Administración de la autenticación para el Catálogo de datos profesionales

Artículo
06/12/2012

El catálogo de datos profesionales de Microsoft Office SharePoint Server 2007 admite dos modelos de autenticación y tres modos de autenticación que usan el inicio de sesión único (SSO) para almacenar las credenciales de usuario.

En este artículo:

Selección de un modelo de autenticación y un modo de autenticación preferidos
Configuración de cuentas para la aplicación back-end
Habilitación y configuración del servicio de inicio de sesión único
Creación y configuración de definiciones de aplicaciones de empresa
Modificación e importación de la definición de aplicación para la aplicación
Requisitos de la tarea

Para administrar la autenticación para el Catálogo de datos profesionales mediante SSO, complete los pasos de este documento para cada base de datos o servicio web que vaya a integrar en la implementación.

Selección de un modelo de autenticación y un modo de autenticación preferidos

Las aplicaciones del Catálogo de datos profesionales pueden usar varios modos de autenticación, los cuales pueden usar a su vez uno de los dos modelos de autenticación.

Selección de un modelo de autenticación

Los modelos de autenticación usados por el Catálogo de datos profesionales son conceptuales y no se corresponden con ningún valor XML específico ni ningún otro valor de configuración. Para implementar un modelo de autenticación, configure el archivo XML de definición de aplicación para usar una cuenta concreta para establecer la conexión con el servidor back-end.

El Catálogo de datos profesionales admite los siguientes modelos de autenticación:

Subsistema de confianza
Suplantación y delegación

En el modelo del subsistema de confianza, el nivel intermedio (generalmente, el servidor web) autentica el servidor back-end como una identidad fija. En el modelo de suplantación y delegación, el cliente delega la autenticación al nivel intermedio, que suplanta al cliente y se autentica ante el servidor back-end en nombre del cliente. Cada modelo admite varios modos de autenticación, los cuales se pueden usar en distintos escenarios de integración.

El modelo del subsistema de confianza ofrece las siguientes ventajas:

Agrupación de conexiones de base de datos
Administración menos compleja
Los administradores del servidor back-end para la aplicación sólo tienen que administrar permisos para una sola cuenta

El subsistema de confianza es una opción adecuada para las nuevas implementaciones. Los administradores de aplicaciones no tienen que configurar permisos de autorización en el servidor back-end para un gran número de usuarios. En su lugar, pueden configurar una cuenta para cada aplicación y, a continuación, configurar la autorización en Office SharePoint Server.

El modelo del subsistema de confianza usa una cuenta de servicio o una cuenta de base de datos asociada a una cuenta de grupo en la definición de aplicación de empresa.

El modelo de suplantación y delegación ofrece las siguientes ventajas:

Auditoría en el servidor back-end
Autorización por usuario en el servidor back-end sin configuración adicional

La suplantación y la delegación pueden ser una opción adecuada para una aplicación existente configurada para la autorización por usuario. Una vez configurado el modelo de suplantación y delegación, cada usuario se autentica mediante la configuración de la aplicación back-end. Esto puede resultar complicado si una organización administra varias aplicaciones de línea de negocio integradas en una implementación de Office SharePoint Server y cada aplicación tiene su propia configuración de autorización que requiere una administración continua. A menos que se requiera una auditoría en el servidor back-end, se suele recomendar usar el modelo de suplantación y delegación sólo durante la implementación inicial hasta poder configurar un modelo de subsistema de confianza.

El modelo de suplantación y delegación usa una cuenta de usuario de Windows individual y una cuenta de usuario de base de datos (sólo para bases de datos) o un usuario de autenticación basada en formularios (sólo para servicios web) asociado a una cuenta individual.

Selección y configuración de un modo de autenticación

En la siguiente tabla se describen los modos de autenticación admitidos por el Catálogo de datos profesionales y si el modo usa o no SSO.

Modo de autenticación	Descripción	Usa SSO
PassThrough	Use las credenciales del usuario conectado para autenticarse en la aplicación en el servidor back-end. Este modo sólo está disponible para el modelo de autenticación de suplantación y delegación. La autenticación PassThrough requiere la habilitación de la delegación Kerberos.	No
RevertToSelf	Use la cuenta de identidad del grupo de aplicaciones para autenticar a los usuarios en el servidor back-end. Dado que siempre se usa una cuenta de servicio en lugar de una cuenta individual, RevertToSelf usa el modelo de autenticación de subsistema de confianza.	No
WindowsCredentials	Se usa para los servicios web y las bases de datos. El Catálogo de datos profesionales suplanta una cuenta de usuario de Windows con credenciales de una definición de aplicación de empresa y realiza la autenticación de Windows.	Sí
Credentials	Se usa para los servicios web que usan la autenticación básica o implícita en lugar de la autenticación de Windows. Para preservar la seguridad, al usar el modo de autenticación Credentials, se recomienda proteger el canal entre el Catálogo de datos profesionales y el servidor back-end mediante la Capa de sockets seguros (SSL) o el protocolo de seguridad de Internet (IPSec).	Sí
RdbCredentials	Se usa sólo para las bases de datos back-end. El Catálogo de datos profesionales usa las credenciales de una definición de aplicación de empresa para la autenticación.	Sí

La mayoría de estos modos usan SSO para almacenar las credenciales para la aplicación mediante una identidad individual o de grupo configurada como una definición de aplicación de empresa. El modo PassThrough usa las credenciales del usuario conectado y el modo RevertToSelf usa la cuenta de identidad de grupo de aplicaciones para autenticar a los usuarios.

Para todos los modos de autenticación de SSO, la definición de aplicación de empresa usa una cuenta de grupo para el modelo de subsistema de confianza y una cuenta individual para el modelo de suplantación y delegación. Para obtener más información acerca de la definición de aplicación de empresa, vea la sección “Creación y configuración de definiciones de aplicaciones de empresa” de este documento.

El modo de autenticación seleccionado afecta a las cuentas o las credenciales configuradas en el servidor back-end y a la configuración del SSO. Las propiedades que debe configurar para el archivo XML de definición de aplicación se describen en la sección “Modificación e importación del archivo XML de definición de aplicación” de este documento.

Para obtener más información acerca de los modelos y los modos de autenticación, vea la sección acerca de la autenticación del Catálogo de datos profesionales (https://go.microsoft.com/fwlink/?linkid=100498&clcid=0xC0A).

Configuración de cuentas para la aplicación

Para poder configurar SSO o el archivo XML de definición de aplicación para la aplicación, configure los permisos de autorización para una o varias credenciales del servidor back-end:

Si va a usar el modelo de autenticación del subsistema de confianza, sólo tiene que configurar una sola cuenta o un conjunto de credenciales en la aplicación.
Si va a usar el modelo de autenticación de suplantación y delegación, debe configurar la autorización para cada credencial suplantada por el Catálogo de datos profesionales desde una cuenta de grupo de SSO. Si la organización ya está usando una aplicación, es posible que las credenciales necesarias ya se hayan configurado y puede omitir este paso.

Las cuentas se configuran en la base de datos o el servicio web y los detalles de la configuración dependen de los permisos específicos de la aplicación.

Habilitación y configuración del servicio de inicio de sesión único

Si selecciona un modo de autenticación para el Catálogo de datos profesionales que use SSO, debe habilitar y configurar el servicio Microsoft Single Sign-On (SSOSrv) en todos los servidores cliente web de la granja. Si va a usar además la búsqueda para el Catálogo de datos profesionales, debe habilitar SSOSrv en el servidor de índices.

La cuenta de inicio de sesión para el servicio debe ser:

Una cuenta de usuario de dominio. No puede ser una cuenta de grupo.
Una cuenta de granja de servidores de Office SharePoint Server.
Un miembro del grupo Administradores local del servidor de claves de cifrado. (El servidor de claves de cifrado es el primer servidor en el que se inicia SSOSrv).
Un miembro de la función Administrador de seguridad y la función db_creator en el equipo que ejecuta Microsoft SQL Server.
La misma cuenta que la del administrador de SSO o un miembro de la cuenta de grupo correspondiente a la cuenta de administrador de SSO.

Una vez configurado el servicio SSO, debe establecer una configuración adicional en la página Administración central. La configuración del servidor para SSO incluye información para una cuenta de administrador de SSO independiente, el nombre del servidor de base de datos y el servidor de SSO, y la configuración de tiempo de espera y registro de auditoría.

El usuario o el grupo especificados como cuenta de administrador de SSO deben ser:

Un grupo global de Windows o una cuenta de usuario individual. Esta cuenta no puede ser una cuenta de grupo local de dominio o una lista de distribución.
La cuenta correspondiente a la cuenta de servicio de inicio de sesión único si se especifica un usuario. Si se especifica un grupo, la cuenta de servicio de inicio de sesión único debe ser miembro de dicho grupo.
La cuenta correspondiente a la cuenta de configuración para SSO si se especifica un usuario. Si se especifica un grupo, la cuenta de configuración para SSO debe ser miembro de dicho grupo.
Un miembro del grupo Administradores de la granja de servidores de SharePoint.

Para obtener más información acerca de la habilitación y activación del servicio de inicio de sesión único, vea Configuración e inicio del servicio Inicio de sesión único de Microsoft. Para obtener más información acerca de la configuración del servicio de inicio de sesión único, vea Configuración de inicio de sesión único (Office SharePoint Server).

Creación y configuración de definiciones de aplicaciones de empresa

Una vez configurado el servicio de inicio de sesión único, debe crear y configurar las definiciones de aplicaciones de empresa para las aplicaciones de línea de negocio. Debe crear una definición de aplicación de empresa para cada credencial almacenada y usada por las aplicaciones de línea de negocio, las bases de datos y los servicios web. Generalmente, debe crear una definición de aplicación de empresa para cada aplicación o servicio, aunque si tiene varias aplicaciones que usen el mismo conjunto de credenciales, sólo debe crear una definición de aplicación de empresa que se pueda usar para conectar con todas las aplicaciones que usen dichas credenciales.

Nota

Una definición de aplicación de empresa de SSO no es el archivo XML de definición de aplicación que se importa al Catálogo de datos profesionales para cada aplicación o servicio. Debe crear una definición de aplicación de empresa y hacer referencia a esa definición de aplicación de empresa de forma independiente en el archivo XML de definición de aplicación.

Después de crear una definición de aplicación de empresa, debe configurar la información de cuenta para las definiciones de aplicaciones de empresa. Debe estar conectado al servidor como administrador local para completar este procedimiento.

Para obtener más información acerca de la creación de definiciones de aplicaciones de empresa, vea Creación de definición de aplicación de empresa para el Catálogo de datos profesionales. Para obtener más información acerca de la configuración de definiciones de aplicaciones de empresa, vea Configuración de la definición de aplicación de empresa para el Catálogo de datos profesionales.

Modificación e importación del archivo XML de definición de aplicación

Después de configurar el SSO y crear y configurar las definiciones de aplicaciones de empresa, debe modificar la definición de aplicación para incluir el modo de autenticación para la aplicación, la implementación para la interfaz ISsoProvider usada por la aplicación y el identificador de aplicación de empresa para la aplicación. Estas propiedades se configuran en el objeto LOBSystemInstance del archivo XML de definición de aplicación.

Además, puede modificar otras propiedades para la aplicación. Para obtener acceso a la tabla en que se incluye la lista completa de propiedades disponibles para configurar la autenticación de las bases de datos y los servicios web, vea la sección sobre LOBSystemInstance (https://go.microsoft.com/fwlink/?linkid=124545&clcid=0xC0A). Además, se proporcionan ejemplos.

Para poder usar la configuración de autenticación para el Catálogo de datos profesionales, debe importar el archivo XML de definición de aplicación en el Catálogo de datos profesionales.

Para obtener más información acerca la creación, modificación e importación de definiciones de aplicaciones para el Catálogo de datos profesionales, vea Administración de definiciones de aplicación.

Las tareas de creación comunes para los archivos XML de definición de aplicación se describen en las siguientes subsecciones:

Configuración de la autenticación de SSO para una base de datos
Configuración de la autenticación de SSO para un servicio web
Configuración del proveedor de SSO para la aplicación
Configuración de la autenticación RevertToSelf
Configuración de la autenticación PassThrough
Configuración de la autenticación de nivel de aplicación para la aplicación

Configuración de la autenticación de SSO para una base de datos

Para usar SSO con sistemas de base de datos, se requieren las siguientes propiedades:

La propiedad AuthenticationMode del objeto LOBSystemInstance se establece en WindowsCredentials o en RdbCredentials.
SsoProviderImplementation se establece en el nombre completo de la interfaz ISsoProvider.

Nota

Si se usa una interfaz ISsoProvider de terceros en lugar de la interfaz ISsoProvider de Office SharePoint Server, debe incluir el nombre completo de ese proveedor.
SsoApplicationId se establece en el valor del identificador de la aplicación de empresa para la aplicación. Ya ha proporcionado el nombre de la definición de aplicación de empresa al crearla.

Configuración de la autenticación de SSO para un servicio web

Para usar SSO con los sistemas de servicio web, se requieren las siguientes propiedades:

La propiedad WebServiceAuthenticationMode del objeto LOBSystemInstance se establece en WindowsCredentials o en Credentials.
SsoProviderImplementation se establece en el nombre completo de la interfaz ISsoProvider.

Nota

Si se usa una interfaz ISsoProvider de terceros en lugar de la interfaz ISsoProvider de Office SharePoint Server, debe incluir el nombre completo de ese proveedor.
WebServiceSsoApplicationId se establece en el valor del identificador de la aplicación de empresa para la aplicación.

Configuración del proveedor de SSO para la aplicación

Las aplicaciones de línea de negocio que usan SSO para autenticar a los usuarios pueden configurar la propiedad SsoProviderImplementation y la interfaz ISsoProvider para usar cualquier proveedor de SSO de terceros. Para usar un proveedor de SSO distinto del proveedor de SSO de Office SharePoint Server, debe configurar dicho proveedor y, a continuación, incluir el nombre completo del proveedor en la definición de aplicación de esta propiedad. Para obtener más información, vea la sección acerca de los miembros de ISsoProvider (en inglés) (https://go.microsoft.com/fwlink/?linkid=124546&clcid=0xC0A) (en inglés).

Configuración de la autenticación RevertToSelf para la aplicación

En lugar de usar SSO, puede usar el modo de autenticación RevertToSelf para configurar la aplicación para ejecutarla como la cuenta de identidad del grupo de aplicaciones y autenticar mediante los permisos individuales de cada usuario en la aplicación. Para usar el modo de autenticación RevertToSelf, configure la propiedad de autenticación del modo siguiente:

Para que se autentique en una base de datos, establezca la propiedad AuthenticationMode del objeto LOBSystemInstance en RevertToSelf.
Para que se autentique en un servicio web, establezca la propiedad WebServiceAuthenticationMode del objeto LOBSystemInstance en RevertToSelf.

Configuración de la autenticación PassThrough para la aplicación

La autenticación PassThrough evita el uso de SSO para almacenar las cuentas y, en lugar de esto, autentica a cada usuario directamente mediante los permisos de cada cuenta de la aplicación back-end. Para usar el modo de autenticación PassThrough, configure la propiedad de autenticación del modo siguiente:

Para que se autentique en una base de datos, establezca la propiedad AuthenticationMode del objeto LOBSystemInstance en PassThrough.
Para que se autentique en un servicio web, establezca la propiedad WebServiceAuthenticationMode del objeto LOBSystemInstance en PassThrough.

Configuración de la autenticación de nivel de aplicación para la aplicación

El Catálogo de datos profesionales también admite una autenticación en el nivel de aplicación secundaria. Esta autenticación se usa junto con la autenticación primaria configurada para el sistema. Es especialmente útil en situaciones en las que una aplicación back-end necesita que las credenciales de seguridad se pasen, por ejemplo, en las llamadas a métodos para autorizar a los usuarios. Para habilitar la autenticación en el nivel de aplicación, siga estos pasos:

En la propiedad SecondarySsoApplicationId del objeto LobSystemInstance, especifique la aplicación SSO que contiene las credenciales.
Defina las propiedades UsernameCredentialFilter y PasswordCredentialFilter, y asocie cada una de ellas a un parámetro de entrada.

Configuración del acceso anónimo

2007 Microsoft Office Servers Service Pack 1 (SP1) agrega una nueva propiedad AllowAnonymousExecute para la definición de aplicación que permite el acceso anónimo de datos profesionales en elementos web de datos profesionales. Si se establece el valor de esta propiedad en true, se habilitará el acceso anónimo. A continuación, se incluye el XML para la propiedad:

<Properties>

<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>

</Properties>

Para habilitar el acceso anónimo a los datos de un elemento web de lista de datos profesionales o de un elemento web de datos profesionales, agregue esta propiedad a la instancia de método que usa el elemento web.

Por ejemplo, para permitir que los usuarios anónimos ejecuten la instancia de método ArtistRead para un elemento web de datos profesionales que muestre información acerca de un músico:

<MethodInstance Type="SpecificFinder" ReturnParameterName="ArtistRead" Name="ArtistRead">