Autenticação, autorização e segurança no SharePoint
O que há de novo no SharePoint para autenticação, autorização e segurança
Estes são alguns dos aprimoramentos adicionados ao SharePoint:
Entrada do usuário
O SharePoint continua oferecendo suporte aos modos de autenticação clássico e por declarações. A autenticação baseada em declarações é a opção de autenticação padrão no SharePoint. A autenticação no modo clássico foi substituída e pode ser gerenciada apenas usando o Windows PowerShell. Muitos recursos do SharePoint exigem o modo baseado em declarações.
O método MigrateUsers do SharePoint 2010 agora é obsoleta, não é mais a maneira correta para migrar as contas. Para migrar as contas, use o novo cmdlet Windows PowerShell chamado
Convert-SPWebApplication
. Para obter mais informações, consulte Migrar do modo clássico para a autenticação baseada em declarações no SharePoint.Requisito para registrar provedores de declarações foram eliminado. No entanto, você precisa pré-configurar tipo de declarações. Você pode escolher os caracteres para o tipo de declaração e não há nenhuma imposição na ordenação dos tipos de declaração.
O SharePoint rastreia os cookies de FedAuth no novo serviço de cache distribuído usando o cache do AppFabric do Windows Server.
Significativamente mais logs é fornecido para ajudar a solucionar problemas de autenticação.
Autenticação de serviços e aplicativos
No SharePoint, agora você pode criar aplicativos para o SharePoint. Um Suplemento do SharePoint tem sua própria identidade e é associado a uma entidade de segurança, chamado de um aplicativo principal. Assim como os usuários e grupos, um aplicativo principal tem determinados direitos e permissões.
No SharePoint, o serviço de token de segurança (STS) de servidor para servidor fornece tokens de acesso para autenticação de servidor para servidor. O STS de servidor para servidor permite que tokens de acesso temporário acessem outros serviços de aplicativo, como o Exchange Server 2013 e o Microsoft Lync 2013, e aplicativos para o SharePoint.
Autenticação e autorização
O SharePoint dá suporte à segurança para acesso do usuário no site, lista, pasta da lista ou biblioteca e níveis de item. O gerenciamento de segurança é baseado na função em todos os níveis, fornecendo o gerenciamento de segurança coerente entre a plataforma do SharePoint com um modelo de objeto e interface de usuário consistente baseado na função para atribuir permissões de objetos. Como resultado, a segurança a nível de lista, pasta ou item implementa o mesmo modelo de usuário que a segurança a nível de site da Web, tornando mais fácil gerenciar os direitos do usuário e os direitos do grupo em um site da Web. O SharePoint também dá suporte a permissões exclusivas em pastas e itens contidos em listas e bibliotecas de documentos.
Observação
Para obter informações sobre autorização relacionada a suplementos do SharePoint, consulte Autorização e autenticação de suplementos do SharePoint.
Autorização refere-se ao processo pelo qual o SharePoint fornece segurança para sites, listas, pastas ou itens determinando quais usuários podem executar ações específicas em determinado objeto. O processo de autorização pressupõe que o usuário já foi autenticado, o que se refere ao processo pelo qual SharePoint identifica o usuário atual. O SharePoint não implementa seu próprio sistema de gerenciamento de identidades ou autenticação, mas depende sistemas externos, seja a autenticação do Windows ou autenticação sem ser do Windows.
O SharePoint oferece suporte aos seguintes tipos de autenticação:
Windows: Todos os serviços de informações da Internet (IIS) e Windows integração opções de autenticação, incluindo Basic, Digest, certificados, gerente de LAN do Windows NT (NTLM) e Kerberos são suportadas. A autenticação do Windows permite que o IIS execute a autenticação para o SharePoint.
Para obter informações sobre como entrar no SharePoint usando o modo de declarações do Windows, confira Declarações de entrada: Entrar no SharePoint.
Importante
Para saber mais sobre como suspender a representação, confira Evitar a suspensão da representação do usuário que está chamando.
Formulários ASP.NET: suporte para um sistema de gerenciamento de identidades não Windows que usa o sistema conectável de autenticação baseada em formulários do ASP.NET. Esse modo permite que o SharePoint trabalhe com uma variedade de sistemas de gerenciamento de identidade, incluindo grupos ou funções definidas externamente, como protocolo LDAP e sistemas de gerenciamento de identidades de banco de dados leves. A autenticação de formulários permite que o ASP.NET realize a autenticação do SharePoint, que geralmente envolve um redirecionamento para uma página de logon. No SharePoint, os Formulários ASP.NET têm suporte apenas na autenticação de declarações. Um provedor de formulários deve ser registrado em um aplicativo Web configurado para declarações.
Para obter informações sobre como entrar no SharePoint usando ASP.NET associação e entrada passiva de função, confira Declarações de entrada: Entrar no SharePoint.
Observação
O SharePoint não oferece suporte ao trabalho com um provedor de associação que diferencia maiúsculas de minúsculas. Ele usa armazenamento SQL sem distinção entre maiúsculas e minúsculas para todos os usuários no banco de dados, independentemente do provedor de associação.
Identidade e autenticação baseadas em declarações
Identidade baseada em declarações é um modelo de identidade no SharePoint que inclui recursos como a autenticação entre usuários de sistemas baseados no Windows e sistemas que não são baseados no Windows, vários tipos de autenticação, a autenticação forte em tempo real, um conjunto maior de tipos principais e delegação de identidade do usuário entre os aplicativos.
Quando um usuário entra no SharePoint, o token do usuário é validado e, em seguida, usado para entrar SharePoint. O token do usuário é um token de segurança emitido por um provedor de declarações. Estes são os modos de sign-in ou acesso suportados:
Windows - modo de declarações entrar (padrão)
Modo de entrada passivo SAML
Associação do ASP.NET e função passiva sign-in
Windows - de modo clássico entrar (preterido nesta versão)
Observação
Para obter mais informações sobre como entrar no SharePoint e nos diferentes modos de entrada, confira Declarações de entrada: Entrar no SharePoint.
Quando você cria aplicativos com reconhecimento de declarações, o usuário apresenta uma identidade ao seu aplicativo como um conjunto de declarações. Uma declaração poderia ser o nome do usuário, outro pode ter um endereço de email. A idéia aqui é que um sistema de identidade externo está configurado para dar seu aplicativo todas as informações necessárias sobre o usuário com cada solicitação, juntamente com criptográfica garantia de que os dados de identidade recebidos pelo seu aplicativo vêm de uma fonte confiável.
Sob esse modelo, serviço single sign-on é muito mais fácil atingir e seu aplicativo não é mais responsável pelo seguinte:
Autenticação de usuários
Armazenando contas de usuário e senhas
Chamar para diretórios corporativos para pesquisar os detalhes de identidade do usuário
Integração com sistemas de identidade de outras plataformas ou empresas
Sob esse modelo, seu aplicativo toma decisões relacionadas à identidade com base em declarações fornecidas pelo usuário. Isso pode ser qualquer tarefa de personalização do aplicativo simples com o nome do usuário, para autorizar o usuário acessar os recursos de alto valor e recursos em seu aplicativo.
Observação
Para obter mais informações sobre provedores de declarações e identidade baseada em declarações, consulte Identidade baseada em declarações e conceitos no Provedor de Declarações e SharePointno SharePoint.
Autenticação baseada em formulários
A autenticação baseada em formulários fornece gerenciamento de identidade personalizado no SharePoint implementando um provedor de associação, que define interfaces para identificar e autenticar usuários individuais, e um gerenciador de funções, que define interfaces para agrupar usuários individuais em grupos ou funções lógicos. No SharePoint, um provedor de associação deve implementar o método System.Web.Security.Membership.ValidateUser necessário. Dado um nome de usuário, o sistema do provedor de funções retorna uma lista de funções às quais o usuário pertence.
O provedor de associação é responsável por validar as informações de credencial usando o método System.Web.Security.Membership.ValidateUser (necessário agora no SharePoint). Porém, o token de usuário real é criado pelo serviço de token de segurança (STS). O STS cria o token de usuário do nome de usuário validado pelo provedor de associação e do conjunto de associações de grupo associado com o nome de usuário que são fornecidos pelo provedor de associação.
Observação
Para obter mais informações sobre STS, consulte Identidade e conceitos baseados em declarações no SharePoint.
O gerenciador de funções é opcional. Se um sistema de autenticação personalizado não oferecer suporte a grupos, um gerenciador de funções não será necessário. O SharePoint oferece suporte a um provedor de associação e um gerenciador de funções por zona de URL (SPUrlZone). As funções de formulários ASP.NET não têm direitos inerentes associados a elas. Em vez disso, o SharePoint atribui direitos às funções dos formulários por meio de suas políticas e autorização. No SharePoint, a autenticação baseada em formulários é integrada ao modelo de identidade baseada em declarações. Se você precisar de aumento adicional para contornar o limite de ter um provedor de função por zona de URL, poderá confiar nos provedores de declarações.
Observação
Para obter mais informações sobre provedores de declarações e identidade baseada em declarações, consulte Identidade baseada em declarações e conceitos no Provedor de Declarações e SharePointno SharePoint.
Em associação do ASP.NET e função passiva sign-in, o sign-in acontece redirecionando o cliente para uma página da Web que hospedam os controles de logon do ASP.NET. Depois que o objeto de identidade que representa uma identidade de usuário é criado, o SharePoint o converte em um objeto ClaimsIdentity (que representa uma representação baseada em declarações de um usuário).
Observação
Para obter mais informações sobre como entrar no SharePoint, confira Declarações de entrada: Entrar no SharePoint.
O SharePoint consome a interface padrão do provedor de funções do ASP.NET para reunir informações de grupo sobre o usuário atual. Para fins de autenticação, funções e grupos são a mesma coisa: uma maneira de agrupar usuários em conjuntos lógicos para autorização. Cada função ASP.NET é tratada como um grupo de domínio pelo SharePoint.
Para saber mais sobre a estrutura de autenticação conectável fornecida por ASP.NET, confira a documentação de desenvolvedor do ASP.NET.
Observação
Para obter mais informações sobre autenticação baseada em formulários, consulte Autenticação do Forms em produtos e tecnologias do SharePoint (Parte 1): Introdução.