Ir al contenido principal

SHAREPOINT 2013 : USE AD GROUPS ? YES, BUT…DON’T FORGET THE SECURITY TOKEN CACHING: LOGONTOKENCACHEEXPIRATIONWINDOW AND WINDOWSTOKENLIFETIME

 

06 de julio 2013 · por sergeluca · en SharePoint 2013 . ·
Una de las buenas prácticas en materia de seguridad de SharePoint es organizar los usuarios en grupos centralizados (como grupos de Active Directory) gestionados por el servicio de gestión de la identidad de la empresa y para anidar estos grupos en los grupos de seguridad de SharePoint. Este enfoque proporciona una gestión de seguridad fácil
Hay pros y los contras del uso de sólo los grupos de AD, pero básicamente el patrón habitual es:
  • en intranet / extranet: utilizar grupos de anuncios y anidar en grupos de SharePoint
  • en los sitios de colaboración: jugar más con los grupos de SharePoint y menos con grupos de AD (= más flexibilidad en la gestión de la seguridad)
Sin embargo , la semana pasada me di cuenta de que SharePoint no tomó mis modificaciones grupo AD en cuenta.
Uno de mi anuncio usuario contoso \ annab era parte de un grupo de ADdenominada miembros de la intranet .
En mi SP2013 intranet tuve un grupo de miembros de la Intranet (con la edición de nivel de permisos predeterminado).
Todo funcionó a la perfección ... hasta que me quité contoso \ Annab del grupo miembro . Incluso si ella no era parte del grupo más, Annab todavía era capaz de aportar.
Y por lo que yo recordaba, SharePoint 2010 no se comportaba así.
La razón es que por defecto de SharePoint 2013 reclamaciones utilizar la autenticación basada. Así que tenemos que hacer frente a las reclamaciones.
Por defecto, cuando se crea una aplicación web de Administración central, su aplicación web se basa en las reivindicaciones. En mi caso, yo estaba usando notificaciones de Windows muestra-en; las informaciones del grupo AD se convierten en reclamos y empaquetados en token de seguridad emitido por el STS (Security Token Service)
La vida útil de los tokens emitidos a inicios de sesión que utilizan inicio de sesión basado en Windows se define en el WindowsTokenLifetime propiedad del SecurityTokenServiceConfig (el valor predeterminado es de 10 horas)
El LogonTokenCacheExpirationWindow propiedad (10 minutos por defecto) de la SecurityTokenServiceConfig controla cuando SharePoint considerará que el token de seguridad ha caducado y awill pedir al usuario que vuelva a autenticarse con el emisor y obtener un nuevo token. SharePoint comprueba si el token de seguridad ha expirado en el inicio de cada solicitud.
por ejemplo, si WindowsTokenLifetime = 10 minutos y LogonTokenCacheExpirationWindow = 2 minutos
-> Esto significa que después de 10 minutos, 2 minutos = 8 minutos, SharePoint decidirá que el token de seguridad ha caducado.
-> Si el usuario solicita una página de SharePoint nueve minutos después de iniciar sesión, SharePoint comprueba si la sesión está a punto de expirar durante el tiempo en minutos representados por LogonTokenCacheExpirationWindow: en este caso la respuesta es sí, porque nueve más dos es superior al diez .
Estos son los valores por defecto:
imagen
La siguiente secuencia de comandos PowerShell establece la vida útil de 2 minutos (en lugar de 10 horas) y los LogonTokenCacheExpirationWindows a 1 minuto:
 
    • $mysts = Get-SPSecurityTokenServiceConfig
    • $mysts.WindowsTokenLifetime = (New-TimeSpan -Minutes 2)
    • $mysts.LogonTokenCacheExpirationWindow
    • $mysts.Update()

Cuando la señal de seguridad expira, el usuario se supone que volver a autenticarse (En realidad no me di cuenta de que, probablemente hay un NTLM re-negociación bajo la cubierta)
Asegúrese de que el LogonTokenCacheExpirationWindow es pequeño que el WindowsTokenLifetTime, de lo contrario el código de autenticación volverá a AD para la autenticación de nuevo. Y así sucesivamente, de ida y vuelta.

imagen
Con el fin de asegurarse de que Annab será capaz de ver el sitio, le he añadido a la Intranet Visitantes:
imagen
Al hacer clic sobre los miembros de Intranet, se obtiene el siguiente grupo de anuncios:
imagen
En este grupo AG, encontrará Annab:
imagen
Cuando registro en el sitio e ir a una biblioteca de documentos, de hecho Annab tiene los permisos necesarios para agregar documentos:
imagen
Ahora, vamos a eliminar Annab del grupo AD:
imagen
Annab todavía puede contribuir:
imagen
Pero después de 4 o 5 minutos (¿por qué no? 2 minutos, no lo sé todavía) que sólo puede leer, que es lo que yo esperaba.
imagen
Así que en resumen, siempre debe probar su SharePoint intranet / extranet configuración de seguridad mediante la definición de uno o varios usuarios de prueba virtuales que se pueden mover a diferentes grupos de AD, pero no se olvide de cambiar el LogonTokenCacheExpirationWindow y la WindowsTokenLifetime . Y ser paciente, como de costumbre.
En la producción de los valores por defecto debería estar bien.
Más enlaces:







































Etiquetas

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Get SharePoint Online Site and SubSites permission using PowerShell

The below PowerShell script retrieves the following for the given SharePoint Online Site All the Sub-site's URL Security group attached with each Sub-site with their permission level Prerequisites: This PowerShell script uses the latest version of SharePoint Online PnP Module. Download the installer from https://github.com/SharePoint/PnP-PowerShell/releases  Install-Module SharePointPnPPowerShellOnline  Install-Module - Name ' SharePointPnP.PowerShell.Commands.Files.Recurse ' function  connect - site( $webs , $creds ){    Connect - PNPonline  - Url  $webs   - Credentials  $cred     }    function  get - sitepermission( $web , $cred ){    $rec =@()    connect - site  - webs  $web   - creds  $cred     if ( $web   - eq  $parentsitename )  {  #Write-Host "Parent site permission" $web   $Pgroups =G...
Publicar un comentario
Leer más

O365 - Forms - Transferir la propiedad de un formulario

Fuente :  https://support.office.com/es-es/article/transferir-la-propiedad-de-un-formulario-921a6361-a4e5-44ea-bce9-c4ed63aa54b4 Si ha creado una encuesta, una prueba o un sondeo, puede moverlos fácilmente a un grupo para que todos los miembros del grupo se conviertan en propietarios de ese formulario. Transferir el formulario a un grupo En el explorador Web, vaya a  Forms.Office.com . En la pestaña  mis formularios  , busque el formulario que desea transferir. Haga clic en  más acciones de formulario    y, a continuación, seleccione  mover . Nota:  Solo puede mover el formulario si es el propietario de ese formulario. No puede transferir la propiedad de un formulario que está compartido con usted. Seleccione el grupo al que desea transferir el formulario y, a continuación, haga clic en  mover . El formulario que ha movido aparecerá en la pestaña  formularios de grupo  . ¿Qué ocurre con el libr...
Publicar un comentario
Leer más

Event ID 8031 The uri endpoint information may be stale

An exception occurred while updating addresses for connected app {6783ce5e-c88h-4021-8d5b-12614875cbfa_b79f19ab-1d40-4824-9911-3466cf8b070a}. The uri endpoint information may be stale. System.InvalidOperationException: The requested application could not be found.    at Microsoft.SharePoint.SPTopologyWebServiceApplicationProxy.ProcessCommonExceptions(Uri endpointAddress, String operationName, Exception ex, SPServiceLoadBalancerContext context)    at Microsoft.SharePoint.SPTopologyWebServiceApplicationProxy.ExecuteOnChannel(String operationName, CodeBlock codeBlock)    at Microsoft.SharePoint.SPTopologyWebServiceApplicationProxy.GetEndPoints(Guid serviceId)    at Microsoft.SharePoint.SPConnectedServiceApplicationAddressesRefreshJob.Execute(Guid targetInstanceId) After de-commissioning some SharePoint servers, you might notice the above error on other WFEs /Application server’s event viewer . It appears that the SharePoint still has a reference...
Publicar un comentario
Leer más