Compartir a través de

La autenticación de notificaciones no valida al usuario en SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Cuando los usuarios se intentan conectar a una aplicación web, los registros anotan los errores de autenticación. Si usa las herramientas proporcionadas por Microsoft y emplea un enfoque sistemático para examinar los errores, puede conocer los errores comunes relacionados con la autenticación basada en notificaciones, y cómo resolverlos.

Para acceder correctamente a un recurso de SharePoint se necesita tanto autenticación como autorización. Cuando se usan notificaciones, la autenticación comprueba que el token de seguridad es válido. La autorización comprueba que el acceso al recurso está permitido, en función del conjunto de notificaciones del token de seguridad y de los permisos configurados para el recurso.

Para determinar si la autenticación o la autorización provocan problemas de acceso, consulte detenidamente el mensaje de error en la ventana de explorador.

  • Si el mensaje de error indica que el usuario no tiene acceso al sitio, la autenticación se realizó correctamente y se produjo un error en la autorización. Para solucionar el problema de autorización, pruebe las soluciones siguientes:

    • La razón más común de la autorización errónea cuando se usa la autenticación basada en notificaciones del Lenguaje de marcado de aserción de seguridad (SAML) es que los permisos se asignaron a la cuenta basada en Windows de un usuario (dominio\usuario) en lugar de a la notificación de identidad SAML del usuario.

    • Compruebe que el usuario o el grupo al que pertenece el usuario ha sido configurado para usar los permisos apropiados. Para más información, consulte Permisos de usuario y niveles de permisos en SharePoint Server.

    • Use las herramientas y técnicas de este artículo para determinar el conjunto de notificaciones del token de seguridad del usuario para poder compararlo con los permisos configurados.

  • Si el mensaje indica que se produjo un error de autenticación, tiene un problema de autenticación. Si el recurso está contenido en una aplicación web de SharePoint que usa autenticación basada en notificaciones, use la información de este artículo para comenzar a resolver el problema.

Herramientas de resolución de problemas

Las siguientes son las principales herramientas de resolución de problemas que Microsoft proporciona para recopilar información sobre la autenticación de notificaciones de SharePoint Server:

  • Use los registros del Servicio de registro unificado (ULS) para obtener información detallada de las transacciones de autenticación.

  • Use Administración central para comprobar los detalles de la configuración de autenticación de usuarios para las zonas y aplicaciones web de SharePoint y configurar los niveles de registro de ULS.

  • Si usa Servicios de federación de Active Directory (AD FS) 2.0 (AD FS) como proveedor de federación para la autenticación de notificaciones basada en lenguaje de marcado de aserción de seguridad (SAML), puede usar el registro de AD FS para determinar las notificaciones que están en tokens de seguridad que AD FS emite a los equipos cliente web.

  • Use el Monitor de red 3.4 para capturar y examinar los detalles del tráfico de red de autenticación de usuarios.

Establecimiento del nivel de registro de ULS para la autenticación de usuarios

El procedimiento siguiente configura SharePoint Server para que registre la máxima cantidad de información sobre los intentos de autenticación de notificaciones.

Para configurar SharePoint Server de modo que registre la máxima cantidad de información sobre la autenticación de usuarios

  1. En Administración central, seleccione Supervisión en inicio rápido y, a continuación, seleccione Configurar registro de diagnóstico.

  2. En la lista de categorías, expanda SharePoint Foundation y seleccione Autenticación, autorización y Autenticación de notificaciones.

  3. En Evento menos crítico que desea incorporar al registro de eventos, seleccione Detallado.

  4. En Evento menos crítico que desea incorporar al registro de seguimiento, seleccione Detallado.

  5. Seleccione Aceptar.

Para optimizar el rendimiento cuando no realice la solución de problemas de autenticación de notificaciones, siga estos pasos para establecer el registro de autenticación de usuario en sus valores predeterminados.

Para configurar SharePoint Server de modo que registre la cantidad de información predeterminada sobre la autenticación de usuarios

  1. En Administración central, seleccione Supervisión en inicio rápido y, a continuación, seleccione Configurar registro de diagnóstico.

  2. En la lista de categorías, expanda SharePoint Foundation y seleccione Autenticación, autorización y Autenticación de notificaciones.

  3. En Evento menos crítico que desea incorporar al registro de eventos, seleccione Información.

  4. En Evento menos crítico que desea incorporar al registro de seguimiento, seleccione Medio.

  5. Seleccione Aceptar.

Configuración del registro de AD FS

Incluso después de habilitar el nivel máximo de registro de ULS, SharePoint Server no registra el conjunto de notificaciones de un token de seguridad que recibe. Si usa AD FS para la autenticación de notificaciones basada en SAML, puede habilitar el registro de AD FS y usar el Visor de eventos para examinar las notificaciones de los tokens de seguridad que SharePoint Server emite.

Para habilitar el registro de AD FS

  1. En el servidor de AD FS, en Visor de eventos, seleccione Ver y, a continuación, seleccione Mostrar registros analíticos y de depuración.

  2. En el árbol de la consola del Visor de eventos, expanda Registros de aplicaciones y servicios/Seguimiento de AD FS 2.0.

  3. Haga clic con el botón derecho en Depurar y, a continuación, seleccione Habilitar registro.

  4. Abra la carpeta %Archivos de programa% \Servicios de federación de Active Directory 2.0.

  5. Use el Bloc de notas para abrir el archivo Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Seleccione Editar, seleccione Buscar, escriba <nombre de origen="Microsoft.IdentityModel" switchValue="Desactivado"> y, a continuación, seleccione Aceptar.

  7. Cambie switchValue="Off" por switchValue="Verbose".

  8. Seleccione Archivo, seleccione Guardar y, a continuación, salga del Bloc de notas.

  9. En el complemento Servicios, haga clic con el botón derecho en ** AD FS 2.0 service **y, a continuación, seleccione Reiniciar.

Ahora puede usar el Visor de eventos en el servidor AD FS para examinar los detalles sobre las notificaciones desde el nodo Registros de aplicaciones y servicios/Seguimiento de AD FS 2.0/Depurar. Busque los eventos con id. de evento 1001.

También puede enumerar las notificaciones con un HttpModule o un elemento web, o bien con OperationContext. Para obtener más información, vea Obtener todas las notificaciones de usuario en tiempo de aumento de notificaciones en SharePoint 2010. Esta información sobre SharePoint 2010 se aplica también a SharePoint 2013.

Metodología de resolución de problemas para la autenticación basada en notificaciones

Los pasos siguientes pueden ayudarlo a determinar la causa de los intentos erróneos de autenticación de notificaciones.

Paso 1: Determine los detalles del intento erróneo de autenticación

Para obtener información detallada y definitiva sobre un intento erróneo de notificación, tiene que buscarla en los registros de ULS de SharePoint. Estos archivos de registro se almacenan en la carpeta %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

Puede buscar el intento erróneo de autenticación en los archivos de registro de ULS manualmente o bien usar el Visor de registros de ULS.

Para buscar manualmente el intento erróneo de autenticación

  1. Solicite al usuario el nombre de la cuenta de usuario que produce el intento erróneo de autenticación.

  2. En el servidor que está ejecutando SharePoint Server o SharePoint Foundation, busque la carpeta %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS o %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\15\LOGS.

  3. En la carpeta LOGS , seleccione Fecha de modificación para ordenar la carpeta por fecha, con la más reciente en la parte superior.

  4. Vuelva a intentar la tarea de autenticación.

  5. En la ventana de la carpeta LOGS, haga doble clic en el archivo de registro situado en la parte superior de la lista para abrir el archivo en el Bloc de notas.

  6. En el Bloc de notas, seleccione Editar,busque, escriba Autenticación de autorización o autenticación de notificaciones y, a continuación, seleccione Buscar siguiente.

  7. Seleccione Cancelar y, a continuación, lea el contenido de la columna Mensaje .

Para usar el Visor de ULS, descárguelo de la página del Visor de ULS y guárdelo en una carpeta del servidor que ejecute SharePoint Server o SharePoint Foundation. Una vez instalado, siga estos pasos para localizar el intento de autenticación con errores.

Para buscar el intento erróneo de autenticación con el Visor de ULS

  1. En el servidor que ejecuta SharePoint Server o SharePoint Foundation, haga doble clic en Ulsviewer en la carpeta en la que se almacena.

  2. En el Visor uls, seleccione Archivo, seleccione Abrir desde y, a continuación, seleccione ULS.

  3. En el cuadro de diálogo Configurar la fuente en tiempo de ejecución de ULS , compruebe que la carpeta %CommonProgramFiles% \Common Files\Microsoft Shared\Web Server Extensions\16\LOGS o \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS se especifique en Usar fuente ULS desde el directorio de archivos de registro predeterminado. Si no es así, seleccione Usar ubicación de directorio para fuentes en tiempo real y especifique la carpeta %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS o \Microsoft Shared\Web Server Extensions\15\LOGS en Ubicación del archivo de registro.

    En %CommonProgramFiles%, sustituya el valor de la variable de entorno CommonProgramFiles del servidor que está ejecutando SharePoint Server o SharePoint Foundation. Por ejemplo, si la ubicación es la unidad C, %CommonProgramFiles% se establece en C:\Archivos de programa\Archivos comunes.

  4. Seleccione Aceptar.

  5. Seleccione Editar y, a continuación, seleccione Modificar filtro.

  6. En el cuadro de diálogo Filtrar por , en Campo, seleccione Categoría.

  7. En Valor, escriba Autenticación de autenticación o Autenticación de notificaciones y, a continuación, seleccione Aceptar.

  8. Vuelva a intentar la autenticación.

  9. En la ventana Visor de ULS, haga doble clic en las líneas que se muestran para ver la parte Mensaje.

En la parte de codificación de las notificaciones de la sección Mensaje para solicitudes que no son OAuth, puede determinar el método de autenticación y la identidad de usuario codificada a partir de la cadena codificada de notificaciones (ejemplo: i:0#.w|contoso\asier).

Paso 2: Compruebe los requisitos de configuración

Para determinar cómo está configurada una zona o aplicación web para admitir uno o varios métodos de autenticación de notificaciones, use el sitio web de Administración central de SharePoint.

Para comprobar la configuración de la autenticación de una zona o aplicación web

  1. En Administración central, seleccione Administración de aplicaciones en inicio rápido y, a continuación, seleccione Administrar aplicaciones web.

  2. Seleccione el nombre de la aplicación web a la que intenta acceder el usuario y, en el grupo Seguridad de la cinta de opciones, seleccione Proveedores de autenticación.

  3. En la lista de proveedores de autenticación, seleccione la zona adecuada (por ejemplo, Predeterminado).

  4. En el cuadro de diálogo Editar autenticación , en la sección Tipos de autenticación de notificaciones , compruebe la configuración de la autenticación de notificaciones.

  • En el caso de la autenticación de notificaciones de Windows, compruebe que las opciones Habilitar autenticación de Windows y Autenticación integrada de Windows están seleccionadas y que NTLM o Negociar (Kerberos) están seleccionadas según sea necesario. Seleccione Autenticación básica si es necesario.

  • En el caso de la autenticación basada en formularios, compruebe que Habilitar autenticación basada en formularios (FBA) está seleccionada. Compruebe los valores de Nombre del proveedor de suscripciones de ASP.NET y Nombre del administrador de roles de ASP.NET. Estos valores deben coincidir con los valores de rol y proveedor de pertenencia que configuró en los archivos de web.config para el sitio web de Administración central de SharePoint, la aplicación web y SharePoint Web Services\SecurityTokenServiceApplication. Para más información, consulte Configure forms-based authentication for a claims-based web application in SharePoint Server.

  • En el caso de la autenticación de notificaciones basada en SAML, compruebe que se han seleccionado Proveedor de identidad de confianza y el nombre correcto del proveedor de confianza. Para más información, consulte Configure SAML-based claims authentication with AD FS in SharePoint Server.

  • En la sección Dirección URL de la página de inicio de sesión, compruebe la opción de la página de inicio de sesión. Para usar una página de inicio de sesión predeterminada, debe seleccionarse Página predeterminada de inicio de sesión. Para usar una página de inicio de sesión personalizada, compruebe que ha especificado la dirección URL de la página de inicio de sesión personalizada. Para ello, copie la dirección URL e intente acceder a ella usando un explorador web.

  1. Seleccione Guardar para guardar los cambios en la configuración de autenticación.

  2. Vuelva a intentar la autenticación. En la autenticación basada en formularios o basada en SAML, ¿aparece la página de inicio de sesión prevista con las opciones de inicio de sesión correctas?

  3. Si todavía se produce un error en la autenticación, compruebe los registros de ULS para determinar si hay alguna diferencia entre el intento de autenticación antes de que cambie la configuración de autenticación y después de ella.

Paso 3: Más elementos que comprobar

Después de comprobar los archivos de registro y la configuración de la aplicación web, compruebe lo siguiente:

  • El explorador web del equipo cliente web admite notificaciones. Para obtener más información, vea Planear la compatibilidad con exploradores en SharePoint Server 2016.

  • En el caso de la autenticación de notificaciones de Windows, compruebe lo siguiente:

    • El equipo desde el que el usuario lanza el intento de autenticación es miembro del mismo dominio que el servidor que hospeda la aplicación web de SharePoint o miembro de un dominio de confianza del servidor host.

    • El equipo desde el que el usuario realiza el intento de autenticación ha iniciado sesión en su dominio de los Servicios de dominio de Active Directory (AD DS). Escriba nltest /dsgetdc: /force en un símbolo del sistema o en el Shell de administración de SharePoint en el equipo cliente web para asegurarse de que puede acceder a un controlador de dominio. Si no aparecen controladores de dominio, solucione el problema de detección y conectividad entre el equipo cliente web y el controlador de dominio de AD DS.

    • El servidor que ejecuta SharePoint Server o SharePoint Foundation ha iniciado sesión en su dominio de AD DS. Escriba nltest /dsgetdc: /force en un símbolo del sistema o en el Shell de administración de SharePoint en el servidor que ejecuta SharePoint Server o SharePoint Foundation para asegurarse de que puede obtener acceso a un controlador de dominio. Si no aparecen controladores de dominio, solucione el problema de detectabilidad y conectividad entre el servidor que ejecuta SharePoint Server o SharePoint Foundation y un controlador de dominio de AD DS.

  • En el caso de la autenticación basada en formularios, compruebe lo siguiente:

    • Las credenciales de usuario para el proveedor de suscripciones y de roles de ASP.NET son correctas.

    • Los sistemas que hospedan el proveedor de suscripciones y roles de ASP.NET están disponibles en la red.

    • Las páginas de inicio de sesión personalizadas recopilan y transmiten correctamente las credenciales del usuario. Para probar este aspecto, configure la aplicación web para que use temporalmente la página de inicio de sesión predeterminada y compruebe que funciona.

  • En el caso de la autenticación de notificaciones basada en SAML, compruebe lo siguiente:

    • Las credenciales de usuario para el proveedor de identidad configurado son correctas.

    • Los sistemas que actúan como proveedor de federación (como AD FS) y proveedor de identidad (como AD DS o un proveedor de identidad de terceros) están disponibles en la red.

    • Las páginas de inicio de sesión personalizadas recopilan y transmiten correctamente las credenciales del usuario. Para probar este aspecto, configure la aplicación web para que use temporalmente la página de inicio de sesión predeterminada y compruebe que funciona.

Paso 4: Use una herramienta de depuración web para supervisar y analizar el tráfico web

Use una herramienta como HttpWatch o Fiddler para analizar los siguientes tipos de tráfico HTTP:

  • Entre el equipo cliente web y el servidor que ejecuta SharePoint Server o SharePoint Foundation

    Por ejemplo, puede supervisar los mensajes de redirección de HTTP que el servidor que ejecuta SharePoint Server o SharePoint Foundation envía para informar al equipo cliente web de la ubicación de un servidor de federación (como AD FS).

  • Entre el equipo cliente web y el servidor de federación (como AD FS)

    Por ejemplo, puede supervisar los mensajes HTTP que el equipo cliente web envía y las respuestas del servidor de federación, que podría incluir tokens de seguridad y sus notificaciones.

Nota:

Si usa Fiddler, el intento de autenticación puede producir un error después de tres solicitudes de autenticación. Para evitar este comportamiento, vea Usar Fiddler con SAML y SharePoint para superar las tres solicitudes de autenticación.

Paso 5: Capture y analice el tráfico de red de autenticación

Use una herramienta de tráfico de red, como Monitor de red 3.4, para capturar y analizar el tráfico entre el equipo cliente web, el servidor que ejecuta SharePoint Server o SharePoint Foundation y los sistemas que SharePoint Server o SharePoint Foundation usa para la autenticación de notificaciones.

Nota:

En muchos casos, la autenticación de notificaciones usa conexiones basadas en el protocolo HTTPS, que cifra los mensajes que se envían entre los equipos. No se puede ver el contenido de los mensajes cifrados con una herramienta de tráfico de red sin la ayuda de un complemento o extensión. Por ejemplo, para Network Monitor, debe instalar y configurar expert to Network Monitor. Una alternativa más sencilla que intentar descifrar los mensajes HTTPS es usar una herramienta como Fiddler en el servidor que hospeda SharePoint Server o SharePoint Foundation, que puede informar sobre los mensajes HTTP descifrados.

Un análisis del tráfico de red puede desvelar lo siguiente:

  • El conjunto exacto de protocolos y mensajes que se están enviando entre los equipos implicados en el proceso de autenticación de notificaciones. Los mensajes de respuesta pueden contener información de condición de error, que puede usar para determinar más pasos de solución de problemas.

  • Si los mensajes de solicitud tienen sus correspondientes respuestas. Varios mensajes de solicitud enviados que no reciben una respuesta pueden indicar que el tráfico de red no llega a su destino previsto. En este caso, compruebe si hay problemas de enrutamiento de paquetes, dispositivos de filtrado de paquetes en la ruta (como un firewall) o filtros de paquetes en el destino (como un firewall local).

  • Si se han intentado varios métodos de notificaciones y cuáles producen errores.

En el caso de la autenticación de notificaciones de Windows, puede capturar y analizar el tráfico entre los siguientes equipos:

  • El equipo cliente web y el servidor que ejecuta SharePoint Server o SharePoint Foundation

  • El servidor que ejecuta SharePoint Server o SharePoint Foundation y su controlador de dominio

En el caso de la autenticación basada en formularios, puede capturar y analizar el tráfico entre los siguientes equipos:

  • El equipo cliente web y el servidor que ejecuta SharePoint Server o SharePoint Foundation

  • El servidor que ejecuta SharePoint Server o SharePoint Foundation y el proveedor de roles y suscripciones de ASP.NET

En el caso de la autenticación de notificaciones basada en SAML, puede capturar y analizar el tráfico entre los siguientes equipos:

  • El equipo cliente web y el servidor que ejecuta SharePoint Server o SharePoint Foundation

  • El equipo cliente web y su proveedor de identidad (como un controlador de dominio de AD DS)

  • El equipo cliente web y el proveedor de federación (como AD FS)

Consulte también

Otros recursos

Configure forms-based authentication for a claims-based web application in SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server