Se le redirigirá a una página de inicio de sesión o a una página de error, o se le pedirá información de autenticación al hacer clic en un hipervínculo a un sitio web de SSO en un documento de Office.

Síntomas

Al hacer clic en un hipervínculo en un documento de Microsoft Office, puede experimentar el siguiente comportamiento antes de abrir la página que solicitó:

• Se le redirigirá a una página de inicio de sesión o a una página de error.
• Se le pedirá información de autenticación.

Normalmente, este comportamiento se produce cuando se cumplen las condiciones siguientes:

• El documento de Office se abre en modo de edición fuera del explorador web.
• El sitio web del hipervínculo usa un sistema de autenticación de Sign-On único (SSO) que se basa en cookies de sesión HTTP para la identificación del cliente. Incluso si ya ha proporcionado las credenciales de usuario, se le pedirá que vuelva a proporcionar las credenciales de usuario.

Causa

Office le permite editar y crear documentos en un sitio web si el servidor admite la creación y colaboración web. En primer lugar, Office intenta comunicarse con el servidor web. A continuación, Office intenta enlazar directamente al recurso mediante la Biblioteca de hipervínculos de Microsoft (Hlink.dll) y la API URLMON.

Cuando Office envía la solicitud de página web, es posible que se le redirija a la página de inicio de sesión del sitio web para el sistema sso. Este comportamiento se produce porque la sesión de Office es independiente de la sesión del explorador web en la que es posible que ya haya proporcionado credenciales de usuario.

Dado que las sesiones son independientes, las cookies de sesión no se comparten. Si el sistema sso se basa exclusivamente en la información de cookies de sesión, es posible que el sistema sso no parezca funcionar porque el mismo usuario se mueve desde más de una sesión. Este comportamiento es una limitación de diseño fundamental de un sistema sso cuando el sistema sso no está diseñado para admitir la autenticación sso en más de un explorador o aplicación compatible con web en el escritorio cliente. Dado que Office es una aplicación totalmente compatible con la Web, el problema puede parecer único para las aplicaciones de Office si son los únicos clientes compatibles con la Web instalados por el cliente. Sin embargo, la causa principal de este problema no se limita a Microsoft Office, y este problema puede producirse cuando se usa software de terceros.

Solución alternativa

El problema es una limitación del sistema sso que usa el servidor web. Sin embargo, es posible que pueda reducir los efectos actuales del sitio web protegido con SSO mediante uno de los métodos siguientes.

Hipervínculos de Internet Explorer a Office

Si este problema se produce cuando los hipervínculos de una página web abren un archivo de Office y la página web se hospeda en Internet Explorer, puede evitar este problema marcando explícitamente el contenido como una descarga de solo lectura en lugar de como navegación insertada.

Para ello, agregue un encabezado HTTP personalizado a la respuesta GET para el contenido del archivo de Office. Agregue el encabezado "Content-Disposition: Attachment". Cuando una respuesta GET contiene este encabezado, Internet Explorer pide al usuario que abra o guarde la descarga. Si el usuario decide abrir la descarga, el archivo se abre desde la caché de archivos temporales de Internet Explorer de solo lectura. El usuario puede optar por modificar y guardar el archivo localmente. Sin embargo, el usuario no podrá guardar el archivo en el servidor ni colaborar con servicios web para el sitio web. Por lo tanto, esta solución solo funciona si tiene la intención de hacer que el archivo sea de solo lectura.

Puede establecer el encabezado "Content-Disposition" mediante código en Microsoft Active Server Pages (ASP), en Microsoft ASP.NET o en ISAPI cuando trabaje con contenido generado dinámicamente. Si el contenido es estático, puede configurar el encabezado de un archivo o carpeta determinados mediante el Administrador de IIS y la metabase de IIS. Para obtener más información sobre el encabezado HTTP Content-Disposition, vea Cómo generar un cuadro de diálogo Descarga de archivos para un tipo MIME conocido.

Hipervínculos de Office a Internet Explorer o a otro explorador web

Si este problema se produce al hacer clic en hipervínculos en documentos de Office que abren directamente contenido web HTML o se redirigen al contenido HTML, los usuarios cliente pueden evitar el problema habilitando una clave del Registro para enviar la navegación del hipervínculo al explorador en lugar de enlazar directamente al hipervínculo desde Office. Para obtener más información, vea Mensaje de error al hacer clic en el hipervínculo en Office: "No se puede encontrar el servidor de Internet o el servidor proxy".

Cuando se usa esta configuración del Registro, el componente HLINK que usa Office abre el hipervínculo en el explorador web predeterminado. Esta configuración del Registro afecta a todos los clientes de HLINK, no solo a Office. Por lo tanto, use esta clave del Registro con cuidado.

Más información

Para resolver completamente este problema, recomendamos a los proveedores de SSO que desarrollen un sistema que pueda permitir la creación web y un cliente que use varias sesiones. Esta configuración agrega complejidad al sistema sso. Sin embargo, esta configuración también ofrece a los clientes las opciones de mayor facilidad de uso. Microsoft trabaja actualmente con proveedores de SSO clave para una solución a largo plazo.

Además, Microsoft está investigando cómo los usuarios finales usan Office para predecir y administrar mejor los siguientes escenarios:

• El usuario tiene la intención de abrir un hipervínculo en modo de solo lectura. En este escenario, el hipervínculo se abre en modo de exploración.
• El usuario quiere modificar el contenido. En este escenario, se requiere una nueva sesión para la creación y la colaboración.

Estos cambios de configuración pueden reducir el efecto del problema que se describe en la sección "Síntomas". Estos cambios también pueden agregar flexibilidad al usuario cuando el usuario visita un sitio de SSO que no admite configuraciones que incluyen clientes de varias sesiones.

Si es un diseñador o desarrollador de SSO, puede agregar compatibilidad con clientes de varias sesiones. Por ejemplo, puede usar los métodos siguientes:

• Use información de cookies persistente e información de cookies de sesión para identificar cuándo un único cliente ha cruzado sesiones entre aplicaciones en el escritorio. A continuación, proporcione respuestas web para volver a transferir el cliente a una sola sesión o para autenticar la nueva sesión.

• Use un componente del lado cliente para crear un sistema de autenticación integrado. Use este sistema de autenticación integrado para autenticar todos los procesos que se inician con el mismo token de autenticación de usuario.

• Use certificados u otro método de identificación persistente pero mejorado por la seguridad para autenticar el cliente.

• Para una solicitud HTTP que puede ser una solicitud de cliente de varias sesiones, emita una respuesta de redireccionamiento del lado cliente en lugar de una respuesta de redireccionamiento del lado servidor. Por ejemplo, envíe un script HTTP o una etiqueta META REFRESH en lugar de una respuesta HTTP 302. Este cambio obliga al cliente a volver al explorador web predeterminado del usuario. Por lo tanto, la sesión predeterminada del explorador puede controlar la llamada y puede mantener la llamada en una única sesión de solo lectura.

  Este método no permite la creación. Sin embargo, este método deja claro que el sistema sso no controla los clientes de varias sesiones y quiere que el cliente permanezca solo en la sesión predeterminada del explorador.

El enfoque exacto de este cambio de configuración depende de los objetivos de diseño y del nivel de integración que quiera tener con el escritorio cliente.