Autenticación
David MartosArquitecto de Software. Spenta [email protected]://david-martos.blogspot.com
Introducción
Modelos de autenticación en SharePoint 2010
Modo clásico
Claims-based authentication
ADFS 2.0 (Geneva Server)
¿Por qué?
Objetivos
Historia
WSS v2: sólo Windows Authentication. Poca extensibilidad
WSS v3: Windows Authentication, FBA. Sistema extensible
Aparece SHAREPOINT\system
Elevación de privilegios
SharePoint Foundation: Claims-based Authentication, Legacy mode
Modelo de autenticación clásico
Windows authentication
Forms-based authentication
Claims-based authentication ( ¡ nuevo ! )
Mantiene la compatibilidad con SharePoint 2007
Modelo extensible
1 único proveedor por zona de internet
Nuevas características basadas en “claims” no soportadas
SSO para delegar credenciales
Ejemplos
Windows Authentication: Anónimo, Basic, Digest, Certificados, Kerberos, NTLM.
Forms Based Authentication: LDAP, SQL, Live ID…
Modelo de autenticación clásico en SharePoint 2010
Zona por defecto: Windows AuthenticationZona de internet: Live ID Authentication
Construido sobre WIF (Windows Identity Foundation)
Permite autenticación entre sistemas Windows y no-Windows
Delegación de identidades de usuario entre aplicaciones sin Kerberos mediante SAML
Múltiples formas de autenticación en la misma zona
Permite federación entre organizaciones
ACLs configuradas mediante listas de distribución, audiencias y orgs.
Selector de personas mejorado
¿Claims-based authorization?
Identity: principal usado para configurar políticas de seguridad
Claim: atributo de una identidad (Login Name, AD Group, etc)
Issuer: elemento de confianza que crea claims
Security Token: conjunto de claims serializados firmados digitalmente por una issuing authority (Windows security token o SAML)
Issuing Authority: proporciona tokens de seguridad sabiendo los claims que quiere una aplicación de destino.
Security Token Service (STS): construye, firma y proporciona tokens de seguridad.
Relying Party: aplicación que toma decisiones de autorización basándose en atributos.
Claims – based authenticationWindows authentication y FBA en una misma zona
ADFS 2.0 (Geneva Server)
Open ID authentication
Conclusiones
¿Preguntas?
©2009 Microsoft, Microsoft Dynamics, the Office logo, and Your potential. Our passion. are trademarks of the Microsoft group of companies. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.