Team Foundation Server, autenticación y acceso
Puede configurar la implementación para ayudar a proteger las conexiones entre los usuarios y la implementación de Visual Studio 2010. Visual Studio Team Foundation Server admite la autenticación básica, la autenticación implícita y los certificados. Por consiguiente, puede configurar la implementación de Team Foundation Server para que use el protocolo HTTPS con SSL y autenticación implícita o básica. Si adopta esta estrategia, los usuarios se conectarán con mayor seguridad a la implementación sin tener que emplear las conexiones de red privada virtual (VPN).
Configuraciones
Para admitir conexiones externas más seguras a la implementación de Team Foundation Server, debe configurar Internet Information Services (IIS) para habilitar la autenticación básica, implícita o ambas. También debe configurar las conexiones externas para que exijan los certificados.
Autenticación básica y autenticación implícita
La autenticación básica es parte de la especificación 1.0 de HTTP y utiliza las cuentas de usuario de Windows. Durante la autenticación básica, el explorador pide al usuario un nombre de usuario y contraseña y, a continuación, transmite esa información por HTTP utilizando la codificación Base64. De forma predeterminada, la autenticación básica requiere que la cuenta de usuario de Windows tenga derechos de inicio de sesión local en el servidor web. Puede utilizar la autenticación básica en implementaciones de grupos de trabajo y de dominios. La mayoría de los servidores web, servidores proxy y exploradores web admiten la autenticación básica, pero no es segura. Dado que los datos codificados en Base64 son fáciles de descodificar, la autenticación básica envía esencialmente la contraseña como texto simple. Si supervisa las comunicaciones de la red, un usuario malintencionado puede interceptar y descifrar estas contraseñas con facilidad empleando las herramientas públicamente disponibles. Para mejorar la seguridad, considere el uso de HTTPS con SSL.
La autenticación implícita es un mecanismo de desafío/respuesta que envía un resumen (también conocido como hash) en lugar de una contraseña a través de la red. Durante la autenticación implícita, IIS envía un desafío al cliente para crear un resumen y enviarlo al servidor. Como respuesta al desafío, el cliente envía un resumen basado en la contraseña del usuario junto con los datos que se conocen al cliente y al servidor. El servidor utiliza el mismo proceso que el cliente para crear su propio resumen y utiliza la información del usuario obtenida de Active Directory. IIS solo autentica el cliente si el resumen que el servidor crea coincide con el resumen que el cliente crea. Solo puede utilizar la autenticación implícita en implementaciones de Active Directory. Por sí sola, la autenticación implícita es simplemente una pequeña mejora de la autenticación básica. Un usuario malintencionado podría grabar la comunicación entre el cliente y el servidor y, a continuación, utilizar esa información para volver a consultar la transacción. La autenticación implícita también tiene dependencias en el protocolo HTTP 1.1, que no todos los exploradores web admiten. Además, los intentos de acceso a Team Foundation Server darán error si no configura la autenticación implícita correctamente. No elija la autenticación implícita a menos que su implementación cumpla todos los requisitos para ese modo. Para obtener más información, vea la siguiente página del sitio web de Microsoft (Digest Authentication (IIS 6.0)).
Limitaciones
Además de los requisitos de los grupos de trabajo y dominios anteriormente mencionados en este tema, la autenticación básica y la autenticación implícita son insuficientes por sí solas para ofrecer seguridad de red a los clientes externos. Por consiguiente, no debe configurar Team Foundation Server para clientes externos a menos que también configure estas conexiones de manera que exijan HTTPS con SSL.
Vea también
Conceptos
Arquitectura de Team Foundation Server
Otros recursos
Proteger Team Foundation Server con HTTPS y Secure Sockets Layer (SSL)