Eseguire la migrazione dall'autenticazione in modalità classica a quella basata su attestazioni in SharePoint 2013
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
L'autenticazione basata sulle attestazioni è un elemento indispensabile per abilitare le funzionalità avanzate di SharePoint 2013. Per spostare le applicazioni Web in modalità classica da Prodotti SharePoint 2010 a SharePoint 2013, è possibile convertirle in applicazioni Web basate sulle attestazioni all'interno di Prodotti SharePoint 2010 e quindi eseguirne la migrazione a SharePoint 2013. Le procedure in questo articolo illustrano i vari scenari supportati.
Il cmdlet PowerShell Convert-SPWebApplication in SharePoint 2013 converte le applicazioni Web in modalità classica in applicazioni Web basate sulle attestazioni.
Attenzione
Dopo la conversione di un'applicazione Web alla modalità di autenticazione basata sulle attestazioni, non sarà possibile ripristinare l'autenticazione in modalità classica.
Convertire le applicazioni Prodotti SharePoint 2010 in modalità classica all'autenticazione basata sulle attestazioni in Prodotti SharePoint 2010, quindi eseguire l'aggiornamento a SharePoint 2013
In Prodotti SharePoint 2010 eseguire la procedura seguente per convertire un'applicazione Web esistente all'autenticazione basata sulle attestazioni. Al termine della conversione, procedere con la migrazione dell'applicazione Web a SharePoint 2013. Per completare questa procedura sono necessarie le informazioni seguenti:
URL dell'applicazione Web da convertire: http://yourWebAppUrl
Un account utente da impostare come amministratore del sito: yourDomain\yourUser
Per convertire un'applicazione Web di Prodotti SharePoint 2010 all'autenticazione basata sulle attestazioni
- Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators sul server sul quale si eseguono i cmdlet di PowerShell.
È necessario leggere about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint 2013.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere gli argomenti relativi alle autorizzazioni e Add-SPShellAdmin.
- Al prompt dei comandi di PowerShell digitare quanto segue per impostare l'account utente specificato come amministratore del sito:
$WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()
Dove:
- <yourWebAppUrl> è l'URL dell'applicazione Web.
- Al prompt dei comandi di PowerShell digitare quanto segue per configurare il criterio per consentire all'utente di disporre dell'accesso completo:
$account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()
Per altre informazioni, vedere Get-SPWebApplication.
- Al prompt dei comandi di PowerShell digitare quanto segue per eseguire la migrazione degli utenti:
$wa.MigrateUsers($true)
- Al termine della migrazione degli utenti, digitare quanto segue al prompt dei comandi di PowerShell per eseguire il provisioning:
$wa.ProvisionGlobally()
Per altre informazioni, vedere New-SPClaimsPrincipal.
Dopo aver completato le procedure precedenti, è possibile che si verifichino uno o più dei problemi seguenti: gli utenti che inviano credenziali valide durante l'accesso all'applicazione Web di cui è stata eseguita la migrazione potrebbero ricevere una notifica che indica che non dispongono delle autorizzazioni. In questo caso, è probabile che le proprietà portalsuperuseraccount e portalsuperreaderaccount dell'applicazione Web siano state configurate prima della migrazione. In tale evenienza, aggiornare le proprietà portalsuperuseraccount e portalsuperreaderaccount in modo che venga utilizzato il nuovo nome dell'account basato sulle attestazioni. Dopo la migrazione, è possibile trovare il nome del nuovo account basato sulle attestazioni nei criteri dell'applicazione Web per l'applicazione Web di cui è stata eseguita la migrazione. Se gli avvisi esistenti non vengono richiamati dopo la migrazione, potrebbe essere necessario eliminare e ricreare gli avvisi. Se la ricerca per indicizzazione non funziona nell'applicazione Web dopo la migrazione, assicurarsi che nell'account di ricerca per indicizzazione sia elencato il nuovo nome dell'account convertito. Se il nuovo nome non è presente nell'elenco, sarà necessario creare manualmente un nuovo criterio per l'account di ricerca per indicizzazione.
Per eseguire la migrazione di un'applicazione Web di Prodotti SharePoint 2010 basata sulle attestazioni a SharePoint 2013
Creare un'applicazione Web basata sulle attestazioni in SharePoint 2013. Per altre informazioni, vedere Creare applicazioni web basate sulle attestazioni in SharePoint Server.
Collegare i due database del contenuto esistenti di Prodotti SharePoint 2010 all'applicazione Web di SharePoint 2013 basata sulle attestazioni appena creata. Per altre informazioni, vedere Collegare o scollegare database del contenuto in SharePoint Server.
Nota
Quando si collegano i database del contenuto di Prodotti SharePoint 2010 all'applicazione Web basata sulle attestazioni di SharePoint 2013, i database verranno aggiornati al formato di database di SharePoint 2013, ma non saranno abilitati per le attestazioni.
Convertire applicazioni Web di Prodotti SharePoint 2010 in modalità classica in applicazioni Web di SharePoint 2013 basate sulle attestazioni
In SharePoint 2013 eseguire la procedura seguente per convertire un'applicazione esistente di Prodotti SharePoint 2010 basata sulla modalità classica in un'applicazione Web di SharePoint 2013 che utilizza l'autenticazione basata sulle attestazioni.
Per convertire un'applicazione Web di Prodotti SharePoint 2010 in modalità classica alla modalità di autenticazione basata sulle attestazioni di SharePoint 2013
- Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators sul server sul quale si eseguono i cmdlet di PowerShell.
È necessario leggere about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint 2013.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per ulteriori informazioni sulle autorizzazioni di PowerShell, vedere gli argomenti relativi alle autorizzazioni e Add-SPShellAdmin.
Nell'ambiente SharePoint 2013 scegliere Tutti i programmi dal menu Start.
Fare clic su SharePoint 2013.
Fare clic su SharePoint 2013 Management Shell.
Passare alla directory in cui è stato salvato il file.
Al prompt dei comandi di PowerShell digitare il comando seguente:
$ap = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos
New-SPWebApplication -name "ClaimsWebApp" -Port 80 -ApplicationPool "ClaimsAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>") -AuthenticationMethod NTLM -AuthenticationProvider $ap
Dove:
- <domainname>\ <user> sono il dominio cui appartiene il server e il nome dell'account utente.
Collegare i due database del contenuto di Prodotti SharePoint 2010 esistenti alla nuova applicazione Web in modalità attestazioni di SharePoint 2013. Per altre informazioni, vedere Collegare o scollegare database del contenuto in SharePoint Server.
Nota
Quando si collegano i database del contenuto di Prodotti SharePoint 2010 all'applicazione Web in modalità attestazioni di SharePoint 2013, i database vengono aggiornati al formato di database di SharePoint 2013. Dopo avere collegato i database del contenuto, è necessario verificare che funzionino correttamente.
Al prompt dei comandi di PowerShell digitare quanto segue:
Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]
Dove:
- <yourWebAppUrl> è l'URL dell'applicazione Web.
Nota
Convert-SPWebApplication converte i database del contenuto in autenticazione basata su attestazioni. È necessario verificare che gli utenti possano accedere all'applicazione Web dopo aver convertito i database del contenuto.
Se necessario, collegare un terzo database del contenuto di Prodotti SharePoint 2010 alla nuova applicazione Web in modalità attestazioni di SharePoint 2013 e verificare che il database del contenuto funzioni correttamente dopo l'associazione.
Al prompt dei comandi di PowerShell digitare quanto segue:
Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]
Verificare che gli utenti possano accedere all'applicazione Web dopo aver convertito i database del contenuto in autenticazione basata su attestazioni. Per altre informazioni, vedere New-SPWebApplication, Get-SPManagedAccount e Convert-SPWebApplication.
Convertire applicazioni Web di SharePoint 2013 in modalità classica in applicazioni Web basate sulle attestazioni
In SharePoint 2013 completare le procedure seguenti per creare un'applicazione Web in modalità classica e quindi convertirla all'autenticazione basata sulle attestazioni.
Per creare un'applicazione Web in modalità classica in SharePoint 2013
Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators sul server sul quale si eseguono i cmdlet di PowerShell.
È necessario leggere about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint 2013.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere gli argomenti relativi alle autorizzazioni e Add-SPShellAdmin.
Al prompt dei comandi di PowerShell digitare quanto segue:
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>
Dove:
<Name> è il nome della nuova applicazione Web che utilizza l'autenticazione in modalità classica.
<ApplicationPool> è il nome del pool di applicazioni.
<WindowsAuthType> corrisponde a "NTLM" o "Kerberos". L'opzione consigliata è Kerberos.
<ApplicationPoolAccount> è l'account utente con cui verrà eseguito il pool di applicazioni.
<Port> è la porta su cui verrà creata l'applicazione Web in IIS.
<URL> è l'URL pubblico dell'applicazione Web.
Nota
Per altre informazioni, vedere New-SPWebApplication.
Nota
[!NOTA] Dopo avere creato l'applicazione Web, nella pagina Amministrazione centrale verrà visualizzato un avviso della regola di analisi dell'integrità che indica che una o più applicazioni Web sono abilitate con la modalità di autenticazione classica. Si tratta di una conseguenza del consiglio di utilizzare l'autenticazione basata sulle attestazioni anziché l'autenticazione in modalità classica.
Per convertire un'applicazione Web di SharePoint 2013 in modalità classica all'autenticazione basata sulle attestazioni
Al prompt dei comandi di PowerShell digitare quanto segue:
Convert-SPWebApplication -Identity "http:// <servername>:port" -From Legacy -To Claims -RetainPermissions [-Force]
Dove:
- <servername> è il nome del server.
Verificare che gli utenti possano accedere all'applicazione Web dopo averla convertita nell'autenticazione basata su attestazioni. Per ulteriori informazioni, vedere New-SPWebApplication, Get-SPManagedAccount e Convert-SPWebApplication.
Eseguire la migrazione della applicazioni Web di Prodotti SharePoint 2010 in modalità classica ad applicazioni Web di SharePoint 2013 in modalità classica
In SharePoint 2013 completare la procedura seguente per creare un'applicazione Web in modalità classica, quindi eseguire la migrazione di un'applicazione Web di Prodotti SharePoint 2010 in modalità classica a SharePoint 2013.
Per eseguire la migrazione di un'applicazione Web di Prodotti SharePoint 2010 in modalità classica a SharePoint 2013
- Verificare di essere membri dei ruoli e dei gruppi seguenti:
Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Ruolo predefinito del database db_owner in tutti i database da aggiornare.
Gruppo Administrators sul server sul quale si eseguono i cmdlet di PowerShell.
È necessario leggere about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050).
Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint 2013.
Nota
[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere gli argomenti relativi alle autorizzazioni e Add-SPShellAdmin.
- Al prompt dei comandi di PowerShell digitare quanto segue:
New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")
Dove:
- <domainname>\ <user> sono il dominio cui appartiene il server e il nome dell'account utente.
- Collegare i due database del contenuto esistenti di Prodotti SharePoint 2010 alla nuova applicazione Web di SharePoint 2013 in modalità classica. Verificare che i database del contenuto funzionino correttamente dopo averli collegati. Per altre informazioni, vedere Collegare o scollegare database del contenuto in SharePoint Server.
Per altre informazioni, vedere New-SPWebApplication e Get-SPManagedAccount.
Vedere anche
Ulteriori risorse
Creare applicazioni web basate sulle attestazioni in SharePoint Server
Creare applicazioni web che utilizzano l'autenticazione in modalità classica in SharePoint Server