Autenticación de servidor a servidor y perfiles de usuario en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
La autenticación de servidor a servidor permite a los servidores que tienen la capacidad de hacerlo obtener acceso a recursos unos de otros y solicitar recursos en nombre de usuarios. Por ello, el servidor que ejecuta SharePoint Server y que se ocupa de la solicitud de recursos entrante debe ser capaz de llevar a cabo dos tareas:
Resolver la solicitud a un usuario de SharePoint determinado
Determinar el conjunto de notificaciones de rol asociadas al usuario, un proceso que se denomina rehidratación de la identidad del usuario
Para rehidratar la identidad de un usuario, un servidor que pueda realizar la autenticación de servidor a servidor solicita el acceso a los recursos de SharePoint. SharePoint Server toma las notificaciones del token de seguridad entrante y las resuelve como usuario específico de SharePoint. De forma predeterminada, SharePoint Server utiliza la aplicación del servicio de perfiles de usuario integrada para resolver la identidad.
Los atributos de usuario clave para buscar el perfil de usuario correspondiente son los siguientes:
El identificador de seguridad (SID) de Windows
El nombre principal de usuario (UPN) de los Servicios de dominio de Active Directory (AD DS)
Dirección del protocolo simple de transferencia de correo (SMTP)
La dirección del Protocolo de inicio de sesión (SIP)
Por lo tanto, al menos uno de estos atributos de usuario debe estar al día en los perfiles de usuario.
Nota:
Solo para SharePoint Server 2013, le recomendamos realizar una sincronización periódica desde los almacenes de identidades en la aplicación de servicio de perfiles de usuario. Para obtener más información, vea Planeación de la sincronización de perfiles en SharePoint Server 2013.
Por otra parte, SharePoint Server espera una sola entrada coincidente en la aplicación del servicio de perfiles de usuario, con cada consulta de búsqueda basada en estos cuatro atributos. Si no es así, devuelve una condición de error para informar de que se encontraron varios perfiles de usuario. Por ello, debe eliminar periódicamente los perfiles de usuario obsoletos en la aplicación del servicio de perfiles de usuario, para evitar que varios perfiles de usuario compartan estos cuatro atributos.
Si un perfil de usuario y la pertenencia a los grupos correspondientes a ese usuario no están sincronizados, es posible que SharePoint Server actúe de manera incorrecta y deniegue el acceso a un determinado recurso. Por todo esto, asegúrese de que las pertenencias a los grupos correspondientes están sincronizadas con la aplicación del servicio de perfiles de usuario. Para las notificaciones de Windows, la aplicación del servicio de perfiles de usuario importa los cuatro atributos de usuario clave que se han descrito previamente y la pertenencia a grupos.
Para la autenticación basada en formularios y basada en notificaciones del lenguaje de marcado de aserción de seguridad (SAML), debe realizar una de las siguientes acciones:
Cree una conexión de sincronización a un origen de datos compatible con la aplicación del servicio de perfiles de usuario, y asocie esa conexión a un determinado proveedor de autenticación basada en formularios o SAML. Además, tiene que asignar los atributos del almacén del usuario a los cuatro atributos de usuario descritos anteriormente, o a tantos como pueda obtener del origen de datos.
Cree e implemente un componente personalizado para realizar manualmente la sincronización. Es la opción más habitual para los usuarios que no utilizan Windows. Tenga en cuenta que se invoca al proveedor de autenticación basada en formularios o SAML al rehidratar la identidad del usuario, para obtener sus notificaciones de rol.
Rehidratación de usuarios para servidores solicitantes
Si el servidor solicitante ejecuta Exchange Server 2016 o Skype para Business Server 2015, que utilizan métodos de autenticación de Windows estándar, el token de seguridad entrante que envía el servidor solicitante contiene el UPN del usuario y puede contener otros atributos como SMTP, SIP y el SID de la identidad del usuario. SharePoint Server, el servidor receptor, utiliza esta información para buscar el perfil de usuario.
Para los servidores solicitantes que ejecutan SharePoint Server, el servidor receptor rehidrata el usuario a través de los siguientes métodos de autenticación basada en notificaciones:
Para la autenticación de notificaciones de Windows, SharePoint Server utiliza atributos de AD DS para buscar el perfil del usuario (por ejemplo, los valores UPN o SID) y sus notificaciones de rol (pertenencia a grupos).
Para la autenticación basada en formularios, SharePoint Server utiliza el atributo Account para buscar el perfil del usuario y, a continuación, invoca el proveedor de roles y todos los proveedores de notificaciones personalizadas adicionales para obtener el conjunto de notificaciones de rol correspondiente. Por ejemplo, SharePoint Server utiliza atributos de AD DS, de una base de datos como SQL Server o de un almacén de datos del protocolo ligero de acceso a directorios (LDAP) para buscar el perfil de usuario que representa al usuario (por ejemplo, los valores UPN o SID). Su componente para sincronizar el proveedor basado en formularios debería, como mínimo, rellenar perfiles de usuario con el nombre de la cuenta del usuario. También puede crear un proveedor de notificaciones personalizado para importar notificaciones adicionales como atributos en los perfiles de usuario.
Para la autenticación de notificaciones basada en SAML, SharePoint Server usa el atributo AccountName para buscar el perfil de usuario y, a continuación, invoca el proveedor SAML y todos los demás proveedores de notificaciones personalizadas adicionales, para obtener el conjunto correspondiente de notificaciones de rol. La notificación de identidad de usuario se debe asignar al atributo Account en los perfiles de usuario a través del proveedor de notificaciones SAML correspondiente, que se debe configurar de modo que rellene sus perfiles de usuario. Del mismo modo, las notificaciones de UPN se deben asignar al atributo UPN y las notificaciones de SMTP se deben asignar al atributo SMTP. Para duplicar el conjunto de notificaciones que obtendría normalmente el usuario de su proveedor de identidades, debe agregar esas notificaciones, incluidas las notificaciones de rol, a través del aumento de notificaciones. Los proveedores de notificaciones personalizadas deben importar esas notificaciones como atributos en los perfiles de usuario.
Consulte también
Conceptos
Planear la autenticación de servidor a servidor en SharePoint Server
Introducción a la autenticación para el servidor de SharePoint