, SharePoint Foundation 2010 y SharePoint Server 2010 ofrecen un conjunto de características para facilitar las tareas de autorización y para algunos objetos (como el objeto Site) esto se realiza en segundo plano automáticamente. Estas instrucciones se aplican independientemente del sistema operativo o la aplicación que se esté usando. Casi siempre es preferible la integración estrecha con las características de seguridad integradas de SharePoint que tratar de reinventar esas características uno mismo.
Pero, ¿qué ocurre cuando desea llegar a los usuarios que no tienen cuentas de Windows? ¿Qué ocurre con los usuarios que no ejecutan Windows en absoluto? Cada vez más aplicaciones necesitan este tipo de acceso a estos tipos de usuarios, lo que parece ser contrario a los requisitos de seguridad tradicionales. La identidad basada en notificaciones es el nuevo modelo de identidad en SharePoint Foundation 2010 y SharePoint Server 2010, diseñado para ayudar a solucionar estos y otros problemas.
En Windows, el tipo más común de credencial que se usa para obtener acceso a una aplicación empresarial es la cuenta de dominio del usuario. Una aplicación que usa la autenticación integrada de Windows recibe un vale Kerberos para representar a un cliente. Una aplicación que use Capa de sockets seguros (SSL) podría recibir en su lugar un certificado X.509 para el cliente. Un vale Kerberos y un certificado X.509 son elementos muy diferentes y el código en el sistema operativo que analiza, valida y finalmente presenta los datos que contiene también es muy diferente. Sin embargo, si piensa en lo que representan realmente, verá que estas dos credenciales tienen mucho en común.
Imagine el siguiente escenario. Ana es una usuaria que desea tener acceso a un servicio de compra a través de su cuenta de dominio de Windows. Su controlador de dominio la autentica y crea un vale Kerberos con un conjunto de identificadores de seguridad (SID) en él. Estos SID representan la cuenta de usuario de Ana y los grupos de dominio de los que es miembro. Los SID se insertan en el vale con una firma del controlador de dominio. En lo que respecta a la identidad, un "emisor" (el controlador de dominio) da a un firmante (Ana) un token de seguridad que puede usar para probar su identidad. Estas mismas ideas se aplican cuando Ana usa un certificado. Un certificado es simplemente un tipo de token de seguridad. En este caso, el emisor es una entidad de certificación y el firmante es Ana. Tanto el vale Kerberos como el certificado son, en esencia, instrucciones firmadas por un emisor acerca de un firmante. Se trata de dos maneras diferentes en que una entidad de confianza puede responder por uno de sus firmantes. Cada instrucción firmada puede considerarse como una colección de notificaciones. En otras palabras, el controlador de dominio realiza las notificaciones sobre la identidad de Ana cuando firma la lista de SID en su vale. Cada SID pasa a ser una notificación. La entidad de certificación hace notificaciones sobre la identidad de Ana cuando firma su nombre y la clave pública. El nombre y la clave pública son ejemplos de notificaciones en el certificado.
El objetivo de este nuevo modelo de identidad es abstraer la identidad de forma tal que reduzca la dependencia de determinados tipos de credenciales, sin poner en peligro la seguridad de la aplicación. Codificando el modelo de identidad en SharePoint Server 2010, se puede procesar la identidad del usuario delegado sin vales Kerberos y, además, procesar los tokens de Lenguaje de marcado de aserción de seguridad (SAML). Esto abre la puerta a algunas arquitecturas de identidad interesantes, incluida la identidad federada.
Vea también
Conceptos
Introducción a la seguridad y al modelo de identidad basado en notificaciones
Conceptos e información general sobre la identidad basada en notificaciones