Autenticación de Windows integrada ( IWA ) [1] es un término asociado con los productos de Microsoft que se refiere a los protocolos de autenticación SPNEGO , Kerberos y NTLMSSP con respecto a la funcionalidad SSPI introducida con Microsoft Windows 2000 e incluida conlos sistemas operativos posteriores basados en Windows NT . El término se usa más comúnmente para las conexiones autenticadas automáticamente entre Microsoft Internet Information Services , Internet Explorer y otrasaplicaciones compatibles con Active Directory .
IWA también es conocida por varios nombres como autenticación HTTP Negotiate , Autenticación NT , [2] Autenticación NTLM , [3] Autenticación de dominio , [4] Autenticación integrada de Windows , [5] Autenticación de desafío / respuesta de Windows NT , [6] o simplemente Windows Autenticación .
La autenticación de Windows integrada utiliza las características de seguridad de los clientes y servidores de Windows. A diferencia de la autenticación básica o implícita, inicialmente no solicita a los usuarios un nombre de usuario y una contraseña. La información del usuario actual de Windows en la computadora cliente es proporcionada por el navegador web a través de un intercambio criptográfico que involucra hash con el servidor web. Si el intercambio de autenticación inicialmente no identifica al usuario, el navegador web le pedirá al usuario un nombre de usuario y una contraseña de la cuenta de Windows.
La autenticación de Windows integrada en sí no es un estándar ni un protocolo de autenticación. Cuando se selecciona IWA como una opción de un programa (por ejemplo, dentro de la pestaña Seguridad de directorio del cuadro de diálogo de propiedades del sitio IIS ) [7], esto implica que los mecanismos de seguridad subyacentes deben usarse en un orden preferencial. Si el proveedor de Kerberos funciona y se puede obtener un vale de Kerberos para el destino, y cualquier configuración asociada permite que se produzca la autenticación de Kerberos (por ejemplo, la configuración de sitios de Intranet en Internet Explorer ), se intentará el protocolo Kerberos 5. De lo contrario NTLMSSPse intenta la autenticación. De manera similar, si se intenta la autenticación Kerberos, pero falla, se intenta NTLMSSP. IWA utiliza SPNEGO para permitir que los iniciadores y aceptadores negocien Kerberos o NTLMSSP. Las utilidades de terceros han extendido el paradigma de la autenticación integrada de Windows a los sistemas UNIX, Linux y Mac.
La autenticación de Windows integrada funciona con la mayoría de los navegadores web modernos, [8] pero no funciona con algunos servidores proxy HTTP . [7] Por lo tanto, es mejor usarlo en intranets donde todos los clientes están dentro de un solo dominio . Puede funcionar con otros navegadores web si se han configurado para pasar las credenciales de inicio de sesión del usuario al servidor que solicita autenticación. Cuando un proxy requiere autenticación NTLM, es posible que algunas aplicaciones como Java no funcionen porque el protocolo no se describe en RFC-2069 para la autenticación de proxy.