Introducción a la autenticación para el servidor de SharePointAuthentication overview for SharePoint Server

Resumen: Obtenga información sobre cómo funciona la autenticación de usuarios, de aplicaciones y de servidor a servidor en SharePoint Server 2013 y en SharePoint Server 2016.Summary: Learn about how user authentication, app authentication, and server-to-server authentication work in SharePoint Server 2013 and SharePoint Server 2016 .

SharePoint Server requiere autenticación para los siguientes tipos de interacciones:SharePoint Server requires authentication for the following types of interactions:

  • usuarios que tienen acceso a recursos de SharePoint localUsers who access on-premises SharePoint resources

  • aplicaciones que tienen acceso a recursos de SharePoint localApps that access on-premises SharePoint resources

  • servidores de recursos locales que tienen acceso a recursos de SharePoint locales, o viceversaOn-premises servers that access on-premises SharePoint resources, or vice versa

Autenticación de usuarios en SharePoint ServerUser authentication in SharePoint Server

La autenticación de usuario es la validación de la identidad de un usuario frente a un proveedor de autenticación, que es un directorio o base de datos que contiene las credenciales del usuario y puede comprobar que el usuario las envió correctamente. La autenticación de usuario se produce cuando un usuario intenta tener acceso a un recurso de SharePoint.User authentication is the validation of a user's identity against an authentication provider, which is a directory or database that contains the user's credentials and can verify that the user submitted them correctly. User authentication occurs when a user attempts to access a SharePoint resource.

SharePoint Server admite la autenticación basada en notificaciones.SharePoint Server supports claims-based authentication.

El resultado de una autenticación basada en notificaciones es un token de seguridad basado en notificaciones, que genera el servicio de seguridad (STS) de SharePoint.The result of a claims-based authentication is a claims-based security token, which the SharePoint Security Token Service (STS) generates.

SharePoint Server admite autenticación de notificaciones de Windows, basadas en formularios y basadas en Lenguaje de marcado de aserción de seguridad (SAML). Para obtener más información sobre el funcionamiento de estos tres métodos de autenticación, vea los vídeos siguientes.SharePoint Server supports Windows, forms-based, and Security Assertion Markup Language (SAML)-based claims authentication. For information about how these three authentication methods work, see the following videos.

Nota

La información que aparece en los vídeos se aplica a SharePoint Server 2013 y SharePoint Server 2016.The information in the videos applies to SharePoint Server 2013 and SharePoint Server 2016.

Vídeo sobre la autenticación de notificaciones en SharePoint Server 2013 y 2016Windows claims authentication in SharePoint Server 2013 and 2016 video

Autenticación de aplicaciones en SharePoint ServerApp authentication in SharePoint Server

La autenticación de aplicaciones es la validación de una identidad de aplicaciones de SharePoint remota y la autorización de la aplicación y de un usuario asociado de una solicitud de recursos protegidos de SharePoint. La autenticación de aplicaciones se produce cuando un componente externo de una aplicación Almacén de SharePoint o Catálogo de aplicaciones, como un servidor web que se encuentra en la intranet o Internet, intenta obtener acceso a un recurso protegido de SharePoint.App authentication is the validation of a remote SharePoint app's identity and the authorization of the app and an associated user of a secured SharePoint resource request. App authentication occurs when an external component of a SharePoint Store app or an App Catalog app, such as a web server that is located on the intranet or the Internet, attempts to access a secured SharePoint resource.

Por ejemplo, suponga que un usuario abre una página de SharePoint que contiene un IFRAME de una aplicación de SharePoint y que IFRAME necesita un componente externo, como un servidor de intranet o Internet, para tener acceso a un recurso protegido de SharePoint para representar la página. El componente externo de la aplicación de SharePoint se debe autenticar y autorizar para que SharePoint ofrezca la información solicitada y la aplicación pueda procesar la página para el usuario.For example, suppose that a user opens a SharePoint page that contains an IFRAME of a SharePoint app, and that IFRAME needs an external component, such as a server on the intranet or the Internet, to access a secured SharePoint resource in order to render the page. The external component of the SharePoint app must be authenticated and authorized so that SharePoint provides the requested information and the app can render the page for the user.

Tenga en cuenta que si la aplicación de SharePoint no requiere un recurso protegido de SharePoint para representar la página para el usuario, no es necesaria la autenticación de la aplicación. Por ejemplo, una aplicación de SharePoint que proporcione información sobre la previsión meteorológica y solo tenga acceso a un servidor de información meteorológica en Internet no deberá usar la autenticación de aplicaciones.Note that if the SharePoint app does not require a SharePoint secured resource to render the page for the user, app authentication is not needed. For example, a SharePoint app that provides weather forecast information and only has to access a weather information server on the Internet does not have to use app authentication.

La autenticación de aplicaciones es una combinación de dos procesos:App authentication is a combination of two processes:

  • AutenticaciónAuthentication

    Comprobar que la aplicación se ha registrado correctamente con un agente de la identidad de confianzaVerifying that the application has registered correctly with a commonly trusted identity broker

  • AutorizaciónAuthorization

    Comprobar que la aplicación y el usuario asociado para la solicitud tienen los permisos apropiados para realizar sus operaciones, como tener acceso a una lista o una carpeta o ejecutar una consultaVerifying that the application and the associated user for the request has the appropriate permissions to perform its operation, such as accessing a folder or list or executing a query

Para realizar la autenticación de aplicaciones, la aplicación obtiene un token de acceso del servicio de control de acceso de Microsoft Azure (ACS) o mediante un token de acceso de certificado de firma propia en el que SharePoint Server confía. El token de acceso garantiza una solicitud de acceso a un recurso específico de SharePoint y contiene información que identifica la aplicación y el usuario asociado, en lugar de la validación de las credenciales del usuario. El token de acceso no es un token de inicio de sesión.To perform app authentication, the application obtains an access token either from the Microsoft Azure Access Control Service (ACS) or by self-signing an access token using a certificate that SharePoint Server trusts. The access token asserts a request for access to a specific SharePoint resource and contains information that identifies the app and the associated user, instead of the validation of the user's credentials. The access token is not a logon token.

Para las aplicaciones de Tienda SharePoint, a continuación se muestra un ejemplo del proceso de autenticación:For SharePoint Store apps, an example of the authentication process is as follows:

  1. Un usuario abre una página web de SharePoint que contiene un IFRAME que debe representar una aplicación Almacén de SharePoint, que está alojada en Internet y utiliza ACS como agente de confianza. Para representar el IFRAME para el usuario, la aplicación Almacén de SharePoint debe tener acceso a un recurso de SharePoint.A user opens a SharePoint web page that contains an IFRAME that has to be rendered by a SharePoint Store app, which is hosted on the Internet and uses ACS as its trust broker. To render the IFRAME for the user, the SharePoint Store app must access a SharePoint resource.

  2. El STS SharePoint solicita y recibe un token de contexto de ACS.The SharePoint STS requests and receives a context token from ACS.

  3. SharePoint envía la página web solicitada junto con el token de contexto para el explorador del usuario web.SharePoint sends the requested web page together with the context token to the user's web browser.

  4. El explorador del usuario web envía una solicitud de contenido del IFRAME y el token de contexto al servidor de aplicaciones Tienda SharePoint de Internet.The user's web browser sends a request for the IFRAME's content and the context token to the SharePoint Store app server on the Internet.

  5. El servidor de aplicaciones Tienda SharePoint solicita y recibe un token de acceso de ACS.The SharePoint Store app server requests and receives an access token from ACS.

  6. El servidor de aplicaciones Tienda SharePointenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.The SharePoint Store app server sends the SharePoint resource request and the access token to the SharePoint server.

  7. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.The SharePoint server authorizes the access, checking both the app's permissions, which were specified when the app was installed, and the associated user's permissions.

  8. Si se permite, SharePoint envía los datos solicitados al servidor de aplicaciones Tienda SharePoint de Internet.If permitted, SharePoint sends the requested data to the SharePoint Store app server on the Internet.

  9. El servidor de aplicaciones Tienda SharePoint de Internet envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.The SharePoint Store app server on the Internet sends the IFRAME results to the web browser, which renders the IFRAME portion of the page for the user.

Observe cómo la aplicación Tienda SharePoint ha obtenido acceso a los recursos de servidor de SharePoint sin tener que obtener las credenciales del usuario. El acceso se ha autenticado a través de ACS, en la que el servidor que ejecuta SharePoint Server confía, y se ha autorizado a través del conjunto de permisos de usuario y aplicaciones.Notice how the SharePoint Store app has accessed SharePoint server resources without having to obtain the user's credentials. The access was authenticated through ACS, which is trusted by the server running SharePoint Server, and authorized through the set of app and user permissions.

Para las aplicaciones de SharePoint Catálogo de aplicaciones, se muestra a continuación un ejemplo de un proceso de autenticación:For SharePoint App Catalog apps, an example of the authentication process is as follows:

  1. un usuario abre una página web de SharePoint que contiene un IFRAME que debe representarse mediante una aplicación Catálogo de aplicaciones que se aloja en la intranet y utiliza un certificado autofirmado para sus token de acceso. Para representar el IFRAME para el usuario, la aplicación Catálogo de aplicaciones debe tener acceso a un recurso de SharePoint.A user opens a SharePoint web page that contains an IFRAME that has to be rendered by an App Catalog app that is hosted on the intranet and uses a self-signed certificate for its access tokens. To render the IFRAME for the user, the App Catalog app must access a SharePoint resource.

  2. SharePoint, envía la página solicitada junto con el IFRAME al explorador de web del usuario.SharePoint sends the requested page along with the IFRAME to the user's web browser.

  3. El explorador web del usuario envía una solicitud para el contenido del IFRAME al servidor de aplicaciones Catálogo de aplicaciones de la intranet.The user's web browser sends a request for the IFRAME's content to the App Catalog app server on the intranet.

  4. El servidor de aplicaciones Catálogo de aplicaciones autentica al usuario y genera un token de acceso, firmado con su certificado autofirmado.The App Catalog app server authenticates the user and generates an access token, signed with its self-signed certificate.

  5. El servidor de aplicaciones Catálogo de aplicacionesenvía la solicitud de recursos de SharePoint y el token de acceso al servidor de SharePoint.The App Catalog app server sends the SharePoint resource request and the access token to the SharePoint server.

  6. El servidor de SharePoint, autoriza el acceso, comprueba los permisos de la aplicación, que se especificaron cuando la instaló y los permisos del usuario asociado.The SharePoint server authorizes the access, checking both the app's permissions, which were specified when the app was installed, and the associated user's permissions.

  7. Si se permite, el servidor de SharePoint envía los datos solicitados al servidor de aplicaciones Catálogo de aplicaciones de la intranet.If permitted, the SharePoint server sends the requested data to the App Catalog app server on the intranet.

  8. El servidor de aplicaciones Catálogo de aplicaciones envía los resultados IFRAME al explorador web, que representa a la parte IFRAME de la página para el usuario.The App Catalog app server sends the IFRAME results to the web browser, which renders the IFRAME portion of the page for the user.

Nota

Las aplicaciones Catálogo de aplicaciones pueden utilizar ACS o un certificado autofirmado para sus token de acceso.App Catalog apps can use either ACS or a self-signed certificate for their access tokens.

Para más información, vea Plan for app authentication in SharePoint 2013 Preview.For more information, see Plan for app authentication in SharePoint 2013 Preview.

Autenticación de servidor a servidor en SharePoint ServerServer-to-server authentication in SharePoint Server

La autenticación de servidor a servidor es la validación de una solicitud del servidor para los recursos, que se basa en una relación de confianza establecida entre el STS del servidor que ejecuta SharePoint Server y el STS de otro servidor que admite el protocolo de servidor a servidor de OAuth, como la ejecución local de SharePoint Server, Exchange Server 2016, Skype Empresarial 2016 o Azure Workflow Service y SharePoint Server ejecutándose en Office 365. Gracias a esta relación de confianza, un servidor solicitante puede obtener acceso a los recursos protegidos del servidor de SharePoint en nombre de una cuenta de usuario especificada, en función de los permisos de usuario y servidor.Server-to-server authentication is the validation of a server's request for resources that is based on a trust relationship established between the STS of the server that runs SharePoint Server and the STS of another server that supports the OAuth server-to-server protocol, such as on-premises running SharePoint Server, Exchange Server 2016, Skype for Business 2016, or Azure Workflow Service, and SharePoint Server running in Office 365. Based on this trust relationship, a requesting server can access secured resources on the SharePoint server on behalf of a specified user account, subject to server and user permissions.

Por ejemplo, un servidor que ejecute Exchange Server 2016 puede solicitar recursos de un servidor que ejecute SharePoint Server para una cuenta de usuario. Esto contrasta con la autenticación de la aplicación, en la que la aplicación no tiene acceso a la información de credenciales de cuenta de usuario. El usuario podrá iniciar sesión actualmente en el servidor que hace la solicitud de recursos o no, dependiendo del servicio y la solicitud.For example, a server running Exchange Server 2016 can request resources of a server running SharePoint Server for a specific user account. This contrasts with app authentication, in which the app does not have access to user account credential information. The user can be currently signed in to the server making the resource request or not, depending on the service and the request.

Cuando un servidor que ejecuta SharePoint Server intenta obtener acceso a un recurso en un servidor o un servidor intenta obtener acceso a un recurso de un servidor que ejecuta SharePoint Server, se debe autenticar la solicitud de acceso entrante para que el servidor la acepte junto con los datos subsiguientes. La autenticación de servidor a servidor comprueba que el servidor que ejecuta SharePoint Server y el usuario que lo representa son de confianza.When a server running SharePoint Server attempts to access a resource on a server or a server attempts to access a resource on a server running SharePoint Server, the incoming access request must be authenticated so that the server accepts the incoming access request and subsequent data. Server-to-server authentication verifies that the server running SharePoint Server and the user whom it is representing are trusted.

El token que se utiliza para la autenticación de servidores es un token de servidor a servidor, no de inicio de sesión. El token de servidor a servidor contiene información acerca del servidor que solicita el acceso y la cuenta de usuario en cuyo nombre actúa el servidor.The token that is used for a server-to-server authentication is a server-to-server token, not a logon token. The server-to-server token contains information about the server that requests access and the user account on whose behalf the server is acting.

Para los servidores locales, un proceso básico de ejemplo es el siguiente:For on-premises servers, an example basic process is as follows:

  1. Un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, la visualización de la lista de tareas de SharePoint Server y Exchange Server 2016).A user opens a SharePoint web page that requires information from another server (for example, display the list of tasks from both SharePoint Server and Exchange Server 2016).

  2. SharePoint Server genera un token de servidor a servidor.SharePoint Server generates a server-to-server token.

  3. SharePoint Server envía el token de servidor a servidor a otro servidor.SharePoint Server sends the server-to-server token to the other server.

  4. El otro servidor valida el token de servidor a servidor de SharePoint.The other server validates the SharePoint server-to-server token.

  5. El otro servidor envía un mensaje a SharePoint Server para indicar que el token de servidor a servidor enviado era válido.The other server sends a message to SharePoint Server to indicate that the sent server-to-server token was valid.

  6. El servicio del servidor que ejecuta SharePoint Server obtiene acceso a los datos del servidor.The service on the server running SharePoint Server accesses the data on the server.

  7. El servicio del servidor que ejecuta SharePoint Server presenta la página para el usuario.The service on the server running SharePoint Server renders the page for the user.

Cuando los dos servidores se ejecutan en Office 365, un proceso de ejemplo es el siguiente:When both servers are running in Office 365, an example process is as follows:

  1. un usuario abre una página web de SharePoint que requiera información de otro servidor (por ejemplo, mostrar la lista de tareas de SharePoint Online y Exchange Online).A user opens a SharePoint web page that requires information from another server (for example, display the list of tasks from both SharePoint Online and Exchange Online).

  2. SharePoint Online solicita y recibe un símbolo token de servidor a servidor de ACS.SharePoint Online requests and receives a server-to-server token from ACS.

  3. SharePoint Online envía el token de servidor a servidor al servidor Office 365.SharePoint Online sends the server-to-server token to the Office 365 server.

  4. El servidor Office 365 comprueba la identidad del usuario del token de servidor a servidor con ACS.The Office 365 server verifies the user identity in the server-to-server token with ACS.

  5. El servidor Office 365 envía un mensaje a SharePoint Online para indicar que el token de servidor a servidor enviado era válido.The Office 365 server sends a message to SharePoint Online to indicate that the sent server-to-server token was valid.

  6. El servicio de SharePoint Online accede a los datos del servidor Office 365.The service on SharePoint Online accesses the data on the Office 365 server.

  7. El servicio de SharePoint Online representa la página para el usuario.The service on SharePoint Online renders the page for the user.

Para más información, vea Planear la autenticación de servidor a servidor en SharePoint Server.For more information, see Plan for server-to-server authentication in SharePoint Server.