Autenticación del Catálogo de datos profesionales
El Catálogo de datos profesionales admite dos modelos de autenticación:
Subsistema de confianza
Suplantación y delegación
En el modelo del subsistema de confianza, el nivel intermedio (generalmente, el servidor web) autentica el servidor back-end como una identidad fija. Generalmente, usted elegiría este modelo por los siguientes motivos:
Ofrece limitación de peticiones de conexión a la base de datos.
Reduce los costos de licencias en el servidor back-end.
Es menos complejo.
El grupo que posee y administra el servidor back-end ofrece acceso a una cuenta que ellos administran.
En el modelo de suplantación y delegación, el cliente delega la autenticación al nivel intermedio, que suplanta al cliente y se autentica ante el servidor back-end en nombre del cliente. Los motivos para elegir este modelo son:
Para permitir la auditoría en el servidor back-end.
Si existe una autorización por usuario en el servidor back-end.
Modos de autenticación
Los siguientes modos de autenticación están disponible cuando usa el Catálogo de datos profesionales para conectarse a una base de datos o servicio web.
PassThrough (sistemas de bases de datos y servicios web)
Autenticación de paso a través se refiere a la capacidad del sistema operativo para pasar la información de autenticación del cliente al servidor back-end. El Catálogo de datos profesionales admite autenticación de paso a través para las conexiones de servicios web y bases de datos. Cuando se usa la autenticación de paso a través, simplemente se autentica con la identidad del usuario final.
Cuando se obtiene acceso al Catálogo de datos profesionales desde una página web, se ejecuta en el proceso de trabajo de los servicios de Microsoft Internet Information Services (IIS), w3wp.exe. La identidad de este proceso es la cuenta del grupo de aplicaciones de IIS que suplanta al usuario conectado. Para evitar perder la identidad del usuario conectado cuando el Catálogo de datos profesionales autentica el servidor back-end, debe habilitar la delegación Kerberos entre el servidor que ejecuta IIS y el otro equipo. La delegación Kerberos le permite al servidor receptor enviar la solicitud de autenticación a la ubicación correcta.
Cuando el Catálogo de datos profesionales se usa para rastrear, se ejecuta en el proceso de demonio de filtro, mssdmn.exe. Para obtener acceso al origen de contenido back-end, los subprocesos del proceso de demonio de filtro se presentan como la cuenta de acceso al contenido asociada con ese origen de contenido back-end.
Una desventaja de usar la autenticación de paso a través es que el sistema operativo expone sólo el nombre de usuario y la contraseña. Por lo tanto, si una compañía usa una autenticación de dos factores (es decir, los usuarios deben poseer cierta información específica (privada) además del nombre de usuario y la contraseña), no se puede usar la autenticación de paso a través.
A pesar de estas desventajas, la simplicidad de su uso hace que la autenticación de paso a través sea un buen candidato en un entorno de prueba. También podría usarlo si el servidor de destino usa autenticación anónima o conexiones SSL.
RevertToSelf (sistemas de bases de datos y servicios web)
Si un usuario inicia una sesión con la autenticación de Windows, ISS suplanta esa cuenta en particular. De manera que mientras ISS se ejecuta bajo la Identidad de grupo de aplicaciones, suplanta al usuario conectado y la solicitud se ejecuta bajo la suplantación del usuario antes de pasarse.
La autenticación RevertToSelf le permite revertir esta suplantación y autenticarse como la cuenta subyacente que está configurada para el grupo de aplicaciones de IIS.
Advertencia
Si el código personalizado usa RevertToSelf() para la autenticación, otorga a los usuarios privilegios a nivel de sistema en los servidores back-end al otorgarles privilegios para la Identidad del grupo de aplicaciones. Por lo tanto, nunca debe ejecutar ningún código personalizado en un sistema de producción hasta que haya sido correctamente probado.
WindowsCredentials (sistemas de bases de datos y servicios web)
Microsoft Office SharePoint Server 2007 realiza la autenticación con las credenciales de Microsoft Windows desde el servicio de inicio de sesión único (SSO) predeterminado.
RdbCredentials (sólo sistemas de bases de datos)
En el modo RdbCredentials, Office SharePoint Server 2007 realiza la autenticación con credenciales de la base de datos desde el servicio SSO predeterminado. Office SharePoint Server 2007 agrega las credenciales de la base de datos a la cadena de conexión y las transmite al servidor de la base de datos.
Credentials (sólo sistemas de servicios web)
Office SharePoint Server 2007 realiza la autenticación de los sistemas de servicio web con credenciales distintas a las de la autenticación de Windows desde el servicio SSO predeterminado. Estas credenciales se usan para la autenticación básica o implícita, según la configuración del servidor de servicios web. Debido a que la autenticación básica e implícita no protege adecuadamente las credenciales, se debe usar SSL, IPsec o ambas para proteger la comunicación entre el servidor de servicios web y el servidor que ejecuta el Catálogo de datos profesionales.
Resumen
La tabla a continuación presenta un resumen de cuándo se debe usar cada uno de los modos de autenticación y proporciona vínculos a las muestras actualmente disponibles en el SDK.
| Modo de autenticación | Se aplica a | Escenarios | Ejemplo |
|---|---|---|---|
PassThrough |
Bases de datos y servicios web |
Use este modo si se encuentra en un entorno de prueba con una configuración de cuadro único (servidor de base de datos y servidor SharePoint en el mismo cuadro) o si la delegación Kerberos está habilitada en su dominio. También puede usarlo si el servidor de destino o el servicio web usa autenticación anónima o conexiones SSL. |
Paso 1: conexión con la base de datos AdventureWorks2000 Ejemplo de SQL Server 2005 de AdventureWorksDW |
RevertToSelf |
Bases de datos y servicios web |
||
WindowsCredentials |
Bases de datos y servicios web |
Use este modo si el servidor de base de datos o servicio web usa autenticación de Windows. Para este modo, es necesario configurar SSO. |
|
RdbCredentials |
Sólo sistemas de bases de datos |
Use este modo si su servidor de base de datos usa credenciales de base de datos. Por ejemplo, si su servidor SQL usa la autenticación de servidor SQL en lugar de la autenticación de Windows. Para este modo, es necesario configurar SSO. |
|
Credenciales |
Sólo sistemas de servicios web |
Use este modo si el servicio web usa credenciales distintas de las credenciales de Windows. Para este modo, es necesario configurar SSO. |
Modos y patrones de autenticación
La siguiente tabla muestra el patrón de autenticación que sigue cada uno de los modos de autenticación.
| Patrón \ Modo | PassThrough | RevertToSelf | Credentials, RdbCredentials, WindowsCredentials (Aplicación individual de SSO) | Credentials, RdbCredentials, WindowsCredentials (Aplicación de grupo de SSO) |
|---|---|---|---|---|
Subsistema de confianza |
X |
X |
||
Suplantación y delegación |
X |
X |
Autenticación en el nivel de aplicación
El Catálogo de datos profesionales también admite una autenticación en el nivel de aplicación secundaria. Esta autenticación se usa junto con la autenticación primaria configurada para el sistema. Es particularmente útil en situaciones en las que un aplicación back-end necesita que las credenciales de seguridad se pasen en las llamadas a métodos para autorizar usuarios, por ejemplo. Para habilitar la autenticación en el nivel de aplicación, realice los siguientes pasos.
En la propiedad SecondarySsoApplicationId de LobSystemInstance, especifique la aplicación de inicio de sesión único que contiene las credenciales.
Defina UsernameCredentialFilter y PasswordCredentialFilter, y asocie cada uno con un parámetro de entrada.
Vea también
Otros recursos
Autorización del Catálogo de datos profesionales
Ejemplos del Catálogo de datos profesionales