Planejar a autenticação Kerberos no SharePoint Server

APLICA-SE A: yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O protocolo Kerberos suporta um método de autenticação que usa tíquetes fornecidos por uma fonte confiável. Os tíquetes Kerberos indicam que as credenciais de rede de um usuário associado a um computador cliente foram autenticadas. O protocolo Kerberos define como os usuários interagem com um serviço de rede para obter acesso aos recursos da rede. A Central de Distribuição de Chave do Kerberos (KDC) emite um ticket-granting-ticket (TGT) para um computador cliente, em nome de um usuário. No Windows, o computador cliente é um membro de um domínio de Serviços de Domínio do Active Directory (AD DS) e o TGT é a prova de que o controlador de domínio autenticou as credenciais do usuário.

Antes de estabelecer uma conexão a um serviço de rede, o computador cliente apresenta seu TGT para o KDC e solicita um tíquete de serviço. Com base no TGT previamente emitido, que confirma que o computador cliente foi autenticado, o KDC emite um tíquete de serviço para o computador cliente. Em seguida, o computador cliente envia o tíquete de serviço para o serviço de rede. O tíquete de serviço também deve conter um Nome principal de serviço (SPN) aceitável que identifique o serviço. Para permitir a autenticação Kerberos, os computadores cliente e servidor já devem ter uma conexão confiável ao KDC. Os computadores cliente e servidor também devem poder acessar o AD DS.

Autenticação Kerberos e SharePoint Server

Os motivos pelos quais você deveria considerar a autenticação Kerberos são os seguintes:

  • O protocolo Kerberos é o protocolo de autenticação integrada mais forte do Windows, e suporta recursos de segurança avançados que incluem a criptografia Padrão de Criptografia Avançada (AES) e a autenticação mútua de clientes e servidores.

  • O protocolo Kerberos permite a delegação das credenciais do cliente.

  • Entre os métodos de autenticação seguros disponíveis, o Kerberos exige a menor quantidade de tráfego de rede para os controladores do domínio AD DS. O Kerberos pode reduzir a latência de página em certos cenários, ou aumentar o número de páginas que um servidor Web de front-end pode servir em certos cenários. O Kerberos também pode reduzir a carga nos controladores de domínio.

  • O protocolo Kerberos é aberto e suportado por muitas plataformas e fornecedores.

Os motivos pelos quais a autenticação Kerberos pode não ser apropriada são os seguintes:

  • Diferente de outros métodos de autenticação, o Kerberos exige infraestrutura adicional e que a configuração do ambiente funcione corretamente. Em muitos casos, a permissão do administrador do domínio é exigida para configurar a autenticação Kerberos, que pode ser difícil de configurar e gerenciar. A configuração incorreta do Kerberos pode impedir o sucesso na autenticação de seus sites.

  • A autenticação Kerberos exige a conectividade do computador cliente a um KDC e a um controlador de domínio AD DS. Em uma implantação do Windows e do SharePoint, o KDC é um controlador de domínio AD DS. Embora essa seja uma configuração de rede comum em uma intranet corporativa,as implantações voltadas à Internet normalmente não são configurada dessa maneira.

Delegação Kerberos

A autenticação Kerberos suporta a delegação da identidade do cliente. Isso significa que um serviço pode personificar a identidade de um cliente autenticado. A personificação permite que um serviço transfira a identidade autenticada para outros serviços da rede, em nome do cliente. A autenticação baseada em declarações também pode ser usada para delegar as credenciais do cliente, mas exige que o aplicativo de back-end esteja ciente da declaração.

Usada com o SharePoint Server, a delegação Kerberos permite que um serviço de front-end autentique um cliente e, depois, use sua identidade para autenticar em um sistema de back-end. Em seguida, o sistema de back-end executa sua própria autenticação. Quando um cliente usa a autenticação Kerberos para autenticar com um serviço de front-end, a delegação Kerberos pode ser usada para transferir a identidade de um cliente para um sistema de back-end. O protocolo Kerberos suporta dois tipos de delegação:

  • Delegação Kerberos básica (irrestrita)

  • Delegação Kerberos restrita

Delegação Kerberos básica e restrita

A delegação Kerberos básica pode atravessar os limites do domínio dentro da mesma floresta, mas não um limite de floresta. A delegação restrita não pode atravessar limites de domínio ou floresta, exceto quando você está usando controladores de domínio que executam o Windows Server 2012.

Dependendo dos aplicativos de serviço que fazem parte da implantação do SharePoint Server, implementar autenticações Kerberos com o SharePoint Server pode exigir a delegação Kerberos restrita.

Importante

Para implantar a autenticação Kerberos com um dos aplicativos de serviço a seguir, o SharePoint Server e todas as fontes de dados externas devem residir no mesmo domínio do Windows: > Serviços do Excel > Serviços do PerformancePoint > InfoPath Forms Services > Serviços do Visio > Esses aplicativos de serviço não estão disponíveis no SharePoint Foundation 2013. O Serviços do Excel não está disponível no SharePoint Server 2016.

Para implantar a autenticação Kerberos com um dos aplicativos de serviço ou produtos a seguir, o SharePoint Server pode usar a delegação Kerberos básica ou restrita:

  • Serviço Conectividade de Dados Corporativos (esse aplicativo de serviço não está disponível no SharePoint Foundation 2013)

  • Serviços do Access (esse aplicativo de serviço não está disponível no SharePoint Foundation 2013)

  • SQL Server Reporting Services (SSRS) (um produto separado)

  • Project Server 2016 (um produto separado)

Os serviços ativados para a autenticação Kerberos podem delegar a identidade múltiplas vezes. À medida que uma identidade é transferida de um serviço para outro, o método de delegação pode mudar da Kerberos básica para a restrita. No entanto, o contrário não é possível. O método de delegação não pode mudar da Kerberos restrita para a básica. Portanto, é importante prever e planejar se um serviço de back-end irá exigir a delegação Kerberos básica. Isso pode afetar o planejamento e o design de limites de domínio.

Um serviço ativado para o Kerberos pode usar a transição do protocolo para converter uma identidade não Kerberos em uma identidade Kerberos, que pode ser delegada para outros serviços ativados para o Kerberos. Essa capacidade pode ser usada, por exemplo, para delegar uma identidade não Kerberos de um serviço de front-end para uma identidade Kerberos em um serviço de back-end.

Importante

A transição de protocolo exige a delegação Kerberos restrita. Portanto, as identidades com transição pelo protocolo não podem atravessar os limites de domínio.

A autenticação baseada em declarações pode ser usada como uma alternativa à delegação Kerberos. Essa autenticação permite que a declaração de autenticação de um cliente seja transferida entre diferentes serviços, se eles cumprirem todos os critérios a seguir:

  • Deve haver uma relação de confiança entre os serviços.

  • Os serviços devem estar cientes da declaração.

Para obter mais informações sobre a autenticação Kerberos, consulte os recursos a seguir:

Autenticação Kerberos e autenticação baseada em declarações

O SharePoint 2013 e o SharePoint Server 2016 oferecem suporte à autenticação baseada em declarações, que é criada com base no Windows Identity Foundation (WIF), um conjunto de classes do .NET Framework usado para implementar a identidade baseada em declarações. Esse tipo de autenticação depende de padrões como WS-Federation e WS-Trust. Para saber mais sobre a autenticação baseada em declarações, consulte os recursos a seguir:

Quando você cria um aplicativo da web do UNRESOLVED_TOKEN_VAL(SharePoint Server) usando o Administração Central, deve selecionar um ou mais tipos de autenticação baseada em declarações. Quando você cria um aplicativo de web do UNRESOLVED_TOKEN_VAL(SharePoint Server) usando o cmdlet New-SPWebApplication Microsoft PowerShell, pode especificar os tipos de autenticação de declaração ou do modo clássico. A autenticação de declarações é recomendada para todos os aplicativos da web do UNRESOLVED_TOKEN_VAL(SharePoint Server). Usando a autenticação de declarações, todos os tipos de autenticação suportados estão disponíveis para seus aplicativos da web e você aproveitar as vantagens da autenticação servidor-para-servidor e de aplicativos. Para saber mais, confira What's new in authentication for SharePoint Server 2013.

Importante

Os seguintes aplicativos de serviço no SharePoint Server exigem a conversão das credenciais baseadas em declarações em credenciais do Windows. Esse processo utiliza as Declarações para o Serviço de Tokens do Windows (C2WTS): > Serviços do Excel> Serviços PerformancePoint> InfoPath Forms Services> Serviços do Visio> > Esses serviços não estão disponíveis no SharePoint Foundation 2013. Os Serviços do Excel não estão disponíveis no SharePoint Server 2016.

Os aplicativos de serviço que exigem o C2WTS devem usar a delegação Kerberos restrita, porque o C2WTS requer a transição de protocolo suportada apenas por esse tipo de delegação. Para os aplicativos de serviço na lista prévia, o C2WTS converte as declarações dentro do farm em credenciais do Windows para a autenticação de saída. É importante entender que esses aplicativos de serviço podem usar o C2WTS somente se o método de autenticação de entrada for as declarações do Windows ou o modo clássico do Windows. Os aplicativos de serviço acessados por aplicativos da web que usam declarações de Linguagem de Marcação da Afirmação de Segurança (SAML) ou declarações de autenticação baseadas em formulário não usam o C2WTS. Portanto, eles não podem converter declarações em credenciais do Windows.

Autenticação Kerberos e o novo modelo de aplicativo do SharePoint

Se você estiver usando o modo de declaração do Windows para a autenticação do usuário e o aplicativo da web for configurado para usar somente a autenticação Kerberos, sem retornar ao NTLM como o protocolo de autenticação, a autenticação do aplicativo não funciona. Para saber mais, confira Plano para autenticação de aplicativos no SharePoint Server.

Confira também

Conceitos

Plano para métodos de autenticação do usuário no SharePoint Server