Crónica / Reportaje

Cuidado requerido al ampliar capacidad de SharePoint 2010 externamente

Seamos realistas, el método habitual de utilizar el correo electrónico para solicitar información a un socio de negocios para un proyecto conjunto es ineficiente. Alguien en una organización típicamente envía un mensaje a alguien en el otro, entonces debe esperar una respuesta y esperar que contenga toda la información que necesitaba.

En el entorno actual de la información en rápida expansión, hay mejores maneras para que las empresas colaboren. Entre los usuarios de SharePoint, las capacidades de  SharePoint 2010 se extienden más allá de las paredes de la organización y se puede permitir que los socios, clientes, proveedores e incluso los empleados remotos de forma fácil y con acceso eficiente al contenido que necesitan para unir fuerzas con eficacia.

Un enfoque consiste en crear un entorno de extranet, como parte de su estrategia de SharePoint. Los usuarios autorizados de otras organizaciones pueden navegar a un sitio de SharePoint en la extranet y recuperar la información por sí mismos. Además, dado que todo el proceso está basado en Web, es posible crear aplicaciones de SharePoint que están diseñados para hacer la colaboración más fácil de negocio a negocio. Por ejemplo, un cliente puede utilizar una aplicación de SharePoint dedicado para acceder a su inventario de productos para determinar lo que él o ella pueden pedir.

Pero mientras la apertura de las capacidades y contenidos de SharePoint 2010 a los clientes y otros usuarios externos pueden aliviar los problemas de flujo de trabajo en procesos de colaboración, que permite la colaboración a nivel extranet para todos los interesados ​​viene con desafíos. Entre ellos se encuentran los problemas de seguridad tales como la autenticación de usuario y control de acceso.

Autenticación, las aplicaciones Web

Autenticación, por supuesto, es el proceso de confirmación de la identidad de un usuario. SharePoint no lleva a cabo su propia autenticación. Normalmente, el proceso de autenticación está vinculado con el protocolo Kerberos y el servicio de Active Directory de Microsoft. Eso hizo que el acceso extranet muy difícil en SharePoint 2007, pero el modelo de autenticación cambió todo en SharePoint 2010, por lo que es más fácil de ampliar el acceso a los usuarios a través de una extranet.

SharePoint 2010 se ha diseñado para utilizar autenticación basada en notificaciones (SharePoint autenticación legado aunque 2007 aún se admite). La principal ventaja de este modelo de autenticación de nuevo es que significa SharePoint puede soportar varios proveedores de autenticación, un mecanismo externo que confirma la identidad de los usuarios. Eso hace que sea posible para autenticar usuarios externos sin que tengan que acceder a su Active Directory y sin necesidad de una confianza federada, que es una relación de confianza entre dos bosques de Active Directory.

A menudo habrá razones para que ciertos contenidos a disposición de los usuarios externos sin exponer a un sitio de SharePoint entero a ellos. Por ejemplo, un socio del proyecto que sólo tenga acceso a un subconjunto de la información que está disponible en un sitio. Otra situación común es que puede haber varios usuarios externos (por ejemplo, los diferentes socios, clientes o proveedores) que necesitan acceder a los mismos contenidos y, sin embargo deben ser protegidos unos de otros.

En tales situaciones, lo mejor que puede hacer es extender una aplicación web de SharePoint para apoyar a los diferentes usuarios en diferentes dominios. Cuando se desarrolla una aplicación web en SharePoint, o bien crear un sitio web de Internet Information Services (IIS) que actúa como una puerta de acceso a la aplicación para los usuarios o si decide utilizar una base de sitio IIS para ese fin. Dado que cada aplicación web tiene su base de datos de contenido propio, no se puede construir una aplicación separada para cada usuario externo que requiere el acceso a una base de datos particular. En su lugar, extender la aplicación web mediante la vinculación de una base de datos de contenido único a múltiples sitios de IIS. Esto le permite crear un sitio separado para cada usuario externo, sino de una manera que le permite a él o ella todo el acceso al mismo contenido.

El proceso de ampliación de una aplicación web es relativamente sencillo. La Administración central del sitio de SharePoint contiene una “Crear o extender una aplicación web” opción que se puede encontrar en la sección Administración de Aplicaciones Web de SharePoint, instrucciones sobre cómo utilizar esa opción está disponible en la biblioteca de Microsoft TechNet.

Topología de red requisitos

Microsoft recomienda que los recursos de SharePoint disponibles para los usuarios externos mediante la colocación de su Forefront Unified Access Gateway (UAG) del servidor remoto de control de acceso en el perímetro de la red. Forefront UAG permite la publicación segura de los recursos Web internos que utilizan el protocolo Secure Sockets Layer. Si bien es posible publicar los recursos de SharePoint a través de otros tipos de firewalls, Forefront UAG ofrece unas cuantas ventajas cuando se trata de acceso a la extranet de SharePoint.

La más importante de estas ventajas es algo que Microsoft llama “mitigación de fugas de información”. Forefront UAG limpia los dispositivos cliente vaciando el contenido almacenado en caché y eliminando los archivos temporales y cookies con el fin de proteger sus datos de SharePoint. Además, Forefront UAG apoya el uso de “autorización de punto final basado en la salud”, que permite a los administradores definir una serie de requisitos de seguridad que los sistemas cliente deben cumplir antes de obtener acceso a los recursos de SharePoint. Por ejemplo, es común que los usuarios deban instalar software antivirus actualizado en sus sistemas y el Firewall de Windows.

Hay por lo menos seis diferentes topologías de red disponible para proporcionar a los usuarios externos con acceso a SharePoint. La arquitectura más sencilla consiste en colocar un servidor de Forefront UAG en el perímetro de la red y operación de todos los servidores de SharePoint dentro de la red corporativa.

A pesar de que la arquitectura es rentable y fácil de implementar, usar esto significa que los usuarios autenticados externos accesarán a los servidores de SharePoint dentro de su red corporativa. Algunas organizaciones prefieren mover algunos recursos de SharePoint a su red perimetral para evitar que los usuarios externos puedan conectarse directamente a los servidores corporativos.

Ampliación de contenido de SharePoint para los usuarios externos en una extranet crea problemas de seguridad que cada organización debe evaluar y planificar como parte de su proceso de colaboración. No se deje atrapar sin garantías adecuadas y protecciones cuando usted ofrece sus datos disponibles más allá de los confines de su empresa.

SOBRE EL AUTOR:

Brien M. Posey es un MVP de Microsoft con dos décadas de experiencia en TI. Antes de convertirse en un Escritor Independiente Especializado, Posey fue Director de Información de una cadena nacional de hospitales y centros de salud y Administrador de red para las compañías de seguros y el Departamento de Defensa.


Esto fue publicado por primera vez en noviembre 2012

Unirse a la conversación Comenta

Compartir
Comentas

    Resultados

    Contribuye a la conversacion

    Todos los campos son obligatorios. Los comentarios aparecerán en la parte inferior del artículo