Planejar a autenticação Kerberos (SharePoint Server 2010)
Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010
Tópico modificado em: 2016-11-30
Microsoft SharePoint Server 2010 suporta vários métodos de autenticação. Implantações que exijam autenticação segura, delegação da identidade do cliente e baixo tráfego de rede podem escolher a autenticação Kerberos. Para obter mais informações, consulte Planejar métodos de autenticação (SharePoint Server 2010).
Neste artigo:
Autenticação Kerberos e SharePoint 2010
Autenticação Kerberos e autenticação baseada em declarações
Autenticação Kerberos e Microsoft SharePoint Server 2010
Por que você deve considerar a autenticação Kerberos | Por que a autenticação Kerberos pode não ser apropriada para um cenário de implantação |
---|---|
Kerberos é o mais seguro protocolo de autenticação Integrada do Windows e suporta recursos de segurança avançados incluindo a criptografia AES e a autenticação mútua. |
A autenticação Kerberos exige a configuração adicional da infraestrutura e do ambiente, para funcionar corretamente. Em muitos casos, a permissão do administrador do domínio é exigida para configurar o Kerberos. A autenticação Kerberos pode ser difícil de configurar e gerenciar. Se configurado incorretamente, o Kerberos pode impedir o sucesso da autenticação em seus sites. |
O Kerberos permite a delegação de credenciais do cliente. |
A autenticação Kerberos exige a conectividade do computador cliente a um Centro de Distribuição de Chave (KDC) e ao controlador de domínio dos Serviços de Domínio do Active Directory (AD DS). Em uma implantação do Windows, o KDC é um controlador de domínio do AD DS. Embora esta seja uma configuração de rede comum em um ambiente corporativo, as implantações voltadas para a Internet não são normalmente configuradas dessa maneira. |
O Kerberos suporta a autenticação mútua de clientes e servidores. |
|
Entre os métodos de autenticação segura, o Kerberos é o que exige menos quantidade de tráfego da rede para os controladores de domínio. Ele pode reduzir a latência da página em certos cenários, ou aumentar o número de páginas que um servidor da Web de front-end pode atender em certos cenários. O Kerberos também pode reduzir a carga dos controladores de domínio. |
|
O Kerberos é um protocolo aberto suportado por muitas plataformas e fornecedores. |
O Kerberos é um protocolo seguro que suporta um método de autenticação que utiliza tickets fornecidos por uma fonte confiável. Os tickets do Kerberos representam as credenciais de rede de um usuário associado a um computador cliente. O protocolo Kerberos define como os usuários interagem com um serviço de autenticação da rede para obter acesso aos recursos da rede. A KDC do Kerberos emite um ticket para um computador cliente em nome do usuário. Depois que o computador cliente estabelece uma conexão de rede ao servidor, ele solicita o acesso à rede apresentando o ticket da autenticação Kerberos ao servidor. Se a solicitação contiver credenciais de usuário aceitáveis, o KDC a permite. Para os aplicativos de serviço, o ticket de autenticação também deve conter um Nome Principal do Serviço (SPN) aceitável. Para permitir a autenticação Kerberos, os computadores cliente e servidor já devem ter uma conexão confiável com a KDC. Esses computadores também precisam ser capazes de acessar os Serviços de Domínio do Active Directory Domain Services (AD DS).
Delegação Kerberos
A autenticação Kerberos suporta a delegação da identidade do cliente. Isso significa que um serviço pode personificar a identidade de um cliente autenticado. A personificação permite ao serviço transferir a identidade autenticada para outros serviços de rede em nome do cliente. A autenticação baseada em declarações também pode ser usada para delegar credenciais do cliente, mas exige que o aplicativo de back-end esteja ciente das declarações. Vários serviços importantes não estão atualmente cientes das declarações.
Usada junto com o Microsoft SharePoint Server 2010, a delegação Kerberos permite que um serviço de front-a autentique um cliente e então use a identidade do cliente para autenticar um sistema de back-end. O sistema de back-end executa sua própria autenticação. Quando um cliente usa a autenticação Kerberos para autenticar com um serviço de front-end, a delegação Kerberos pode ser usada para transferir a identidade de um cliente para um sistema de back-end. O protocolo Kerberos suporta dois tipos de delegação:
Delegação Kerberos básica (irrestrita)
Delegação Kerberos restrita
Delegação Kerberos básica e restrita
Embora a delegação Kerberos básica possa atravessar os limites do domínio dentro da mesma floresta, ela não pode atravessar um limite de floresta. A delegação Kerberos restrita não pode atravessar limites de domínio ou de floresta. Dependendo dos aplicativos de serviço que fazem parte de uma implantação do SharePoint Server 2010, a implementação das autenticações Kerberos com o SharePoint Server 2010 pode exigir a o uso da delegação Kerberos restrita. Portanto, para implantar a delegação Kerberos com qualquer um dos seguintes aplicativos, o SharePoint Server 2010 e todas as fontes externas devem residir no mesmo domínio do Windows:
Serviços do Excel
Serviços do PerformancePoint
InfoPath Forms Services
Serviços do Visio
Para implantar a autenticação Kerberos com qualquer um aplicativos de serviço a seguir, o SharePoint Server 2010 pode usar a delegação Kerberos básica ou restrita:
Serviço de Conectividade de Dados Corporativos e Microsoft Serviços Corporativos de Conectividade
Serviços do Access
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
Os serviços ativados para a autenticação Kerberos podem delegar a identidade várias vezes. À medida que a identidade se propaga de um serviço para o outro, o método de delegação pode mudar do Kerberos básico para o restrito. No entanto, o contrário não é possível. O método de delegação não pode voltar do Kerberos restrito para o básico. Portanto, é importante prever e planejar se o serviço de back-end irá ou não exigir a delegação Kerberos básica. Isso pode afetar o planejamento e o design dos limites do domínio.
Um serviço ativado para o Kerberos pode usar a transição de protocolo para converter uma identidade não-Kerberos em uma identidade Kerberos, que possa ser delegada para outros serviços ativados para o Kerberos. Por exemplo, essa capacidade pode ser usada para delegar uma identidade não-Kerberos de um serviço de front-end para outra em um serviço de back-end.
Importante
A transição de protocolo exige a delegação Kerberos restrita. Portanto, as identidades passadas pelo protocolo não podem atravessar os limites de domínio.
A autenticação baseada em declarações pode ser usada como alternativa à delegação Kerberos. Esse tipo de autenticação permite que a declaração de autenticação do cliente seja transferida entre dois serviços diferentes, desde que eles cumpram todos os critérios a seguir:
Deve haver uma relação de confiança entre os serviços.
Ambos os serviços devem estar cientes da declaração.
Para obter mais informações sobre a autenticação Kerberos, consulte os recursos a seguir:
How the Kerberos Version 5 Authentication Protocol Works (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x416)
Microsoft Kerberos (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x416)
Autenticação Kerberos e autenticação baseada em declarações
SharePoint Server 2010 suporta a autenticação baseada em declarações. Essa autenticação é fundamentada no Windows Identity Foundation (WIF), que é um conjunto de classes do .NET Framework que são usadas para implementar a identidade baseada nas declarações. Esse tipo de autenticação depende de padrões como o WS-Federation e o WS-Trust. Para obter mais informações sobre a autenticação baseada em declarações, consulte os recursos a seguir:
Identidade baseada em declarações para Windows: uma introdução ao Active Directory Federation Services 2.0, ao Windows CardSpace 2.0 e ao Windows Identity Foundation (white paper) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x416)
Home page do Windows Identity Foundation (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x416)
An Introduction to Claims (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x416)
SharePoint Claims-Based Identity (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x416)
Quando você cria um aplicativo da Web do SharePoint Server 2010, tem a opção de selecionar um dos dois modos de autenticação: a baseada em declarações ou a clássica. Para novas implementações do SharePoint Server 2010, pense em usar a autenticação baseada em declarações. Assim, todos os tipos de autenticação suportados estão disponíveis para seus aplicativos da Web.
Os aplicativos de serviço a seguir exigem a tradução de credenciais baseadas em declaração em credenciais do Windows. Esse processo de tradução usa o Serviço de Token de Declarações para Windows (C2WTS):
Serviços do Excel
Serviços do PerformancePoint
InfoPath Forms Services
Serviços do Visio
Os aplicativos de serviço que exigem o C2WTS devem usar a delegação Kerberos restrita. O motivo é que o C2WTS exige a transição de protocolo, e esta somente é suportada pela delegação restrita. Para os aplicativos de serviço na lista precedente, o C2WTS traduz as declarações dentro do farm em credenciais do Windows para a autenticação de saída. É importante entender que esses aplicativos de serviço podem utilizar o C2WTS somente se o método de autenticação de entrada for baseado em declarações ou clássico. Os aplicativos de serviço acessados pelos aplicativos da Web e os que usam as declarações SAML ou de autenticação baseadas em formulários não usam o C2WTS e, portanto, não pode traduzir declarações em credenciais do Windows.
Para obter uma orientação completa para a configuração do Kerberos em nove cenários específicos, incluindo a implantação central, três soluções Microsoft SQL Server e cenários que usam Serviços do Excel, PowerPivot para SharePoint, Serviços do Visio, Serviços do PerformancePoint e Serviços Corporativos de Conectividade, consulte Configuring Kerberos authentication for SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x416).