Compartir a través de

Team Foundation Server, Autenticación básica y Autenticación implícita

  • Artículo

Actualización: noviembre 2007

Visual Studio 2008 admite los modos de autenticación básica e implícita. Si configura la implementación de Team Foundation Server para que utilice HTTPS con SSL (Capa de sockets seguros) y la autenticación básica o implícita, se podrán realizar conexiones externas con Team Foundation Server sin tener que utilizar una conexión de red privada virtual (VPN).

Configuraciones

Para admitir conexiones externas a sus implementaciones de Team Foundation Server, debe configurar Internet Information Services (IIS) para habilitar la autenticación básica o implícita. Además, debe configurar un filtro de Interfaz de programación de aplicaciones para servidores de Internet (ISAPI). Los filtros ISAPI son archivos DLL que se pueden utilizar para modificar y mejorar la funcionalidad proporcionada por IIS. Estos filtros se ejecutan siempre en el servidor que ejecuta IIS. Debe configurar el filtro ISAPI que forma parte del Service Pack 1 con las direcciones IP de los servidores proxy web o los clientes que deban utilizar la autenticación básica o implícita.

Autenticación básica y autenticación implícita

La autenticación básica es parte de la especificación de HTTP 1.0. Utiliza cuentas de usuario de Windows. Durante la autenticación básica, el explorador solicita al usuario un nombre de usuario y una contraseña. La información de nombre de usuario y contraseña se transmite a través de HTTP utilizando la codificación Base64. De forma predeterminada, la autenticación básica requiere que la cuenta de usuario de Windows tenga derechos de inicio de sesión local en el servidor Web. Puede utilizar la autenticación básica en implementaciones de grupo de trabajo y de dominio. Aunque la mayoría de los servidores Web, servidores proxy y exploradores web admiten la autenticación básica, no es segura. Dado que es fácil descodificar los datos codificados en Base64, con la autenticación básica la contraseña se envía esencialmente como texto sin formato. Alguien que supervise las comunicaciones en la red podría interceptar y descifrar fácilmente estas contraseñas utilizando herramientas disponibles al público.

La autenticación implícita es un mecanismo de desafío y respuesta que envía a través de la red un resumen (también denominado hash) en lugar de una contraseña. Durante la autenticación implícita, IIS envía un desafío al cliente para crear un resumen y después lo envía al servidor. Como respuesta al desafío, el cliente envía un resumen basado en la contraseña del usuario y datos que conocen tanto el cliente como el servidor. El servidor utiliza el mismo proceso que el cliente para crear su propio resumen, y utiliza la información del usuario obtenida de Active Directory. Si el resumen creado por el servidor coincide con el resumen creado por el cliente, IIS autentica el cliente. La autenticación implícita sólo se puede utilizar en implementaciones de dominio de Active Directory. Por sí sola, la autenticación implícita es simplemente una pequeña mejora de la autenticación básica. Un intruso podría registrar la comunicación entre el cliente y el servidor, y utilizar esa información para reproducir la transacción. La autenticación implícita también tiene dependencias con el protocolo HTTP 1.1. No todos los exploradores web admiten este protocolo. Además, debe configurar la autenticación implícita correctamente o no se podrá tener acceso a Team Foundation Server. No elija la autenticación implícita a menos que las implementaciones reúnan todos los requisitos para una autenticación implícita. Para obtener más información sobre la autenticación implícita, visite el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkID=89709).

Limitaciones

Además de los requisitos de grupo de trabajo y dominio antes mencionados, la autenticación básica e implícita no son suficientes por sí solas para proporcionar seguridad de red para los clientes externos. Por consiguiente, no debe configurar Team Foundation Server para admitir clientes externos a menos que también configure estas conexiones para que requieran HTTPS con SSL.

Configuración del filtro ISAPI

El filtro ISAPI se puede configurar para aplicar reglas en un conjunto de direcciones IP especificado. Aunque la mayoría de los administradores se interesarán principalmente por la configuración de las reglas del filtro ISAPI para las direcciones IP externas, también se pueden configurar reglas para las direcciones internas. Cualquier dirección IP configurada en las reglas del filtro ISAPI deben seguir las reglas que se especifican en el filtro. Dependiendo de la configuración de RequireSecurePort, las direcciones que no se especifiquen en el archivo podrán o no podrán conectarse a Team Foundation Server.

El filtro ISAPI utiliza un archivo AuthenticationFilter.ini para sus valores de configuración. Debe configurar este archivo con los valores adecuados para su implementación. El archivo puede utilizar las claves y valores de configuración siguientes:

Clave

Valores admitidos

RequireSecurePort

True

False

ProxyIPList

IPaddress (puede ser más de una dirección, separadas por punto y coma)

SubnetList

IPaddress/subnetmask (puede ser más de una dirección, separadas por punto y coma)

[config]

Encabezado de sección del archivo del filtro ISAPI

Las claves se definen más detalladamente de la manera siguiente:

  • RequireSecurePort Si configura RequireSecurePort como True, todas las conexiones deben utilizar HTTPS/SSL y la autenticación básica o implícita, a menos que se utilicen las direcciones especificadas en SubnetList. Si configura RequireSecurePort como False, sólo las conexiones que utilicen las direcciones especificadas en ProxyIPList deberán utilizar HTTPS/SSL y la autenticación básica o implícita.

  • ProxyIPList Dirección o direcciones IP para las que desea aplicar la autenticación básica o implícita. La manera más fácil de definir esta clave es considerarla como "Requerir sólo la autenticación básica o implícita para estas direcciones". Las direcciones especificadas para esta clave deberán utilizar la autenticación básica o implícita y HTTPS/SSL. Esta clave tiene prioridad sobre SubnetList; si está presente la clave ProxyIPList, se omitirán la clave SubnetList y sus valores.

  • SubnetList Par o pares de direcciones IP y máscaras de subred para los que no desea aplicar la autenticación básica o implícita. La manera más fácil de definir esta clave es considerarla como "Requerir que todas las direcciones menos éstas utilicen la autenticación básica o implícita". Las direcciones especificadas para esta clave no deberán utilizar la autenticación básica o implícita y HTTPS/SSL. Las direcciones no especificadas para esta clave deberán utilizar la autenticación básica o implícita. Si la clave ProxyIPList está presente en el filtro ISAPI, se omitirán la clave SubnetList y sus valores.

Vea también

Tareas

Tutorial: Configurar Team Foundation Server con Secure Socket Layer (SSL) y un filtro ISAPI

Tutorial: Configurar Team Foundation Server para exigir HTTPS y Secure Sockets Layer (SSL)

Conceptos

Team Foundation Server, HTTPS y Secure Sockets Layer (SSL)