MOSS 2007 – Plan for single sign-on

La característica de inicio de sesión único (SSO) de Office SharePoint Server 2007 asigna credenciales de usuario a sistemas de datos back-end. SSO permite obtener acceso a datos desde servidores y servicios externos a Office SharePoint Server 2007. Desde Elementos web de Office SharePoint Server 2007, es posible ver, crear y cambiar estos datos. La característica de SSO garantiza que:

· Las credenciales de usuario se administran de forma segura.

· Se aplican los niveles de permisos de usuario que se configuran en el origen de datos externo.

· No se le pedirá a los usuarios que vuelvan a escribir sus credenciales al ver datos de orígenes de datos externos en Office SharePoint Server 2007.

· Office SharePoint Server 2007 pueda conectarse a varios sistemas de datos externos independientemente de la plataforma y los requisitos de autenticación.

SSO requiere el uso de credenciales de Windows para las cuentas de usuario. En entornos donde se usa el inicio de sesión web único para autenticar cuentas de usuario, SSO puede usarse sólo si el subproceso actual que invoca las interfaces de programación de aplicaciones (API) de SSO tiene una identidad de Windows asociada a él.

Common SSO scenarios

SSO se usa principalmente para escenarios de inteligencia empresarial. En Office SharePoint Server 2007, muchas características dependen de SSO, incluidas las siguientes:

· Catálogo de datos profesionales

· Excel Services

· InfoPath Forms Services

· Elementos web de datos profesionales

· Elemento web de KPI

· Elemento web de formulario de datos de Microsoft Office SharePoint Designer

· Búsqueda de datos profesionales

· Datos empresariales en listas

Además, se pueden incluir elementos web personalizados con conexión a orígenes de datos externos, incluidos aquellos que se basan en sistemas operativos distintos de Windows. Por ejemplo, puede establecer la conexión con las siguientes aplicaciones de empresa:

· SAP Business Information Warehouse

· Siebel eBusiness Applications

· Microsoft BizTalk Server

Office SharePoint Server SSO architecture

Microsoft Single Sign-On service

La característica de SSO de Office SharePoint Server 2007 usa el servicio de inicio de sesión único (SSOSrv) de Microsoft. En la siguiente ilustración, se muestra cómo se implementa el servicio de inicio de sesión único en una granja de servidores de Office SharePoint Server 2007.

SSO_MOSS2007

SSO encryption-key server

El primer equipo servidor en el que se habilita el servicio de inicio de sesión único se convierte en el servidor de clave de cifrado. El servidor de clave de cifrado genera y almacena la clave de cifrado. Esta clave se usa para cifrar y descifrar las credenciales almacenadas en la base de datos de SSO. El servidor de clave de cifrado debe ser un equipo servidor de aplicaciones, como un servidor de índices.

Single Sign-On service

Este servicio debe instalarse en todos los servidores web de la granja de servidores y, además, en los equipos que hospeden la función de servidor de aplicaciones de Excel Services. Si se usa una búsqueda en el Catálogo de datos profesionales, el servicio también deberá instalarse en el servidor de índices.

SSO database

Cuando se establece la configuración del servidor de SSO en el sitio de Administración central, Office SharePoint Server 2007 crea una base de datos de SSO en el servidor de base de datos que hospeda la base de datos de configuración. Si Microsoft SQL Server se encuentra instalado, la base de datos de SSO es una base de datos de SQL Server. De no ser así, el servicio de inicio de sesión único usa SQL Server 2005 Express Edition. La base de datos de SSO almacena las credenciales cifradas.

SSO tickets

En un entorno empresarial donde un usuario interactúa con diversos sistemas y aplicaciones, es muy probable que el entorno no mantenga el contexto de usuario a través de varios procesos, productos y equipos. Este contexto de usuario es fundamental para proporcionar funciones de inicio de sesión único, ya que es necesario comprobar quién inició la solicitud original. En escenarios donde varios servidores participan en el traspaso de credenciales desde el servidor de clave de cifrado hasta la aplicación de empresa, el servicio de inicio de sesión único proporciona un vale de SSO (no un vale Kerberos). Los servidores usan este vale para obtener las credenciales correspondientes al usuario que realizó la solicitud original.

Por ejemplo, un entorno de nóminas puede configurarse para tener acceso a datos en un sistema SAP a través de BizTalk Server. Si un elemento web se conecta al sistema SAP, las credenciales se distribuyen a través del equipo de servidor BizTalk Server. En un entorno de SSO, un elemento web envía un vale de SSO al servicio en el equipo de servidor BizTalk Server que se conecta con el sistema SAP. Si el usuario pertenece a una cuenta o cuenta de grupo que se ha especificado en la definición de aplicación de empresa, el servicio canjea el vale de SSO por credenciales para el sistema SAP. Para que el servicio del equipo de servidor BizTalk Server canjee los vales de SSO, la cuenta que usa el servicio debe agregarse al grupo de administradores de SSO.

El servicio de inicio de sesión único emite un vale cuando un usuario de Windows lo solicita o cuando una aplicación lo solicita en su nombre. El servicio de inicio de sesión único sólo puede emitir un vale para el usuario que realiza la solicitud (no es posible solicitar un vale para otros usuarios). Un vale contiene el nombre cifrado de usuario y de dominio correspondientes al usuario actual y la fecha de expiración del vale.

Una vez que la aplicación de empresa comprueba la identidad del solicitante original, canjea el vale para obtener las credenciales del usuario que inició la solicitud. De forma predeterminada, los vales expiran en dos minutos. Los administradores de SSO pueden modificar el tiempo de expiración de los vales. La validez del vale debe ser suficiente para abarcar el intervalo de tiempo desde que se emite hasta que se canjea.

SSO administration

La administración de SSO implica dos tipos de los administradores:

SSO administrators

Estos administradores establecen y configuran el SSO, administran las cuentas de SSO, realizan copias de seguridad de la clave de cifrado, y crean y cambian la clave de cifrado. Por motivos de seguridad, los administradores de SSO deben iniciar sesión en el servidor de clave de cifrado de forma local para establecer, configurar y administrar el SSO. Los administradores de SSO no pueden administrar la configuración del servidor de SSO desde un equipo servidor remoto.

Enterprise application definition administrators

Estos administradores crean y administran definiciones de aplicaciones de empresa, y actualizan las cuentas y credenciales que se usan para tener acceso a esas aplicaciones. Pueden administrar las definiciones de aplicaciones de empresa de forma remota.

Plan farm-level SSO settings

SSO encryption-key server

Determine qué equipo de la granja de servidores hospedará la función de servidor de clave de cifrado de SSO. La configuración recomendada es seleccionar un servidor de aplicaciones, como el servidor de índices, por las siguientes razones:

· Todos los servidores que ejecutan el servicio de inicio de sesión único deben tener la capacidad de comunicarse a través de la red con el servidor de clave de cifrado. Cuando se usa una granja de servidores con varios servidores web, algunas tecnologías de equilibrio de carga no permiten a los servidores web comunicarse entre sí.

· Los usuarios finales no tienen acceso directo a los servidores de aplicaciones y, por lo general, estos servidores están protegidos por niveles adicionales de seguridad. Por ejemplo, se suelen implementar protocolos de seguridad, como IPSec o SSL, para proteger la comunicación entre los servidores de una granja de servidores. Además, algunas topologías de granja implementan un enrutador o firewall adicional entre los servidores web y los servidores de aplicaciones.

El servicio de inicio de sesión único debe instalarse en cualquier servidor de aplicaciones que hospede la función de Excel Services. Si se usa una búsqueda en el Catálogo de datos profesionales, el servicio de inicio de sesión único también deberá instalarse en el servidor de índices. Estos requisitos permiten que cada uno de estos servidores sean una buena elección para la función de servidor de clave de cifrado.

SSO accounts

Hay cuatro cuentas diferentes que son necesarias para configurar, ejecutar y administrar el sistema de SSO:

· Cuenta de configuración de SSO.

· Cuenta de administrador de SSO.

· Cuenta de servicio de SSO.

· Cuenta de administrador de aplicación de empresa.

About justindeveloper

I am MCP (Microsoft Certified Professional). MCTS (Microsoft Certified Technology Specialist) and MCPD (Microsoft Certified Professional Developer), also I am SAP Business One Certified!! Desarrollando desde el IDE de Visual Studio NET 2003 hasta ahora con el Visual Studio NET 2010. Desde Microsoft SQL Server 2000 hasta ahora con el Microsoft SQL Server 2008 R2 y tambien con SharePoint, desde WSS 3.0 y MOSS 2007 y ahora familirizandome con el Sharepoint Foundation 2010 & Sharepoint Server 2010. The software development will follow being every time more wonderful!
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s