Seguridad en la característica de federación (Search Server 2008)

Actualizado: 2008-10-09

En este artículo se explican los procedimientos de seguridad recomendados para la característica Federación de Microsoft Search Server 2008. Deben leerlo los profesionales de las tecnologías de la información así como los arquitectos de sistemas y administradores de servicios de búsqueda.

Información general sobre la federación de búsquedas

La búsqueda federada permite a los usuarios finales emitir una consulta que puede realizar consultas en uno o más motores de búsqueda compatibles con Open-search 1.1 y mostrar los resultados de cada motor de búsqueda en un elemento web independiente en una sola página de resultados de búsqueda. Estos orígenes pueden ser repositorios de contenido de empresa, otros motores de búsqueda o partes del índice de contenido. Para obtener más información sobre la federación de búsquedas, vea la información general sobre búsquedas federadas (en inglés) (https://go.microsoft.com/fwlink/?linkid=122651&clcid=0xC0A) (en inglés) y Trabajo con la federación (Search Server 2008).

Tipos de autenticación

En las búsquedas federadas existen varios tipos de autenticación de usuario, credenciales comunes y por usuario. Es importante tener en cuenta, sin embargo, que recopilar las credenciales requiere una extensión de elementos web para tipos de autenticación que no son Kerberos en la autenticación por usuario. En la sección de información sobre autenticación y credenciales de la definición de ubicación, se debe especificar el tipo de autenticación para la ubicación federada. El tipo de autenticación puede ser uno de los siguientes:

  • Anónima

    No es necesario especificar ninguna credencial para conectarse a la ubicación federada.

  • Común

    Cada conexión usa el mismo conjunto de credenciales para conectarse a la ubicación federada.

  • Por usuario

    Las credenciales del usuario que envió la consulta de búsqueda se usan para la conexión con la ubicación federada.

Para los tipos de autenticación común y por usuario, también se debe especificar uno de los protocolos de autenticación siguientes:

  • Básica

    La autenticación básica forma parte de la especificación HTTP y es compatible con la mayoría de los exploradores.

    Security noteSeguridad Nota:

    Los exploradores web que usan la autenticación básica transmiten contraseñas sin cifrar. Si un usuario malintencionado supervisa las comunicaciones en la red, puede usar las herramientas disponibles públicamente para interceptar y descodificar esas contraseñas. Por lo tanto, la autenticación básica no se recomienda a menos que existan garantías de que la conexión es segura, como sería el caso de una línea dedicada o una conexión SSL (Capa de sockets seguros).

  • Implícita

    La autenticación implícita se basa en el protocolo HTTP 1.1, como se ha definido en la especificación RFC 2617 en el sitio web de World Wide Web Consortium (W3C). Como la autenticación implícita requiere compatibilidad con HTTP 1.1, algunos exploradores no la admiten. Si un explorador que no es compatible con HTTP 1.1 solicita un archivo cuando está habilitada la autenticación implícita, se rechaza la solicitud porque el cliente no admite la autenticación implícita. La autenticación implícita sólo puede usarse en dominios de Windows. Funciona sólo con cuentas de dominio de Microsoft Windows Server 2008, Microsoft Windows Server 2003 y Microsoft Windows 2000 Server y puede requerir que se almacenen las contraseñas como texto sin formato cifrado en las cuentas.

  • NTLM

    Los registros de usuario se almacenan en la base de datos del Administrador de cuentas de seguridad (SAM) o en la base de datos de Active Directory. Cada cuenta de usuario se asocia a dos contraseñas: la contraseña compatible con el administrador de la red LAN y la contraseña de Windows. Cada contraseña se cifra y se almacena en la base de datos de SAM o en la base de datos de Active Directory.

  • Kerberos (sólo para el tipo de autenticación por usuario)

    Mediante el protocolo Kerberos, una parte en cualquier extremo de una conexión de red puede comprobar que la parte en el otro extremo es la entidad que dice ser. Aunque NTLM permite que los servidores comprueben las identidades de sus clientes, NTLM no permite a los clientes comprobar la identidad de un servidor, ni permite que un servidor compruebe la identidad de otro. La autenticación NTLM está diseñada para un entorno de red en el que los servidores son de confianza.

  • Formularios

    Una cookie de autenticación de formularios es el contenedor de un vale de autenticación de formularios. Cada solicitud pasa el vale como valor de la cookie de autenticación de formularios y se usa en la autenticación de formularios, en el servidor, para identificar a un usuario autenticado. Sin embargo, la autenticación de formularios sin cookies pasa el vale en la dirección URL en un formato cifrado. Se usa la autenticación de formularios sin cookies porque los exploradores cliente podrían bloquear las cookies. Esta característica se introduce en Microsoft .NET Framework 2.0.

Recorte de seguridad en búsquedas federadas

Una consideración importante que debe evaluarse al realizar búsquedas federadas es el recorte de seguridad de los resultados de búsqueda. El recorte de seguridad es un método mediante el cual los resultados devueltos se filtran de acuerdo con los permisos de cuenta del usuario. De forma predeterminada, el recorte de seguridad de los resultados de búsqueda continúa para los resultados devueltos por:

  • Granja de servidores local

    En escenarios donde la ubicación federada es una ubicación Open Search y está configurada para la autenticación por usuario, las credenciales de un usuario se pasan automáticamente si se usa la autenticación Kerberos. Sin embargo, las credenciales de usuario no se pasan automáticamente si se usan protocolos de autenticación que no sean Kerberos. Para garantizar que se realiza un recorte de seguridad en los resultados del usuario actual en este tipo de escenario, amplíe el elemento web de resultados federados de modo que recopile las credenciales de usuario. Para obtener más información, vea el tema relativo a la creación de elementos web de búsqueda federada personalizados con una interfaz de usuario de credenciales (en inglés) (https://go.microsoft.com/fwlink/?linkid=122653&clcid=0xC0A) (en inglés).

  • Si no se usa la autenticación Kerberos, también debe ampliar los elementos web de búsquedas federadas de modo que recopilen las credenciales de usuario si desea asegurarse de que los resultados de búsqueda para las ubicaciones OpenSearch (todas las ubicaciones que no son de la granja de servidores locales) tienen recorte de seguridad para cada usuario.

Para obtener más información sobre la seguridad en Search Server 2008, vea Seguridad y protección para Search Server 2008 y Consideraciones de seguridad para la búsqueda (Search Server 2008).