Autenticación

David MartosArquitecto de Software. Spenta Consultingdavid.martos@hotmail.comhttp://david-martos.blogspot.com

Introducción

Modelos de autenticación en SharePoint 2010

Modo clásico

Claims-based authentication

ADFS 2.0 (Geneva Server)

¿Por qué?

Objetivos

Historia

WSS v2: sólo Windows Authentication. Poca extensibilidad

WSS v3: Windows Authentication, FBA. Sistema extensible

Aparece SHAREPOINT\system

Elevación de privilegios

SharePoint Foundation: Claims-based Authentication, Legacy mode

Modelo de autenticación clásico

Windows authentication

Forms-based authentication

Claims-based authentication ( ¡ nuevo ! )

Mantiene la compatibilidad con SharePoint 2007

Modelo extensible

1 único proveedor por zona de internet

Nuevas características basadas en “claims” no soportadas

SSO para delegar credenciales

Ejemplos

Windows Authentication: Anónimo, Basic, Digest, Certificados, Kerberos, NTLM.

Forms Based Authentication: LDAP, SQL, Live ID…

Modelo de autenticación clásico en SharePoint 2010

Zona por defecto: Windows AuthenticationZona de internet: Live ID Authentication

Construido sobre WIF (Windows Identity Foundation)

Permite autenticación entre sistemas Windows y no-Windows

Delegación de identidades de usuario entre aplicaciones sin Kerberos mediante SAML

Múltiples formas de autenticación en la misma zona

Permite federación entre organizaciones

ACLs configuradas mediante listas de distribución, audiencias y orgs.

Selector de personas mejorado

¿Claims-based authorization?

Identity: principal usado para configurar políticas de seguridad

Claim: atributo de una identidad (Login Name, AD Group, etc)

Issuer: elemento de confianza que crea claims

Security Token: conjunto de claims serializados firmados digitalmente por una issuing authority (Windows security token o SAML)

Issuing Authority: proporciona tokens de seguridad sabiendo los claims que quiere una aplicación de destino.

Security Token Service (STS): construye, firma y proporciona tokens de seguridad.

Relying Party: aplicación que toma decisiones de autorización basándose en atributos.

Claims – based authenticationWindows authentication y FBA en una misma zona

ADFS 2.0 (Geneva Server)

Open ID authentication

Conclusiones

¿Preguntas?

©2009 Microsoft, Microsoft Dynamics, the Office logo, and Your potential. Our passion. are trademarks of the Microsoft group of companies. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.