Planejar a autenticação Kerberos no SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
O protocolo Kerberos suporta um método de autenticação que usa tíquetes fornecidos por uma fonte confiável. Os tíquetes Kerberos indicam que as credenciais de rede de um usuário associado a um computador cliente foram autenticadas. O protocolo Kerberos define como os usuários interagem com um serviço de rede para obter acesso aos recursos da rede. A Central de Distribuição de Chave do Kerberos (KDC) emite um ticket-granting-ticket (TGT) para um computador cliente, em nome de um usuário. No Windows, o computador cliente é um membro de um domínio de Serviços de Domínio do Active Directory (AD DS) e o TGT é a prova de que o controlador de domínio autenticou as credenciais do usuário.
Antes de estabelecer uma conexão a um serviço de rede, o computador cliente apresenta seu TGT para o KDC e solicita um tíquete de serviço. Com base no TGT previamente emitido, que confirma que o computador cliente foi autenticado, o KDC emite um tíquete de serviço para o computador cliente. Em seguida, o computador cliente envia o tíquete de serviço para o serviço de rede. O tíquete de serviço também deve conter um Nome principal de serviço (SPN) aceitável que identifique o serviço. Para permitir a autenticação Kerberos, os computadores cliente e servidor já devem ter uma conexão confiável ao KDC. Os computadores cliente e servidor também devem poder acessar o AD DS.
Autenticação Kerberos e SharePoint Server
Os motivos pelos quais você deveria considerar a autenticação Kerberos são os seguintes:
O protocolo Kerberos é o protocolo de autenticação integrada mais forte do Windows, e suporta recursos de segurança avançados que incluem a criptografia Padrão de Criptografia Avançada (AES) e a autenticação mútua de clientes e servidores.
O protocolo Kerberos permite a delegação das credenciais do cliente.
Entre os métodos de autenticação seguros disponíveis, o Kerberos exige a menor quantidade de tráfego de rede para os controladores do domínio AD DS. O Kerberos pode reduzir a latência de página em certos cenários, ou aumentar o número de páginas que um servidor da Web de front-end pode servir em certos cenários. O Kerberos também pode reduzir a carga nos controladores de domínio.
O protocolo Kerberos é aberto e suportado por muitas plataformas e fornecedores.
Os motivos pelos quais a autenticação Kerberos pode não ser apropriada são os seguintes:
Diferente de outros métodos de autenticação, o Kerberos exige infraestrutura adicional e que a configuração do ambiente funcione corretamente. Em muitos casos, a permissão do administrador do domínio é exigida para configurar a autenticação Kerberos, que pode ser difícil de configurar e gerenciar. A configuração incorreta do Kerberos pode impedir o sucesso na autenticação de seus sites.
A autenticação Kerberos exige a conectividade do computador cliente a um KDC e a um controlador de domínio AD DS. Em uma implantação do Windows e do SharePoint, o KDC é um controlador de domínio AD DS. Embora essa seja uma configuração de rede comum em uma intranet corporativa,as implantações voltadas à Internet normalmente não são configurada dessa maneira.
Delegação Kerberos
A autenticação Kerberos suporta a delegação da identidade do cliente. Isto significa que um serviço pode representar a identidade de um cliente autenticado. A personificação permite que um serviço transfira a identidade autenticada para outros serviços da rede, em nome do cliente. A autenticação baseada em declarações também pode ser usada para delegar as credenciais do cliente, mas exige que o aplicativo de back-end esteja ciente da declaração.
Utilizado com o SharePoint Server, a delegação kerberos permite que um serviço de front-end autentique um cliente e, em seguida, utilize a identidade do cliente para autenticar num sistema de back-end. Em seguida, o sistema de back-end executa sua própria autenticação. Quando um cliente usa a autenticação Kerberos para autenticar com um serviço de front-end, a delegação Kerberos pode ser usada para transferir a identidade de um cliente para um sistema de back-end. O protocolo Kerberos suporta dois tipos de delegação:
Delegação Kerberos básica (irrestrita)
Delegação Kerberos restrita
Delegação Kerberos básica e restrita
A delegação Kerberos básica pode atravessar os limites do domínio dentro da mesma floresta, mas não um limite de floresta. A delegação restrita não pode atravessar limites de domínio ou floresta, exceto quando você está usando controladores de domínio que executam o Windows Server 2012.
Dependendo dos aplicativos de serviço que fazem parte da implantação do SharePoint Server, implementar autenticações Kerberos com o SharePoint Server pode exigir a delegação Kerberos restrita.
Importante
Para implementar a autenticação Kerberos com qualquer uma das seguintes aplicações de serviço, o SharePoint Server e todas as origens de dados externas têm de residir no mesmo domínio do Windows: > Serviços Do Excel PerformancePoint > Services > InfoPath Forms Services > Visio Services > Estas aplicações de serviço não estão disponíveis no SharePoint Foundation 2013. O Excel Services não está disponível no SharePoint Server 2016.
Para implantar a autenticação Kerberos com um dos aplicativos de serviço ou produtos a seguir, o SharePoint Server pode usar a delegação Kerberos básica ou restrita:
Serviço Conectividade de Dados Corporativos (esse aplicativo de serviço não está disponível no SharePoint Foundation 2013)
Serviços do Access (esse aplicativo de serviço não está disponível no SharePoint Foundation 2013)
SQL Server Reporting Services (SSRS) (um produto separado)
Project Server 2016 (um produto separado)
Os serviços ativados para a autenticação Kerberos podem delegar a identidade múltiplas vezes. À medida que uma identidade é transferida de um serviço para outro, o método de delegação pode mudar da Kerberos básica para a restrita. No entanto, o contrário não é possível. O método de delegação não pode mudar da Kerberos restrita para a básica. Portanto, é importante prever e planejar se um serviço de back-end irá exigir a delegação Kerberos básica. Isso pode afetar o planejamento e o design de limites de domínio.
Um serviço ativado para o Kerberos pode usar a transição do protocolo para converter uma identidade não Kerberos em uma identidade Kerberos, que pode ser delegada para outros serviços ativados para o Kerberos. Essa capacidade pode ser usada, por exemplo, para delegar uma identidade não Kerberos de um serviço de front-end para uma identidade Kerberos em um serviço de back-end.
Importante
A transição de protocolo exige a delegação Kerberos restrita. Portanto, as identidades com transição pelo protocolo não podem atravessar os limites de domínio.
A autenticação baseada em declarações pode ser usada como uma alternativa à delegação Kerberos. A autenticação baseada em afirmações permite que a afirmação de autenticação de um cliente seja transmitida entre diferentes serviços se os serviços cumprirem todos os seguintes critérios:
Deve haver uma relação de confiança entre os serviços.
Os serviços devem estar cientes da declaração.
Para obter mais informações sobre a autenticação Kerberos, consulte os recursos a seguir:
Autenticação Kerberos e autenticação baseada em declarações
O SharePoint 2013 e o SharePoint Server 2016 suportam a autenticação baseada em afirmações. A autenticação baseada em afirmações baseia-se no Windows Identity Foundation (WIF), que é um conjunto de classes .NET Framework que são utilizadas para implementar a identidade baseada em afirmações. Esse tipo de autenticação se baseia em padrões como WS-Federation e WS-Trust. Para saber mais sobre a autenticação baseada em declarações, confira os recursos a seguir:
Quando cria uma aplicação Web do SharePoint Server com a Administração Central, tem de selecionar um ou mais tipos de autenticação baseados em afirmações. Quando cria uma aplicação Web do SharePoint Server com o cmdlet Do Microsoft PowerShell New-SPWebApplication , pode especificar tipos de autenticação de afirmações e autenticação de afirmações ou autenticação de modo clássico. A autenticação de declarações é recomendada para todos os aplicativos Web do SharePoint Server. Usando a autenticação de declarações, todos os tipos de autenticação com suporte estão disponíveis para seus aplicativos Web e você aproveita as vantagens da autenticação de servidor para servidor e de aplicativos. Para obter mais informações, veja Novidades na autenticação do SharePoint Server 2013.
Importante
Os seguintes aplicativos de serviço no SharePoint Server exigem a conversão das credenciais baseadas em declarações em credenciais do Windows. Este processo de tradução utiliza o Serviço de Tokens do Windows (C2WTS): >Serviços Do Excel>PerformancePoint Services>InfoPath Forms Services>Visio Services>> Estas aplicações de serviço não estão disponíveis no SharePoint Foundation 2013. O Excel Services não está disponível no SharePoint Server 2016.
Os aplicativos de serviço que exigem o C2WTS devem usar a delegação Kerberos restrita, porque o C2WTS requer a transição de protocolo suportada apenas por esse tipo de delegação. Para os aplicativos de serviço na lista prévia, o C2WTS converte as declarações dentro do farm em credenciais do Windows para a autenticação de saída. É importante entender que esses aplicativos de serviço podem usar o C2WTS somente se o método de autenticação de entrada for as declarações do Windows ou o modo clássico do Windows. Os aplicativos de serviço acessados por aplicativos da web que usam declarações de Linguagem de Marcação da Afirmação de Segurança (SAML) ou declarações de autenticação baseadas em formulário não usam o C2WTS. Portanto, eles não podem converter declarações em credenciais do Windows.
Autenticação Kerberos e o novo modelo de aplicativo do SharePoint
Se você estiver usando o modo de declaração do Windows para a autenticação do usuário e o aplicativo da web for configurado para usar somente a autenticação Kerberos, sem retornar ao NTLM como o protocolo de autenticação, a autenticação do aplicativo não funciona. Para saber mais, confira Plan for app authentication in SharePoint Server.
Confira também
Conceitos
Plano para métodos de autenticação do usuário no SharePoint Server