microsoft word - plan for...

Planejamento de autenticação para o OfficeSharePoint Server 2007

Microsoft Corporation

Resumo

Este artigo descreve os métodos de autenticação que contam com o suporte do Microsoft Office SharePoint Server 2007, discutindo as configurações de autenticação que precisam ser planejadas para aplicações Web individuais no Microsoft Office SharePoint Server 2007. Inclui tambémexemplos de controles de configuração para várias autenticações de formulários e provedores de autenticação SSO (single sign-on) Web.

As informações contidas neste documento representam a visão atual da Microsoft Corporation sobre as questões discutidas até a data de publicação. Como a Microsoft deve responder às condições modificáveis do mercado, elas não devem ser interpretadas como compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão das informações apresentadas depois da publicação.

Este White Paper é apenas para fins informativos. A MICROSOFT NÃO FAZ GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, QUANTO ÀS INFORMAÇÕES DESTE DOCUMENTO.

A conformidade com todas as leis aplicáveis de direitos autorais é de responsabilidade do usuário. Sem limitar os direitos protegidos pelos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou apresentada a um sistema de recuperação, ou transmitida, de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocopiador, gravador ou outros), ou por qualquer finalidade, sem a permissão expressa por escrito da Microsoft Corporation.

A Microsoft pode possuir patentes, aplicações patentes, marcas registradas, direitos autorais ou outros direitos de propriedade intelectual que abordem os assuntos deste documento. Excetuando-se o que se encontra expressamente fornecido em qualquer contrato de licença por escrito, os complementos deste documento não provêm quaisquer licenças a essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual.

A menos que seja notificado, os exemplos de empresas, organizações, produtos, nomes de domínios, endereços de e-mail, logotipos, pessoas, locais e eventos aqui descritos são fictícios e não estão associados a qualquer empresa, organização, produto, nome de domínio, endereço dee-mail, logotipo, pessoa, local e evento reais.© 2007 Microsoft Corporation. Todos os direitos reservados.

Microsoft, Excel, SharePoint, Visual Studio e Windows são marcasregistradas ou apenas marcas da Microsoft Corporation nos EstadosUnidos e/ou outros países.Todas as outras marcas registradas pertencem a seus respectivos proprietários.

Traduzido por Francisco Baddini, Junho de 2007

Índice

Planejamento de métodos de autenticação ........................................................ 4Sobre a autenticação .................................................................................. 4Métodos de autenticação com suporte ........................................................... 4Configure a autenticação ............................................................................. 5Escolha métodos de autenticação permitidos em seu ambiente ...................... 15Planilha ................................................................................................... 20

Planejamento das configurações de autenticação para aplicações Web no OfficeSharePoint Server ........................................................................................ 22

Planejamento de configurações de autenticação ........................................... 22Planejamento de exclusões de autenticação ................................................. 26Planilha ................................................................................................... 27

Exemplos de autenticação ............................................................................. 28Provedor de associação SQL ...................................................................... 28Provedor de associação do Active Directory ................................................. 30Provedor de associação LDAP ..................................................................... 32SSO Web com AD FS ................................................................................ 33

• Anônimo

• Básico

• Digest

• Certificados

• Kerberos (Windows

Planejamento de métodos de autenticaçãoEste capítulo descreve os métodos de autenticação que contam com o suporte do Microsoft OfficeSharePoint Server 2007. Após ler este capítulo, você será capaz de:• Compreender como a autenticação é implementada no Office SharePoint Server 2007.• Identificar os métodos de autenticação apropriados para o seu ambiente.

Sobre a autenticaçãoAutenticação é o processo de validação de identidade de um usuário. Depois que a identidade de um usuário é validada, o processo de autorização determina quais os sites, conteúdos e outros recursos que podem ser acessados pelo usuário.No Office SharePoint Server 2007, o processo de autenticação é gerenciado pelo InternetInformation Services (IIS). Após o IIS realizar a autenticação dos usuários, os recursos de segurança do Office SharePoint Server 2007 executam o processo de autorização.Para mais informações sobre a implementação de autorização no Office SharePoint Server 2007, visite Planejamento da segurança de sites e conteúdos em h t tp:/ / t e c h n e t 2 . m i c r o so f t . c o m/ O f f i ce / e n - u s / li b r a r y/ 8 5 a 1 866 e -2 7 43- 4 f 9 8 - a 1 a c - 9 e a 6 1 90 5 c 6 d4 1 03 3 . ms p x . Planejar a autenticação é importante não só para proteger sua solução, por meio da validação das identidades dos usuários, mas também para dar segurança às credenciais de usuários na rede.

Métodos de autenticação com suporteO Office SharePoint Server 2007 fornece um sistema de autenticação flexível e ampliável, o qual oferece suporte de autenticação para sistemas de gerenciamento de identidades, baseados ou não no sistema operacional Microsoft Windows. Ao integrar-se à autenticação conectável ASP .NET, o Office SharePoint Server 2007 oferece suporte a uma variedade de métodos de autenticação baseados em formulários. O suporte de autenticação do Office SharePoint Server 2007 permite vários cenários de autenticação, incluindo:• Utilização de métodos padrões de autenticação Windows.• Emprego de uma base de dados simples de nomes de usuários e senhas.• Conexão direta ao sistema de gerenciamento de identidades de uma empresa.• Utilização de dois ou mais métodos de autenticação para acesso às aplicações de parceiros (por

exemplo: conectar-se ao sistema de gerenciamento de identidades da empresa parceira para autenticar os funcionários daquela empresa, ao mesmo tempo em que se utiliza os métodos de autenticação do Windows para autenticar os funcionários internos).

• Participação nos sistemas de gerenciamento federados.O quadro a seguir lista os métodos de autenticação com suporte:Método deautenticação Descrição Exemplos

Windows Os métodos padrões de autenticação IIS Windowsrecebem suporte.

http://technet2.microsoft.com/Office/en-us/library/85a1866e-2743-4f98-a1ac-9ea61905c6d41033.mspx

http://technet2.microsoft.com/Office/en-us/library/85a1866e-2743-4f98-a1ac-9ea61905c6d41033.mspx

Integrado)

• NTLM (WindowsIntegrado)

•

• Protocolo de Acesso a Diretório dePouco Peso (LDAP)

• Base de dados SQL ou outras bases de dados

• Outras soluções de autenticação de formas baseadas em ASP.NET

• Active DirectoryFederation Services(AD FS)

• Outros sistemas degerenciamento deidentidades

Método deautenticação Descrição Exemplos

FormuláriosASP.NET

O Office SharePoint Server 2007 oferece suporte aos sistemas de gerenciamento de identidades que não sejam baseados no Windows, por meio da integração com o sistema de autenticação de formuláriosASP.NET. A autenticação ASP.NET permite que o Office SharePoint Server 2007 trabalhe com sistemas de gerenciamento de identidades, que implementam a interface MembershipProvider. Não é preciso que você reescreva as páginas de administração de segurançaou gerencie as contas de serviço de diretórios sombrasdo Active Directory.

Web SingleSign-On (SSO)

O Office SharePoint Server 2007 oferece suporte àautenticação federada, através dos fabricantes de SSOWeb. O SSO Web ativa o SSO em ambientes queincluam serviços executados em plataformas distintas.Você não precisa gerenciar diferentes contas do ActiveDirectory.

Autenticação de contas de sistemasA autenticação de formulários ASP.NET e SSO Web podem ser utilizados para autenticar contas de usuários únicos. As contas de processo utilizadas para realizar a conexão com o software da basede dados do Microsoft SQL Server e executar o farm Web, precisam ser contas Windows, mesmo quando forem empregados métodos alternativos de autenticação para autenticar usuários.

O Office SharePoint Server 2007 oferece suporte à autenticação SQL Server e às contas deprocesso de computadores locais, para farms que não estejam executando o Active Directory. Por exemplo:você pode implementar contas locais utilizando nomes de usuários e senhas idênticas em todos os servidores de um farm.

Configure a autenticaçãoEmbora a configuração da autenticação Windows seja um processo simples, configurar a autenticação para utilizar os formulários ASP.NET ou SSO Web pode exigir um maior planejamento. Esta seção fornece um resumo de como a autenticação é configurada no Office SharePoint Server 2007. Essas informações lhe ajudarão a compreender como realizar uma estratégia de autenticação para sua solução e a determinar quem deverá participar do planejamento de autenticação em sua empresa.

Configure a autenticação para as aplicações SharePointWebA autenticação no Office SharePoint Server 2007 é configurada no nível de aplicação Web SharePoint. O diagrama a seguir mostra um farm do servidor SharePoint Services, configurado para hospedar os sites de uma variedade de empresas. A autenticação é configurada separadamente para cada empresa.

Quando você inicia a criação ou ampliação uma aplicação Web, um número limitado de opções de autenticação (Kerberos, NTLM e anônima) lhe é apresentado. Caso utilize alguns destes métodos, você pode configurar a autenticação ao criar ou ampliar a aplicação Web.A ilustração a seguir mostra as escolhas limitadas de autenticação disponíveis, ao iniciar a criação ou ampliação de uma aplicação Web:

Entretanto, caso esteja utilizando diferentes configurações de autenticação, selecione as opçõespadrões de autenticação, e então configure a autenticação após criar ou ampliar a aplicação Web. (Para fazê-lo, em Central Administration, na página Application Management, na seçãoApplication Security, selecione Authentication providers e, em seguida, clique na zona para abrir a página Edit Authentication.) As configurações desta página dependem do tipo de autenticação que é selecionado: Windows, formulários ou SSO Web.A ilustração a seguir mostra a página Edit Authentication:

Dependendo das escolhas de autenticação que forem selecionadas na Central Administration, pode ser necessária uma configuração adicional. O quadro a seguir resume os passos de configuração baseados no método de autenticação. Este quadro também indica se são necessárias funções especializadas, além do SharePoint Administrator.

Método deAutenticação Configuração adicional Funções especializadas

Anônimo Nenhuma Nenhuma

Básico Nenhuma Nenhuma

Digest Configure a autenticação digest diretamente Nenhuma

1. Selecione autenticação Windows naCentral Administration.

2. Configure o IIS para autenticação de certificados.

3. Ative a Secure Sockets Layer (SSL).

4. Obtenha e configure certificados de uma autoridade certificadora (AC).

1. Configure a aplicação Web para utilizar a autenticação Kerberos.

2. Configure um Service Principal Name (SPN) para a conta de usuário do domínio, utilizada para a identidade do pool de aplicações (conta de processo do pool de aplicações).

3. Registre o SPN para a conta de usuário do domínio no Active Directory.

1. Registre o provedor de associação noarquivo Web.config para a aplicaçãoSharePoint Web.

2. Registre a função gerenciador noarquivo Web.config para a aplicaçãoSharePoint Web (opcional).

3. Registre o provedor de associação noarquivo Web.config para o site CentralAdministration.

• Desenvolvedor ASP.NET

• Administrador do sistemade gerenciamento deidentidades ao qual vocêesteja se conectando

• Desenvolvedor ASP.NET

• Administrador do sistema de gerenciamento de identidades ao qual você esteja se conectando

Método deAutenticação Configuração adicional Funções especializadas

no IIS.

Certificados Administrador do Windows Server 2003, para adquirir e configurar os certificados

NTLM (WindowsIntegrado)

Nenhuma Nenhuma

Kerberos (Windows Integrado)

Administrador IIS

Formulários

SSO Web Além dos passos de configuração exigidos para a autenticação de formulários ASP.NET, registre um módulo HTTP para o provedor SSO Web.

• GetUser (String) O Office SharePoint Server 2007 utiliza este método paradeterminar nomes de usuários durante os convites e para obter o display donome de usuário.

• GetUserNameByEmail O Office SharePoint Server 2007 utiliza este métodopara determinar os nomes de usuários em convites.

Conecte-se a sistemas de gerenciamento de identidadesexternos ou não baseados no WindowsPara utilizar os formulários ASP.NET ou SSO Web na autenticação de usuários em um sistema de gerenciamento de identidades externo ou não baseado no Windows, você precisa registrar oprovedor de associação no arquivo Web.config. Além de registrar um provedor de associação, você também pode registrar um gerenciador de função. O Office SharePoint Server 2007 utiliza ainterface de gerenciador de função padrão ASP.NET para agrupar as informações do usuário atual.

Cada função ASP.NET é tratada como um grupo de domínio pelo processo de autorização no Office SharePoint Server 2007. Você registra gerenciadores de funções no arquivo Web.config da mesma forma que registra os provedores de associação para a autenticação.Caso deseje gerenciar a associação de um usuário ou as funções a partir do site CentralAdministration, você tem a opção de registrar o provedor de associação e o gerenciador de função do arquivo Web.config para o site Central Administration (além de registrá-los no arquivoWeb.config para a aplicação Web que hospeda o conteúdo).

Certifique-se de que o nome do provedor de associação e o nome do gerenciador de função, que foram configurados no arquivo Web.config sejam os mesmos que os nomes digitados na página Administration Authentication.aspx. Caso você não digite o gerenciador de função no arquivo Web.config, também pode utilizar o provedor padrão, especificado no arquivo machine.config.Por exemplo: a seqüência seguinte em um arquivo Web.config especifica um provedor deassociação SQL:<membership defaultProvider="AspNetSqlMembershipProvider">

Para mais informações sobre a utilização da autenticação de formulários ASP.NET para conectar-sea um provedor de autenticação SQL, visite: exemplos de Autenticação .Para concluir, caso você esteja utilizando o SSO Web para conectar-se a um sistema de gerenciamento de identidades externo, precisa também registrar um módulo HTTP para o SSO Web. Um módulo HTTP é um componente chamado em todo pedido feito à sua aplicação. Os módulos HTTP são solicitados como parte do pipeline de pedidos do ASP.NET. Para mais informações, visite: Introdução aos Módulos http em h t tp:/ / go . m i c r os o f t . co m / f wl i n k / ? L i n k I d = 7 7 954 &c l c id = 0x 4 09 . A integração com a autenticação de formulários ASP.NET coloca requisitos adicionais no provedor de autenticação. Além de registrar a variedade de elementos no arquivo Web.config, o provedorde associação, o gerenciador de função e o módulo HTTP devem ser programados para interagircom os métodos do Office SharePoint Server 2007 e do ASP.NET, como indicado no quadro a seguir:Categoria Descrição

Provedor deassociação

Para trabalhar com o Office SharePoint Server 2007, o provedor de associaçãonecessita implementar os seguintes métodos:

http://go.microsoft.com/fwlink/?LinkId=77954&clcid=0x409


• RoleExists O Office SharePoint Server 2007 chama este método durante os convites para verificar a existência de um nome de função.

• GetRolesForUser O Office SharePoint Server 2007 chama este método no controle de acesso, a fim de coletar as funções para o usuário atual.

• GetAllRoles O Office SharePoint Server 2007 chama este método para preencher o grupo e o selecionador de função. Caso o selecionador de função não retorne nenhum grupo ou função, o selecionador do Office SharePoint Server 2007 não irá funcionar e o administrador terá que digitar o nome da função na caixa de texto Add User.

• AuthenticateRequest Este evento é chamado quando o ASP.NET estápronto para autenticar o usuário. O módulo SSO Web deve descompactar ocookie de autenticação do usuário e configurar o objeto HttpContext.Usercom a identidade do usuário atual.

• EndRequest Este é o último evento da pipeline ASP.NET. Este evento échamado pouco antes de retornar o código para o cliente. O módulo SSO Webprecisa capturar 401 respostas originárias do Office SharePoint Server 2007 etransformá-las em 302 redirecionadas para a autenticação no servidor delogon SSO Web.

Categoria Descrição

• FindUsersByName, FindUsersByEmail O Office SharePoint Server 2007utiliza estes métodos para preencher o comando de seleção de usuário napágina Adicionar Usuários. Caso o provedor de associação não retornenenhum usuário, o selecionador não irá funcionar e os administradores terãoque digitar o nome de usuário ou o endereço de e-mail na caixa de texto AddUser.

Gerenciador de função

O gerenciador de função deve implementar os seguintes métodos:

Módulo HTTP O módulo HTTP deve controlar os seguintes eventos:

Ativando o Acesso AnônimoVocê pode ativar o acesso anônimo para uma aplicação Web, além de configurar um método de autenticação mais seguro. Com esta configuração, os administradores de sites dentro da aplicação Web podem optar por ativar o acesso anônimo. Se os usuários anônimos quiserem ter acesso a recursos seguros e capacidades, eles podem clicar em uma tecla de logon para submeter suas credenciais.

Utilizando diferentes métodos de autenticação para acessar um siteNo Office SharePoint Server 2007, você pode configurar aplicações Web a serem acessadas por até cinco métodos de autenticação ou sistemas de gerenciamento de identidade diferentes. A figura a seguir ilustra uma aplicação de parceiro, configurada para ser acessada por usuários de dois sistemas de gerenciamento de identidade diferentes. Os funcionários internos sãoautenticados utilizando um dos métodos de autenticação padrão do Windows. Os funcionários da

empresa parceira são autenticados junto ao sistema de gerenciamento de identidade de suaprópria empresa.

Para configurar uma aplicação Web que será acessada por dois ou mais sistemas de autenticação diferentes, é preciso configurar zonas adicionais para a aplicação Web. As zonas representam diversos caminhos lógicos de acesso para a mesma aplicação física. Com uma aplicação típica do parceiro, os profissionais de uma empresa parceira acessam a aplicação através da Internet, enquanto os funcionários internos têm acesso direto à aplicação, através da intranet.

Para criar uma nova zona, amplie a aplicação Web. Na página Extend Web Application to AnotherIIS Web Site, na seção Load Balanced URL, especifique a URL e o tipo de zona. O tipo de zona é simplesmente um nome de categoria aplicado à zona; ele não afeta sua configuração. Apósampliar a aplicação Web, você pode configurar um outro método de autenticação para a nova zona. A figura a seguir mostra a página Authentication Providers, para uma aplicação Web configurada com a utilização de duas zonas distintas. A zona padrão é aquela utilizada pelos funcionários internos. A zona Internet é configurada para o acesso dos parceiros e utiliza formulários ASP.NET para autenticar funcionários junto ao sistema de gerenciamento de identidade para parceiros.

Requisitos de autenticação para catalogagem deconteúdosPara realizar com sucesso o catalogagem de conteúdos em uma aplicação Web, é necessário compreender os requisitos de autenticação do componente índice do servidor índice (também conhecido como crawler ou catalogador). Esta seção descreve como os administradores de farms podem configurar a autenticação para suas aplicações Web, de tal forma que o conteúdo de tais aplicações Web possa ser catalogado com sucesso.

Quando um administrador de farm cria uma aplicação Web utilizando todas as configurações padrões, a zona padrão para aquela aplicação Web é configurada para utilizar NTLM. O administrador do farm pode alterar o método de autenticação de zona padrão para qualquer método de autenticação que tenha o suporte do Office SharePoint Server 2007.O administrador de farm pode também ampliar uma aplicação Web por uma ou mais vezes, a fimde ativar zonas adicionais. Até cinco zonas podem ser associadas a uma determinada aplicação Web, e cada zona pode ser configurada para utilizar qualquer método de autenticação que conte com o suporte do Office SharePoint Server 2007.

Por padrão, o catalogador utiliza NTLM para catalogar conteúdos. Um administrador SSP (Shared Services Provider) pode também criar uma regra de catalogagem que configure o catalogador para utilizar a autenticação básica, ou um certificado de cliente, no lugar de NTLM, ao catalogar um determinado número de URLs.Para mais informações sobre as regras de catalogagem, visite: Planejamento de catalogagem de conteúdo .

Ordem de catalogagem de acesso às zonasAo planejar as zonas para uma aplicação Web, leve em consideração a ordem de chamada pela qual o catalogador acessa as zonas para realizar a autenticação. A ordem de chamada é importante, pois se o catalogador encontrar uma zona configurada para utilizar autenticações Kerberos ou digest, a autenticação não terá sucesso e o catalogador não tentará acessar a próxima zona na ordem de chamada. Caso isto aconteça, o catalogador não irá catalogarconteúdos naquela aplicação Web.

Dica:Certifique-se de que o método de autenticação configurado para o catalogador esteja em posiçãoanterior na ordem de chamada do que uma zona configurada para autenticação Kerberos oudigest.

O catalogador chama as zonas na seguinte ordem:• Zona padrão• Zona Intranet• Zona Internet• Zona Personalizada• Zona ExtranetA figura a seguir mostra as decisões tomadas pelo sistema de autenticação, quando o catalogador faz a tentativa de autenticação:

O quadro a seguir descreve as ações associadas a cada chamada na figura:Chamada Ação

1 O catalogador tenta autenticar utilizando a zona padrão.

Observação:O catalogador sempre tenta utilizar a zona padrão em primeiro lugar, ao tentarrealizar a autenticação.

2 Caso os métodos de autenticação configurados para o catalogador e a zona sejam os mesmos, o catalogador é autenticado e prossegue para a fase de autorização.

3 Caso a zona esteja configurada para a autenticação Kerberos, a autenticação fracassae o catalogador não tenta realizar a autenticação utilizando outra zona. Isso significa

Chamada Ação

que o conteúdo não é catalogado.

4 Caso não haja mais nenhuma zona na ordem de chamada, a autenticação fracassa e o conteúdo não é catalogado.

5 O catalogador tenta realizar a autenticação utilizando a próxima zona na ordem dechamada.

Se você configurar a zona padrão para utilizar um método de autenticação sem suporte do catalogador - por exemplo: autenticação de formulários ou SSO Web – você precisa criar aomenos uma zona adicional e configurá-la para utilizar certificados, autenticação básica ou NTLM. Caso as autenticações básicas ou de formulários sejam utilizadas para catalogar a aplicação Web,o administrador Shared Services precisa criar uma regra de catalogagem, a fim de configurar o catalogador para utilizar o método de autenticação apropriado para a aplicação Web. Considere o cenário seguinte.

Cenário de autenticaçãoO administrador do farm cria uma aplicação Web, a qual configura para a autenticação de formulários. Como o administrador do farm deseja que o conteúdo da aplicação Web seja catalogado e indexado, e como se sabe que o catalogador requer uma zona configurada com NTLM, autenticação básica ou certificados, o administrador do farm amplia a aplicação Web e configura a zona intranet para utilizar NTLM.

Quando o catalogador tenta realizar a autenticação utilizando a zona padrão, o sistema de autenticação descobre que o catalogador e a zona não estão configurados para utilizar o mesmo método de autenticação. Como a zona não está configurada para autenticação Kerberos ou digeste existe pelo menos uma zona adicional na ordem de chamada, o catalogador tenta autenticar com o uso da zona intranet. Como a zona intranet está configurada para utilizar NTLM e o catalogador também, então a autenticação padrão pode ser efetuada com sucesso.

Observe que, caso o administrador do farm tenha configurado a zona intranet para a autenticação básica, em vez de NTLM, o administrador SSP precisa criar uma regra para configurar ocatalogador de maneira a utilizar a autenticação básica, enquanto estiver rastreando aquela aplicação Web. Caso contrário, a autenticação irá fracassar e o conteúdo não será catalogado.Da mesma forma, caso o administrador do farm tenha configurado a zona intranet para utilizar um certificado de cliente, o administrador SSP precisa criar uma regra de catalogagem para configuraro catalogador, de modo a utilizar um certificado cliente, enquanto estiver rastreando aquelaaplicação Web. Além disso, um administrador de servidor deve registrar o certificado cliente com o servidor índice. Caso contrário, a autenticação irá fracassar e o conteúdo não será catalogado.

Dica:O planejamento eficiente de autenticação para as aplicações Web e de catalogagem deconteúdos dessas aplicações Web exigem colaboração entre os administradores de farms, quecriam as aplicações Web, e os administradores SSP, que configuram o catalogador.

É preciso lembrar que, caso você configure uma zona para utilizar tanto a autenticação básicacomo os certificados, e deseja que o catalogador utilize aquela zona para autenticar, o

administrador SSP deve criar uma regra de catalogagem para configurar o catalogador, de modo autilizar o mesmo método de autenticação da zona com a qual você deseja que ocorra a autenticação.

Além de configurar corretamente o método de autenticação, é preciso certificar-se de que o catalogador está autorizado a catalogar os conteúdos inseridos na aplicação Web. O administrador SSP deve garantir que a conta de acesso do conteúdo tenha o nível de permissão para Leitura,para os conteúdos acessados através dessa zona. Isso é feito criando-se uma regra, a qualfornece à conta de acesso de conteúdos o nível de permissão para Leitura, em uma determinada aplicação Web.

Planejando zonas para seu projeto de autenticaçãoSe você planeja implementar mais de um método de autenticação para uma aplicação Web com a utilização de zonas, utilize as instruções a seguir:• Utilize a zona padrão para implementar suas configurações de autenticação mais seguras. Na

hipótese de um pedido não poder se associar a uma zona específica, as configurações de autenticação e outras políticas de segurança da zona padrão serão aplicadas. A zona padrão é aquela produzida durante a criação inicial de uma aplicação Web. Em geral, as configurações de autenticação mais seguras são projetadas para o acesso dos usuários finais. Desta forma, azona padrão poderá ser a zona acessada pelos usuários finais.

• Utilize a quantidade mínima de zonas exigida pela aplicação. Cada zona está associada a umnovo domínio e site IIS para acesso à aplicação Web. Adicione novos pontos de acesso somente quando forem exigidos.

• Se você deseja que o conteúdo inserido na aplicação Web seja incluído nos resultados de pesquisa, certifique-se que ao menos uma zona esteja configurada para utilizar a autenticação NTLM. A configuração NTLM é exigida pelo componente índice para o catalogagem deconteúdos. Não crie uma zona dedicada para o componente índice, a menos que seja necessário.

Escolha métodos de autenticação permitidos em seu ambienteAlém de compreender como é configurada a autenticação, seu planejamento inclui:• Considerar o contexto de segurança ou ambiente de sua aplicação Web no Office SharePoint

Server 2007.• Avaliar as recomendações e alternativas para cada método.• Compreender como as credenciais de usuário e dados relacionados a identidades são

armazenados e utilizados pelo Office SharePoint Server 2007.• Entender como são gerenciadas as contas de usuários.• Assegurar-se de que os métodos de autenticação são compatíveis com os navegadores

utilizados pelos seus usuários.

Planilha

Utilize Authentication methods worksheet emh t tp:/ / go . m i c r os o f t . co m / f wl i n k / ? L i n k I d = 7 7 970 &c l c id = 0x 4 0 9 p a ra identificar os métodos deautenticação apropriados ao seu ambiente e para anotar suas decisões e recomendações para


Planilha

cada um deles. Esta planilha será utilizada no planejamento de métodos de autenticação paraaplicações Web individuais no Office SharePoint Server 2007.

Recomendações para ambientes de segurança específicaSua escolha entre os métodos de autenticação dependerá, em primeiro lugar, do contexto de segurança de sua aplicação. O quadro a seguir fornece recomendações baseadas nos ambientesde segurança mais comuns:Ambiente Considerações

Intranet interna No mínimo, proteja as credenciais de usuários da visão total. Integre-se com osistema de gerenciamento de usuários implementado em seu ambiente. Se oActive Directory estiver implementado, utilize os métodos de autenticaçãoWindows existentes no IIS.

Colaboração de segurança externa

Configure uma zona separada para cada empresa parceira que tenha conexão com o site. Utilize o SSO Web para realizar a autenticação junto ao sistema de gerenciamento de identidades de cada parceiro. Isso elimina a necessidade de criar contas em seu próprio sistema de gerenciamento de identidades, além de assegurar que as identidades dos colaboradores continuem a ser mantidas e validadas pelos funcionários da empresa parceira. No caso de um colaborador desligar-se da empresa parceira, ele não poderá mais ter acesso às aplicaçõesda mesma.

Anônimoexterno

Ative o acesso anônimo (sem autenticação) e conceda permissões SomenteLeitura para usuários conectados à Internet. Se desejar fornecer conteúdosdirecionados ou baseados em funções, você pode utilizar a autenticação deformulários ASP.NET. Assim, você registra os usuários por meio de uma base dedados simples, contendo os nomes de usuários e funções. Utilize o processo deregistro para identificar os usuários por função (ex.: médico, paciente oufarmacêutico). No momento em que os usuários efetuarem o logon, seu sitepode apresentar o conteúdo específico para sua função. Neste cenário, aautenticação não é utilizada para validar credenciais ou para limitar o acesso aoconteúdo; o processo de autenticação simplesmente fornece um método dedirecionamento de conteúdo.

Recomendações e opções de métodos de autenticaçãoA compreensão das vantagens, recomendações e opções para cada método de autenticação específico pode ajudá-lo a definir quais deles se adaptam ao seu ambiente. O quadro a seguir destaca as recomendações e opções para cada método de autenticação. Para mais informações sobre cada um dos métodos de autenticação Windows com suporte IIS, visite:Autenticação IIS em htt p://g o. mic ros oft .c om/f wlink /? Link I d= 780 66&c lc id=0 x4 09.

Método deautenticação Vantagens e recomendações Opções


• Faça a autenticação utilizando suascontas no Active Directory.

• Simplifique o gerenciamento deusuário.

• Tire proveito dos grupos do ActiveDirectory ao configurar a autorizaçãodo Office SharePoint Server 2007.

• Evite escrever o códigopersonalizado.

• Cada um dos métodos tem seusprós e contras.

• Alguns protocolos deautenticação IIS não contamcom o suporte de todos osnavegadores da Web.

• Instale o Office SharePoint Server2007 em um ambiente que nãoutilize o Active Directory (não requer contas Windows).

• Faça a autenticação em dois ou mais sistemas distintos de gerenciamento de identidades, ao criar aplicações para parceiros.

• Implemente um projeto de autenticação personalizada, utilizando critérios irrestritos.

• Autentique usuários da Internet.

• Requer personalização do arquivo Web.config.

• Sujeito a repetir ataques de cookies permanentemente, a não ser que se utilize o SSL Transport Layer Security (TLS).

• Implemente o Office SharePointServer 2007 em um ambiente queutilize autenticação federada paraproteger identidades digitais nasempresas e ambientes de segurança.

• Implemente o Office SharePointServer 2007 em um ambiente queforneça SSO para serviçosexecutados em plataformas distintas,inclusive ambientes que não utilizemo Active Directory.

• Tire proveito do AD FS.

• Autentique em dois ou mais sistemasde identidade distintos, ao criaraplicações para parceiros.

• Requer um sistema deautenticação federado jáexistente.

• Requer personalização doarquivo Web.config.

• O AD FS requer o SSL. Outrossistemas SSO podem exigiroutros requisitos.

Método deautenticação Vantagens e recomendações Opções

Windows

FormuláriosASP.NET

SSO Web

Gerenciamento de informações de identidades deusuáriosA maneira pela qual as credenciais de usuários, além de outras informações sobre identidades são processadas e utilizadas pelo Office SharePoint Server 2007 pode influenciar sua decisão sobrequal opção de autenticação atenderá às suas necessidades. Esta seção fornece informações detalhadas sobre como as informações de identidades de usuários são processadas, nas seguintes categorias:

• Binary IDs Como são criados ou utilizados os identificadores binários (IDs) pelo OfficeSharePoint Server 2007.

• Caching O processo de retenção da identidade do usuário por um período de tempo, a fim de evitar a repetição do processo de autenticação a cada pedido..

• Role and group membership Além de determinar quem são os usuários, o processo de autenticação também determina os grupos ou funções dos quais o usuário faz parte. Esta informação é utilizada durante o processo de autorização para determinar quais ações são permitidas aos usuários. Por razão da autorização, o Office SharePoint Server 2007 trata os grupos do Active Directory e as funções ASP.NET como um mesmo tipo de entidade.

O quadro a seguir mostra em detalhes como o Office SharePoint Server 2007 gerencia os IDsbinários de usuários, seus dados em cache, e os dados de associação de grupo e função, dependendo de qual método de autenticação é utilizado:Ítem Autenticação Windows Formulários ASP.NET e SSO Web

IDs binários O Office SharePoint Server 2007utiliza o identificador desegurança (SID)do Windows.

O Office SharePoint Server 2007 cria um IDbinário exclusivo, combinando os nomes doprovedor e do usuário.

Caching As credenciais de usuários são armazenadas e gerenciadas pelo IIS, pelo Internet Explorer e pelo Windows.

O ASP.NET utiliza um cookie criptografado para manter as credenciais do usuário pela duração de uma sessão.

Associaçãode função egrupo

O Windows mantém a lista dosgrupos de domínio do ActiveDirectory, aos quais o usuáriopertence, no token de acesso. OOffice SharePoint Server 2007utiliza as informaçõesarmazenadas (cached) no tokende acesso.

Quando um gerenciador de função é registrado,o Windows SharePoint Services utiliza ainterface de gerenciamento de função padrão, afim de coletar informações de grupo sobre ousuário atual. Cada função ASP.NET é tratadacomo um grupo de domínio pelo processo deautorização. O ASP.NET pode fazer o cache dasfunções pertencentes ao usuário em umcookie, dependendo das configurações doarquivo Web.config.

Gerenciamento de contas de usuáriosCompreender como o Office SharePoint Server 2007 lida com as típicas tarefas de gerenciamento de contas de usuários pode também influenciar sua escolha de método de autenticação. Normalmente, os usuários membros de um provedor de autenticação em determinada zonapodem gerenciar contas em todas as zonas, desde que recebam permissões para isso. As informações da lista a seguir se aplicam a qualquer método de autenticação implementado:

• Adding and inviting new users Você pode adicionar ou convidar um novo usuário dequalquer zona e de qualquer dos métodos de autenticação configurados, se o provedor de associação e o gerenciador de função estiverem registrados no arquivo Web.config atual.Quando você adiciona um novo usuário, o Office SharePoint Server 2007 determina o nome de usuário de acordo com as seguintes fontes e na seguinte ordem:

• O quadro UserInfoList, armazenado pelo Office SharePoint Server 2007. As informaçõesdos usuários estarão nesta lista caso os usuários já tenham sido adicionados a outro site.

• O provedor de autenticação configurado para a zona atual. Por exemplo: se um usuário for membro do provedor de autenticação configurado para a zona padrão, o Office SharePoint Server 2007 irá verificar primeiro esse provedor de associação.

• Todos os outros provedores de autenticação.• Deleting users Contas de usuários são marcadas como apagadas na base de dados do

Office SharePoint Server 2007. Porém, o registro de usuário não é removido.Conforme o provedor de autenticação, alguns comportamentos de gerenciamento de contas de usuários apresentam diferenças no Office SharePoint Server 2007. O quadro a seguir destaca muitas tarefas comuns de contas de usuários, as quais apresentam diferenças, dependendo do método de autenticação implementado:

Tarefa Contas autenticadas WindowsFormulários ASP.NET -autenticados e SSO Web –contasautenticadas

Adicionando econvidandonovosusuários

O Office SharePoint Server 2007 valida asidentidades de usuários através do ActiveDirectory.

O Office SharePoint Server 2007chama o provedor de associação e ogerenciador de função para verificar aexistência do usuário e da função.

Mudanças de nomes para logon

Os nomes atualizados de usuários são reconhecidos automaticamente pelo Office SharePoint Server 2007. Novas entradas não são adicionadas ao quadro UserInfoList.

Você deve apagar o nome antigo de conta e então adicionar o nome novo. As permissões não podem ser migradas.

Fazendo ologon

Se a autenticação integrada do Windows(Kerberos ou NTLM) está sendo utilizadae o navegador está configurado pararealizar o logon automático, os usuáriosnão precisam efetuar o logon para ossites SharePoint manualmente. Porpadrão, o Internet Explorer estáconfigurado para efetuar o logonautomático aos sites intranet. Caso hajauma solicitação de logon (por exemplo:sites que requerem um conjuntodiferente de credenciais), os usuáriosprecisam fornecer somente um nome deusuário e uma senha. Entretanto, se aautenticação básica estiver sendoutilizada, ou o usuário estiver usando umnavegador não configurado para o logon

O Office SharePoint Server 2007fornece uma página de logon padrãopara ser utilizada com a autenticaçãode formulários. Esta página inclui osseguintes campos: nome de usuário,senha, login automático (paracontinuar o cookie). Você pode criarsua própria página de logon, paraincluir controles adicionais de logon(por exemplo: criar uma nova conta,ou alterar a senha).

Tarefa Contas autenticadas WindowsFormulários ASP.NET -autenticados e SSO Web –contasautenticadas

automático, é possível que os usuáriostenham que fornecer credenciais paralogon ao acessar o site SharePoint.

Suporte para o navegadorNem todos os navegadores trabalham com cada um dos métodos de autenticação com suporte. Antes de escolher os métodos de autenticação adequados ao seu ambiente, defina quais os navegadores que precisam de suporte. Em seguida, defina os métodos de autenticação que têm suporte dos navegadores. O Internet Explorer trabalha com todos os métodos de autenticaçãocom suporte. Entre os outros navegadores, que contam com o suporte do Office SharePoint Server2007, estão:• Netscape 8.0• Netscape 7.2• Mozilla 1.7.12• Firefox 1.5• Safari 2.02

PlanilhaUtilize a planilha abaixo para anotar quais métodos de autenticação são adequados para o seu ambiente:• Planilha de métodos de autenticação

(h t t p:/ / g o . m i c r o so f t . c o m/ f wli n k / ? L i n k I d = 779 7 0 &c l c i d = 0 x 4 0 9 ) O quadro a seguir representa um exemplo de uma planilha completa:Método deautenticação Permitir Não

permitir Observações e recomendações

Anônimo x

Básico x

Digest x

Certificados x

NTLM (WindowsIntegrado)

x "Utilize NTLM para todos os sites de departamentos,exceto o financeiro."


x "Utilize a autenticação Kerberos para sites com contrato de serviço de alto nível de segurança."

FormuláriosASP.NET

x "Utilize a autenticação de formulários para permitir oacesso da empresa parceira aos sites hospedados naextranet parceira. Atualmente, á permitida a autenticaçãonos seguintes sistemas de gerenciamento de identidades:Active Directory e LDAP. Trabalhe com Sidney Higa para


Método deautenticação Permitir Não

permitir Observações e recomendações

desenvolver configurações de autenticação utilizadas coma autenticação de formulários."

SSO Web x "Utilize este método para aplicações de parceiros somente se uma empresa parceira estiver participando dossistemas de gerenciamento de identidades federados. Veja David Jones para mais informações."

Observações adicionais:"Trabalhe com Denise Smith para finalizar todas as configurações de autenticação das aplicações Web SharePoint antes de implementá-las."

1. Selecione autenticação Windows na CentralAdministration.

2. Configure Internet Information Services(IIS) para certificados.

3. Ative a Secure Sockets Layer (SSL).

4. Obtenha e configure certificados de umaautoridade certificadora (CA).

Planejamento das configurações de autenticação paraaplicações Web no Office SharePoint ServerEste capítulo discute as configurações de autenticação que precisam ser planejadas para aplicações Web individuais no Microsoft Office SharePoint Server 2007. Use este capítulo com: Planilha de configurações de autenticação de aplicação da web(ht tp:// go. m icros of t.co m/ fw lin k/? Lin kID =7 333 4&c lc id= 0x 409 ). Preencha uma planilha separadapara cada um dos seguintes elementos, que fazem parte de seu projeto de solução no OfficeSharePoint Server 2007:• Aplicações Web novas ou ampliadas no Office SharePoint Server 2007.• Zonas adicionais inseridas em uma aplicação Web (outras além da zona padrão). Incluir zonas

criadas para a conta de busca.

Planejamento de configurações de autenticaçãoEsta seção discute cada uma das configurações da página Edit Authentication, do site SharePoint Central Administration. Para chegar a esta página, em Application Management, na seção Application Security, clique em Authentication providers. Clique a zona para a qual deseja modificar as configurações. A página Edit Authentication aparece.Conforme as opções de autenticação que você escolher, será possível especificar suas configurações diretamente, no momento em que criar ou ampliar a aplicação Web no Office SharePoint Server 2007. Porém, quando você cria ou amplia uma aplicação Web, nem todas as opções estão disponíveis. Caso não seja possível configurar a autenticação quando você criar ou ampliar a aplicação Web, você pode inicialmente aceitar as configurações padrões, para depois editá-las na página Edit Authentication.

Tipo de autenticaçãoEscolha o método que deseja utilizar. Caso planeje permitir o acesso anônimo, em vez de implementar um método de autenticação listado nesta seção, selecione a autenticação Windows. Se você selecionar Windows, especifique o método de autenticação Windows na seção IIS Authentication Settings na página Edit Authentication. Se você selecionar Forms ou Websingle sign on, as opções na página Edit Authentication irão mudar para permitir que você digiteo nome de provedor de associação e o nome do gerenciador de função.Se quiser utilizar as autenticações de Certificados ou Kerberos, reveja o quadro seguinte, para

identificar os passos adicionais de configuração exigidos para configurar estes métodos.

Método deautenticação Configuração adicional Funções especializadas

Certificados Administrador MicrosoftWindows Server 2003, paraobter e configurarcertificados.

http://go.microsoft.com/fwlink/?LinkID=73334&clcid=0x409

1. Selecione autenticação Kerberos na CentralAdministration.

2. Configure um SPN (Service Principal Name)para a conta de usuário de domínio, utilizada para a identidade do pool de aplicações (conta de processo de pool de aplicações).

3. Registre o SPN para a conta de usuário de domínio no Active Directory.

Método deautenticação Configuração adicional Funções especializadas


Administrador IIS

Planilha

Anote a configuração adicional necessária na seção Additional Configuration , em: Planilha deconfigurações de autenticação de aplicação da web(h t tp: / / go . m i c r o s o f t . co m / f w l i n k / ? L i n k I D = 7 33 3 4 &c l c id = 0 x 40 9 ).

Acesso anônimoIndique se o acesso anônimo é permitido. Caso tenha selecionado Forms ou Web single sign-onna seção Authentication Type, selecione a caixa Enable anonymous access.

Integração do lado clienteVocê pode desativar a integração cliente, o que leva à remoção de recursos que iniciam as aplicações cliente. Esta é a melhor configuração para alguns cenários, como a publicação de conteúdos somente leitura na Web para acesso anônimo. Além disso, se você selecionar a autenticação de formulários ASP.NET ou a autenticação Web Single Sign-On (SSO), a integração cliente estará ajustada para Não como padrão.

Comportamentos previstos ao desativar a integração clienteQuando a integração cliente é desativada, os sites se comportam da seguinte maneira:• Os links que iniciam as aplicações clientes não ficam visíveis.• Os documentos são abertos no navegador. Os documentos não podem ser abertos por

aplicações clientes.• Os usuários não podem editar documentos no site diretamente das aplicações clientes.

Entretanto, os usuários podem efetuar o download do documento, editá-lo localmente, e então efetuar o upload do mesmo.

O quadro a seguir lista comandos e recursos específicos do menu, não disponíveis quando a

integração cliente estiver desativada.Categoria Comando ou recurso indisponível

Barras de ferramentas Novo documentoTrabalhar no Microsoft Office OutlookAbrir em Windows Explorer


• O provedor de autenticação suporta cookies persistentes.

• O usuário clica Sign me in automatically durante o log in.

Categoria Comando ou recurso indisponível

Exportar para planilhaAbrir com Programa de Base de Dados

Edição de documentos Editar nas aplicações Microsoft Office como Word e Excel.

Exibição Exibição ExplorerCriar uma exibiçãoAccess

Bibliotecas de fotos Upload múltiploEditar fotoEfetuar DownloadEnviar para

Biblioteca de slides Publicar slideEnviar para o Microsoft Office PowerPoint

Outras DiscussãoConectar-se ao Office Outlook

Comportamentos de métodos de autenticação específicosAssim como no cenário de implementação (como a publicação de conteúdos somente leitura), a escolha do método de autenticação pode determinar a maneira de configurar a integração cliente. Alguns métodos de autenticação comportam-se de formas diferentes em relação às aplicações clientes. Em alguns casos, o comportamento depende de saber se os navegadores clientes estão configurados para utilizar cookies persistentes ou por sessão.O quadro a seguir faz um resumo dos possíveis comportamentos da integração cliente, quandoutilizada com métodos de autenticação específicos.Método deautenticação Comportamento

Básico Os usuários recebem solicitação para digitar suas credenciais cada vez queacessam um documento. Outros recursos também podem exigir que ascredenciais sejam digitadas novamente.

Formulários ASP.NET e SSO Web

Se as seguintes condições forem reais, um cookie persistente será criado:

O cookie persistente é compartilhado por todas as aplicações que utilizam o mesmo armazenamento de cookies e o usuário pode abrir documentos nas aplicações clientes. O cookie persistente é criado com um intervalo de espera padrão de 30 minutos. Este tempo pode ser alterado, adicionando ouatualizando o parâmetro de intervalo de tempo no nó de formulários do arquivoWeb.config. Por exemplo:<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH"timeout="100" />Quando o cookie expira, a integração cliente cessa o trabalho. Se os usuários estiverem em um navegador, serão solicitados a digitar novamente as

Método deautenticação Comportamento

credenciais.Caso o provedor de autenticação não suporte cookies persistentes, ou o usuário não tenha clicado em Sign me in automatically no momento do log in, um cookie por sessão é utilizado. Um cookie por sessão é acessível somente pelo navegador. O usuário não poderá abrir documentos diretamente nas aplicações clientes.Se o provedor de autenticação não fornecer suporte para os cookiespersistentes ou eles não forem permitidos em seu ambiente, cancele a integração cliente. O Active Directory Federation Services (AD FS), por exemplo, não fornece suporte para cookies persistentes.

Anônimo Ao abrir um documento, os usuários são solicitados repetidamente a fornecersuas credenciais. Caso eles cliquem em Cancel 10 vezes na caixa de diálogo deautenticação, o site poderá abrir o documento utilizando a aplicação cliente.Devido a esta má experiência, é recomendado que a integração cliente sejacancelada para cenários de acesso anônimos.

Utilizando o sistema operacional Windows Vista com oInternet Explorer 7No Windows Vista, o Internet Explorer 7 inclui um recurso adicional de segurança, denominado modo protegido. Por padrão, o modo protegido está ativado para as zonas de Internet, Intranet e Sites Restritos. Como este recurso coloca os cookies persistentes em um local que previne o compartilhamento entre aplicações, a integração cliente não trabalha da forma pretendida.Para configurar o Internet Explorer 7 para trabalhar com a integração cliente, siga uma das seguintes opções:• Desative o modo protegido.• Se o modo protegido estiver ativado, adicione sites SharePoint à zona de sites Trusted no

Internet Explorer.Para informações sobre a desativação do modo protegido, visite “Configuring Protected Mode", em Entendendo e Trabalhando no Internet Explorer em Modo Protegido (h t tp:/ / go . m i c r os o f t . co m / f w l i n k / ? L i n k I d =7 8 09 8 & c l c id = 0 x 4 09 ).

Testando as configurações de integrações clientesSe estiver inseguro em relação à forma de configurar a integração cliente, teste os resultados em um ambiente de testes antes de implantar os sites. Se a configuração sofrer mudanças após seraplicada, os sites e as aplicações clientes podem comportar-se de maneira anormal.

Planilha

Na Planilha de configurações de autenticação de aplicação da web(h tt p :/ / g o . m i c r o so f t . c o m/ f wli n k / ? L i n k I D = 7 3 334 &c l c id= 0 x 4 09 ), na seção Enable Client

Integration, selecione Yes ou No.




Configurações para a autenticação de formuláriosASP.NET e SSO WebSe estiver implementando a autenticação de formulários ASP.NET ou SSO Web, você precisa desenvolver os controles de configurações para inseri-las nos arquivos Web.config aplicáveis. Vejaos Exemplos de autenticação para rever exemplos de seqüências configuradas de forma adequadapara vários cenários comuns.

Planilha

Na Planilha de configurações de autenticação de aplicação da web(h t tp:/ / go . m i c r o s o f t . co m / f w l i n k / ? L i n k I D = 7 33 3 4 &c l c id = 0 x 40 9 ), insira os dois tipos de informaçãoseguintes:• Name O nome do provedor de associação, do gerenciador de função, e do módulo HTTP (se

aplicável). Estes nomes aparecem no site Central Administration.

• Web.config configuration Cole na planilha as seqüências de configuração apropriadas.Estas seqüências podem ser copiadas da planilha para os arquivos Web.config, no momentoem que a aplicação Web for implantada.

Certifique-se de que os nomes do Provedor de Associação e Gerenciador de Função, registrados noarquivo Web.config, sejam os mesmos que os inseridos na página authentication.aspx da Central Administration. Se você não inserir o gerenciador de função no arquivo We.config, o provedor padrão especificado no arquivo machine.config poderá ser utilizado em lugar do primeiro.Por exemplo: a seqüência seguinte, em um arquivo Web.config, especifica um provedor deassociação SQL:<membership defaultProvider="AspNetSqlMembershipProvider">Para mais informações sobre os requisitos para provedores de associação e gerenciadores de função, veja "Conecte-se a sistemas de gerenciamento de identidades externos ou não baseados no Windows", em Planejamento de métodos de autenticação .

Planejamento de exclusões de autenticaçãoCaso esteja implementando a autenticação de formulários ASP.NET ou SSO WEB, você precisa planejar as exclusões de autenticação. Se estiver implementando a autenticação Windows, você não precisa ler esta seção.Ao criar ou ampliar uma aplicação Web, ou ao adicionar uma zona a uma aplicação Web, o IIS criaum novo site. As configurações de autenticação registradas no arquivo Web.config para esta aplicação Web são herdadas por diretórios virtuais por baixo do site. Os diretórios virtuais adicionados por baixo de uma aplicação Web no Office SharePoint Server 2007 não são gerenciados pelo Office SharePoint Server 2007 e são considerados diretórios virtuais excluídos. Se você estiver implementando a autenticação de formulários ASP.NET ou SSO Web e planeja adicionar diretórios virtuais por baixo destes sites, será preciso decidir se você deseja que estes diretórios virtuais excluídos herdem a autenticação de formulários ASP.NET ou as configuraçõesSSO Web.

Planilha

Na Planilha de configurações de autenticação de aplicação da web(h t tp:/ / go . m i c r os o f t . co m / f w l i n k / ? L i n k I D = 7 33 3 4 &c l c id = 0 x 40 9 ), indique se os diretórios virtuaisexcluídos serão adicionados ao IIS, por baixo do site que corresponda a esta aplicação Web no



Planilha

Office SharePoint Server 2007. Caso os diretórios virtuais excluídos venham a ser adicionados,indique se as configurações de autenticação devem ser herdadas.Utilize o procedimento a seguir para configurar o IIS, para que as configurações de autenticação não sejam herdadas.

Configure o IIS para que as configurações de autenticação não sejam herdadas.

1. Adicione um novo diretório virtual IIS por baixo do site IIS que corresponda à aplicação Web ou zona apropriada no Office SharePoint Server 2007.

2. No IIS Manager, clique com o botão direito no novo diretório virtual e, em seguida, clique em Properties.

3. Clique no guia Virtual Directory.

4. Clique em Create (isto faz do diretório virtual uma aplicação).

5. Clique em Configuration.

6. Selecione os mapas de aplicações curingas e, em seguida, clique em Remove.

7. Clique em Yes e, em seguida, clique em OK.

8. Crie um novo arquivo Web.config na raiz do caminho do sistema de arquivos do novo diretório virtual, e adicione as seguintes entradas:<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<configuration>

<system.web>

<httpModules>

<clear />

</httpModules>

<httpHandlers>

<clear />

</httpHandlers>

</system.web>

</configuration>

PlanilhaUtilize a planilha a seguir para planejar e anotar os controles de configurações para cada uma de suas aplicações Web no Office SharePoint Server 2007.• Planilha de configurações de autenticação de aplicação da web

(h t t p:/ / g o . m i c r o so f t . c o m/ f wli n k / ? L i n k I D = 7 3 334 &c l c id = 0x 4 09 )


Exemplos de autenticaçãoEste capítulo inclui exemplos de controles de configuração para várias autenticações de formulários e provedores de autenticação SSO (single sign-on) Web.

Provedor de associação SQLO quadro a seguir fornece exemplos de entradas do arquivo Web.config para utilizar a

autenticação de formulários ASP.NET, na conexão a um provedor de associação SQL.

Etapas deconfiguração

Descrição e exemplos de entradas do arquivo Web.config

Inicie aautenticação deformuláriosASP.NET.

Você pode configurar o tipo de autenticação para uma determinada zona para aautenticação de formulários, na página Edit Authentication, no site SharePoint,Central Administration.Este ato altera automaticamente o modo especificado no elemento de autenticaçãodo arquivo Web.config para formulários daquela zona.Por exemplo:<authentication mode="Forms">

</authentication>

Registre o provedor deassociação.

Se você estiver utilizando o software de base de dados Microsoft SQL Server no servidor local, como base de dados de seu provedor de associação, e especificar AspNetSqlMembershipProvider como nome do provedor de associação, talvez nãoseja necessário efetuar qualquer modificação adicional no arquivo Web.config. Nestecenário, se o arquivo machine.config tiver a configuração correta para AspNetSqlMembershipProvider, você poderá utilizá-lo para o Windows SharePoint Services, sem efetuar qualquer alteração.Se a configuração padrão do arquivo machine.config não se aplicar (por exemplo: se você quiser utilizar uma base de dados SQL Server em um servidor remoto), será necessário editar os arquivos Web.config tanto na aplicação Web, como no siteCentral Administration, a fim de especificar a informação de conexão no elementoconnectionStrings, para a base de dados do provedor de associação. Por exemplo:<connectionStrings><add name="SqlProviderConnection" connectionString="server=SQLSERVERMACHINE;database=aspnetdb;Truste d_Connection=True" /></connectionStrings>Substitua SQLSERVERMACHINE pelo nome do computador servidor, no qual você instalou a base de dados de associação do SQL Server.Em seguida, adicione os elementos membership e providers para registrar oprovedor de associação no arquivo Web.config. Como um provedor padrão já está registrado no arquivo machine.config, você deve incluir um elemento <remove> antes do elemento <add>.Por exemplo:<membership defaultProvider="AspNetSqlMembershipProvider"><providers>



<remove name="AspNetSqlMembershipProvider" /><add connectionStringName="SqlProviderConnection" name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /></providers></membership>O elemento membership deve ser incluído dentro do elemento system.web, no arquivo Web.config, tanto para a aplicação Web como para o site Central Administration.

Registre ogerenciador de função(opcional).

Você pode utilizar o provedor de funções padrão para ASP.NET, adicionando umelemento roleManager ao elemento system.web, do arquivo Web.config. Porexemplo:<roleManager enabled="true" />

A sintaxe anterior utiliza AspNetSqlRoleProvider, que é definido no arquivomachine.config. Este gerenciador de função pode conectar-se à base de dadosASPNETDB, tanto na instância local do SQL Server, como na remota. Se você desejautilizar uma base de dados SQL Server em um servidor remoto como sua base dedados de provedor de função, você deve editar o arquivo Web.config, paraespecificar a informação de conexão ao servidor de base de dados remoto.Por exemplo:<connectionStrings><addname="SqlProviderConnection"connectionString="server=SQLSERVERMACHINE; database=aspnetdb;Trusted_Connection=True"/></connectionStrings>Substitua SQLSERVERMACHINE pelo nome do servidor remoto que hospeda a basede dados SQL. Você pode especificar o mesmo valor de elementoconnectionStringName, tanto para o provedor de associação, como para ogerenciador de função; assim, não é necessário adicionar um novo elementoconnectionStrings para o provedor de função. Entretanto, caso queira utilizar umabase de dados diferente para o provedor de função, você deve adicionar umelemento connectionStrings separado para tal provedor de função.Em seguida, é preciso adicionar os elementos roleManager e providers, pararegistrar o provedor roleManager no Web.config. Como um provedor padrão já estáregistrado no arquivo machine.config, você precisa incluir um elemento <remove>antes do elemento <add>.Por exemplo:<roleManager enabled="true" defaultProvider="AspNetSqlRoleProvider"><providers><remove name="AspNetSqlRoleProvider" />



<add connectionStringName="SqlProviderConnection"applicationName="/" description="Stores and retrieves roles data from thelocal Microsoft SQL Server database" name="AspNetSqlRoleProvider"type="System.Web.Security.SqlRoleProvider, System.Web,Version=2.0.3600.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/></providers></roleManager>O elemento roleManager deve ser incluído dentro do elemento system.web, noarquivoWeb.config, tanto para a aplicação Web, como para o site CentralAdministration.

Registre o módulo HTTP.

Não aplicável.

Provedor de associação do Active DirectoryO quadro a seguir fornece exemplos de entradas do arquivo Web.config, na autenticação de formulários ASP.NET, para utilizar um provedor de associação de serviço de diretório do ActiveDirectory.

Observação:Isto somente irá funcionar em um cenário de domínio único.

Configurationsteps Description and example Web.config file entries

Inicie aautenticação deformuláriosASP.NET.

Você pode configurar o tipo de autenticação para uma determinada zona para aautenticação de formulários, na página Edit Authentication, na CentralAdministration.Este ato altera automaticamente o modo especificado no elemento deautenticação do arquivo Web.config para formulários naquela zona.Por exemplo:<authentication mode="Forms">

</authentication>

Você também pode especificar a URL da página de log in no elemento deformulários. Por exemplo:<authentication mode="Forms">

<forms loginUrl="/_layouts/login.aspx"></forms>

</authentication>

Registre o Caso deseje utilizar um servidor do Active Directory para um provedor de

• Passo a passo: Criptografia de Seções de Configuração no ASP.NET 2.0Usando DPAPI (h tt p :/ / g o . m i c r o s o f t . c o m/ f w li n k / ? L i n k I d = 7 812 3 & c l c id = 0 x 40 9 )

• Passo a passo: Criptografia de Seções de Configuração no ASP.NET 2.0Usando o RSA (h tt p :/ / g o . m i c r o s o f t . c o m/ f w li n k / ? L i n k I d = 7 677 8 & c l c id = 0 x 40 9 )

Configurationsteps Description and example Web.config file entries

provedor de associação.

associação, você precisa editar o arquivo Web.config, a fim de registrar aquele provedor. Para fazê-lo, é necessário especificar a informação de conexão no servidor do Active Directory, no elemento connectionStrings.Por exemplo:<connectionStrings><add name="ADConnectionString"connectionString= "L D A P : / / D i r e c t o r y S e r v e r / C N = U s e r s , D C=DirectoryServer " /></connectionStrings>Substitua DirectoryServer pelo nome do servidor de diretório de associação.<membership defaultProvider="MembershipADProvider"><providers><add name="MembershipADProvider" type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" connectionStringName="ADConnectionString"/></providers></membership>

Observação:O exemplo anterior não especifica as credenciais de contas. Se você nãoespecificar as credenciais de contas, a identidade de processo de suaaplicação será utilizada para acessar o Active Directory.

Caso seja necessária outra conta para acesso ao Active Directory, você poderá especificar diferentes credenciais de contas nos atributos connectionUsernamee connectionPassword,o que significa que você estará fornecendo o nome de usuário e a senha em texto puro. Desta forma, recomendamos que criptografe esta seção de configuração. Para mais informações, veja os seguintes artigos:

Registre ogerenciador defunção(opcional).


Não aplicável.

ldap://DirectoryServer/CN=Users





Provedor de associação LDAPO quadro a seguir fornece exemplos de entradas do arquivo Web.config para a utilização de autenticação de formulários ASP.NET, com um provedor de associação LDAP (Lightweight Directory Access Protocol, ou Protocolo de Acesso a Diretório de Pouco Peso)Etapas deconfiguração Descrição e exemplos de entradas do arquivo Web.config

Inicie aautenticaçãoASP.NET.

Você pode configurar o tipo de autenticação para uma determinada zona, paraautenticação de formulários, na página Edit Authentication, da CentralAdministration.Este ato altera automaticamente o modo especificado no elemento deautenticação do arquivo Web.config para formulários daquela zona.<system.web>

<!-mode=[Windows|Forms|Passport|None]>

<authentication mode="Forms" />

</system.web>

Registre o provedor de associação.

O elemento membership deve ser incluído dentro do elemento system.web, no arquivo Web.config.<membership defaultProvider="LdapMembershipProvider"><providers><add name="LdapMembership"type="Microsoft.Office.Server.Security.LDAPMembershipProvider,Microsoft.Office.Server, Version=12.0.0.0, Culture=neutral, PublicKeyToken=71E9BCE111E9429C"server="DC" port="389" useSSL="false"userDNAttribute="distinguishedName"userNameAttribute="sAMAccountName" userContainer="CN=Users,DC=userName,DC=local" userObjectClass="person" userFilter="(|(ObjectCategory=group)(ObjectClass=person))" scope="Subtree" otherRequiredUserAttributes="sn,givenname,cn"/></providers></membership>Você precisará alterar os valores especificados para os atributos server euserContainer,para fazer correspondência com seu ambiente.

Registre ogerenciador defunção(opcional).

<roleManager defaultProvider="LdapRoleProvider" enabled="true"cacheRolesInCookie="true" cookieName=".PeopleDCRole"><providers><add

Etapas deconfiguração Descrição e exemplos de entradas do arquivo Web.config

name="LdapRoleProvider"type="Microsoft.Office.Server.Security.LDAPRoleProvider,Microsoft.Office.Server, Version=12.0.0.0, Culture=neutral,PublicKeyToken=71E9BCE111E9429C"server="DC"port="389"useSSL="false"groupContainer="DC=userName,DC=local"groupNameAttribute="cn"groupMemberAttribute="member"userNameAttribute="sAMAccountName"dnAttribute="distinguishedName"groupFilter="(ObjectClass=group)"scope="Subtree"/></providers></roleManager>Você precisará alterar os valore especificados para os atributos server egroupContainer, para fazer correspondência com seu ambiente.


Não aplicável.

SSO Web com AD FSO sistema operacional Microsoft Windows Server 2003 R2 introduz o Active Directory Federation Services (AD FS), o qual permite que as empresas compartilhem com segurança as informações de identidades de usuários. O AD FS oferece tecnologias SSO (Web single sign-on), paraautenticar um usuário a uma variedade de aplicações Web, durante uma única sessão online. Os seguintes pares de provedores de função e associação estão incluídos no AD FS:• SingleSignOnMembershipProvider/SingleSignOnRoleProvider Provedores de

associação e de função padrão incluídos no Windows Server 2003 R2.• SingleSignOnMembershipProvider2/SingleSignOnRoleProvider2 Provedores de

associação e de função que operam em ambientes de confiança média. Estes provedores estão incluídos no Service Pack 2 do Windows Server 2003 R2.

SingleSignOnMembershipProvider/SingleSignOnRoleProvi derO quadro a seguir fornece exemplos de entradas do arquivo Web.config para um ambiente SSO

Web AD FS, que utiliza o provedor padrão.



Inicie aautenticação

<system.web>



deformuláriosASP.NET.



</system.web>


<membership defaultProvider="SingleSignOnMembershipProvider"><providers><add name="SingleSignOnMembershipProvider"type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvi der, System.Web.Security.SingleSignOn, Version=1.0.0.0,Culture=neutral, PublicKeyToken=31bf3856ad364e35"fs="h t t p s : // F ED E R A T I O N S E R V E R / ad f s / f s / f e d e r a t i o n s e r v e r s e r v i c e . a s m x " /></providers></membership>Para o atributo fs, substitua FEDERATIONSERVER pelo nome do servidor atual.O elemento membership deve ser incluído dentro do elemento system.web, no arquivo Web.config.

Registre ogerenciadorde função(opcional).

<roleManager enabled="true"defaultProvider="SingleSignOnRoleProvider"><providers><addname="SingleSignOnRoleProvider"type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider,System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral,PublicKeyToken=31bf3856ad364e35"fs="h t t p s : // F ED E R A T I O N S E R V E R / ad f s / f s / f e d e r a t i o n s e r v e r s e r v i c e . a s m x " /></providers></roleManager>Para o atributo fs, você precisará substituir FEDERATIONSERVER pelo nome doservidor atual.


<httpModules><add name="Identity Federation Services Application Authentication Module" type="System.Web.Security.SingleSignOn.WebSsoAuthenticationModule, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, Custom=null" /></httpModules>

SingleSignOnMembershipProvider2/SingleSignOnRoleProvider2

https://FEDERATIONSERVER/adfs/fs/federationserverservice.asmx


Se você estiver implementando o segundo par de provedores AD FS, as configurações pararegistro do provedor de associação e do gerenciador de função serão diferentes. O quadro a seguir fornece exemplos de entradas do arquivo Web.config para um ambiente SSO Web AD FS, queutiliza o provedor que opera em ambientes de confiança média.Etapas deconfiguração


Inicie aautenticaçãodeformuláriosASP.NET.

<system.web>



</system.web>


<membership defaultProvider="SingleSignOnMembershipProvider2"><providers><add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvid er2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs=h t t p s : / / F ED E R A T I O N S E R V E R / ad f s / f s / f e d e r a t i o n s e r v e r s e r v i c e . a s m x /></providers></membership>Para o atributo fs, substitua FEDERATIONSERVER pelo nome do servidor atual.O elemento membership deve ser incluído dentro do elemento system.web, no arquivo Web.config.

Registre ogerenciadorde função(opcional).

<roleManager enabled="true"defaultProvider="SingleSignOnRoleProvider2"><providers><addname="SingleSignOnRoleProvider2"type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2,System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0,Culture=neutral, PublicKeyToken=31bf3856ad364e35"fs="h t t p s : / / F E D E R A T I O N S E R V E R / ad f s / f s / f e d e r a t i o n s e r v e r s e r v i c e . a s m x " /></providers></roleManager>Para o atributo fs, você precisará substituir FEDERATIONSERVER pelo nome doservidor atual.


<httpModules><add name="Identity Federation Services Application Authentication Module" type="System.Web.Security.SingleSignOn.WebSsoAuthenticationModule, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral,





PublicKeyToken=31bf3856ad364e35, Custom=null" /></httpModules>

microsoft word - plan for...

Documents