Pianificare i metodi di autenticazione (Office SharePoint Server)
Contenuto dell'articolo:
Informazioni sull'autenticazione
Metodi di autenticazione supportati
Configurare l'autenticazione
Pianificare l'autenticazione per la ricerca per indicizzazione del contenuto
Pianificazione di aree per la progettazione dell'autenticazione
Scegliere i metodi di autenticazione consentiti nell'ambiente
Foglio di lavoro
In questo articolo vengono descritti i metodi di autenticazione supportati da Microsoft Office SharePoint Server 2007. Dopo avere letto l'articolo, l'utente sarà in grado di:
Comprendere il modo in cui l'autenticazione viene implementata in Microsoft Office SharePoint Server 2007.
Identificare i metodi di autenticazione appropriati per l'ambiente.
Informazioni sull'autenticazione
Per autenticazione si intende il processo di convalida dell'identità di un utente. Dopo che l'identità di un utente viene convalidata, il processo di autorizzazione determina i siti, il contenuto e le altre caratteristiche cui l'utente può accedere.
In Microsoft Office SharePoint Server 2007 il processo di autenticazione è gestito da Internet Information Services (IIS). In seguito all'autenticazione degli utenti effettuata da IIS, le caratteristiche di protezione di Microsoft Office SharePoint Server 2007 eseguono il processo di autorizzazione.
Per ulteriori informazioni sull'implementazione dell'autorizzazione in Microsoft Office SharePoint Server 2007, vedere Pianificare la protezione dei siti e del contenuto (Office SharePoint Server).
La pianificazione dell'autenticazione è importante non solo per proteggere la soluzione utilizzata mediante la convalida delle identità degli utenti, ma anche per proteggere le credenziali utente sulla rete.
Metodi di autenticazione supportati
In Microsoft Office SharePoint Server 2007 è disponibile un sistema di autenticazione flessibile ed estendibile, che supporta l'autenticazione per i sistemi di gestione delle identità basati o meno sul sistema operativo Microsoft Windows. Grazie all'integrazione con l'autenticazione modulare ASP .NET, in Microsoft Office SharePoint Server 2007 è supportata un'ampia gamma di schemi di autenticazione basata su form. Il supporto per l'autenticazione in Microsoft Office SharePoint Server 2007 consente di utilizzare numerosi scenari di autenticazione, tra cui:
Utilizzo dei metodi di autenticazione di Windows standard.
Utilizzo di un semplice database di nomi utente e password.
Connessione diretta a un sistema di gestione delle identità di un'organizzazione.
Utilizzo di due o più metodi di autenticazione per l'accesso alle applicazioni partner. È possibile ad esempio connettersi al sistema di gestione delle identità della società partner per autenticarne i dipendenti e utilizzare i metodi di autenticazione di Windows per autenticare i dipendenti interni alla propria società.
Partecipazione a sistemi di gestione delle identità federati.
Nella tabella seguente vengono elencati i metodi di autenticazione supportati:
| Metodo di autenticazione | Descrizione | Esempi |
|---|---|---|
Windows |
I metodi di autenticazione standard di Windows IIS sono supportati. |
|
Moduli ASP.NET |
In Microsoft Office SharePoint Server 2007 il supporto per i sistemi di gestione delle identità non basati su Windows viene aggiunto mediante l'integrazione con il sistema di autenticazione Forms ASP.NET. L'autenticazione ASP.NET consente a Microsoft Office SharePoint Server 2007 di utilizzare i sistemi di gestione delle identità che implementano l'interfaccia ProviderAppartenenze. Non è necessario riscrivere le pagine di amministrazione della protezione o gestire gli account del servizio directory Active Directory shadow. |
|
Single Sign-On (SSO) Web |
In Microsoft Office SharePoint Server 2007 è supportata l'autenticazione federata mediante i fornitori di SSO Web, che consente di utilizzare SSO in ambienti in cui sono presenti servizi in esecuzione su piattaforme diverse. Non è necessario gestire account di Active Directory separati. |
|
Autenticazione di account di sistema
L'autenticazione Forms ASP.NET e SSO Web consentono di autenticare solo gli account utente. Gli account di processo utilizzati per connettersi al software di database Microsoft SQL Server ed eseguire la Web farm devono essere account di Windows anche quando si utilizzano metodi di autenticazione alternativi per autenticare gli utenti.
In Microsoft Office SharePoint Server 2007 sono supportati l'autenticazione di SQL Server e gli account di processo del computer locale per le farm in cui non è in esecuzione Active Directory. È possibile ad esempio implementare gli account locali utilizzando nomi utente e password identici in tutti i server di una farm.
Configurare l'autenticazione
Sebbene la configurazione dell'autenticazione di Windows sia un processo semplice, per configurare l'autenticazione Forms ASP.NET o per utilizzare SSO Web è necessaria una maggiore pianificazione. In questa sezione vengono riepilogate le modalità di configurazione dell'autenticazione in Microsoft Office SharePoint Server 2007. Queste informazioni consentono di comprendere il modo in cui implementare una strategia di autenticazione per la soluzione utilizzata e di determinare gli utenti dell'organizzazione da coinvolgere nella pianificazione dell'autenticazione.
Configurare l'autenticazione per le applicazioni Web di SharePoint
In Microsoft Office SharePoint Server 2007 l'autenticazione è configurata a livello di applicazione Web di SharePoint. Nel diagramma seguente viene illustrata una server farm di Windows SharePoint Services configurata per ospitare siti per più società. L'autenticazione viene configurata separatamente per ogni società.
.gif "Host dell'autenticazione per due società diverse")
Quando si crea inizialmente o quando si estende un'applicazione Web, viene visualizzato un numero limitato di opzioni di autenticazione (autenticazione Kerberos, NTLM e anonima). Se si utilizza uno di questi metodi, è possibile configurare l'autenticazione quando si crea o si estende l'applicazione Web.
Nella figura seguente vengono illustrate le opzioni di autenticazione limitate disponibili quando si crea inizialmente o quando si estende un'applicazione Web:
.gif "Impostazioni di autenticazione predefinite")
Tuttavia, se si utilizzano impostazioni di autenticazione diverse, selezionare le opzioni di autenticazione predefinite e quindi configurare l'autenticazione dopo la creazione o l'estensione dell'applicazione. A tale scopo, nella sezione Protezione applicazione della pagina Gestione applicazioni di Amministrazione centrale selezionare Provider di autenticazione e quindi fare clic sull'area per aprire la pagina Modifica autenticazione. Le impostazioni configurate in questa pagina dipendono dal tipo di autenticazione selezionata, ovvero Windows, Forms o SSO Web.
Nella figura seguente viene illustrata la pagina Modifica autenticazione:
.gif "Pagina Modifica autenticazione")
In base alle opzioni di autenticazione selezionate in Amministrazione centrale, potrebbe essere necessario eseguire operazioni di configurazione aggiuntive. Nella tabella seguente vengono riepilogati i passaggi di configurazione in base al metodo di autenticazione e viene inoltre indicato se sono necessari ruoli specializzati oltre al ruolo di amministratore di SharePoint.
| Metodo di autenticazione | Configurazione aggiuntiva | Ruoli specializzati |
|---|---|---|
Anonima |
Nessuno |
Nessuno |
Di base |
Nessuno |
Nessuno |
Del digest |
Configurare l'autenticazione del digest direttamente in IIS. |
Nessuno |
Basata su certificati |
|
Amministratore di Windows Server 2003 per ottenere e configurare i certificati |
NTLM (integrata in Windows) |
Nessuno |
Nessuno |
Kerberos (autenticazione integrata di Windows) |
|
Amministratore IIS |
Forms |
|
|
SSO Web |
Oltre ai passaggi di configurazione necessari per l'autenticazione Forms ASP.NET, registrare un modulo HTTP per il provider di SSO Web. |
|
Connessione a sistemi di gestione delle identità esterni o non basati su Windows
Per utilizzare l'autenticazione Forms ASP.NET o SSO Web per autenticare gli utenti in un sistema di gestione delle identità esterno o non basato su Windows, è necessario registrare un provider di appartenenze nel file Web.config. Oltre alla registrazione di tale provider, è possibile eseguire inoltre la registrazione di un manager dei ruoli. In Microsoft Office SharePoint Server 2007 viene utilizzata l'interfaccia relativa al manager dei ruoli ASP.NET standard per raccogliere informazioni sul gruppo relative all'utente corrente. Ogni ruolo ASP.NET viene trattato come un gruppo di dominio dal processo di autorizzazione in Microsoft Office SharePoint Server 2007. La registrazione dei manager dei ruoli nel file Web.config viene eseguita in modo analogo a quella dei provider di appartenenze per l'autenticazione.
Se si desidera gestire i ruoli o l'utente di appartenenza dal sito Amministrazione centrale, è facoltativamente possibile registrare il provider di appartenenze e il manager dei ruoli nel file Web.config per il sito Amministrazione centrale, oltre a eseguirne la registrazione nel file Web.config per l'applicazione Web che ospita il contenuto.
Verificare che il nome del provider di appartenenze e quello del manager dei ruoli registrati nel file Web.config corrispondano a quelli immessi nella pagina Authentication.aspx di Amministrazione centrale. Se non si indica il manager dei ruoli nel file Web.config, potrebbe essere utilizzato il provider predefinito specificato nel file machine.config.
Nella stringa seguente di un file Web.config, ad esempio, viene specificato un provider di appartenenze SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Per ulteriori informazioni sull'utilizzo dell'autenticazione Forms ASP.NET per connettersi a un provider di autenticazione di SQL Server, vedere Esempi di autenticazione.
Infine, se si utilizza SSO Web per connettersi a un sistema di gestione delle identità esterno, è necessario registrare inoltre un modulo HTTP per SSO Web. Un modulo HTTP è un assembly chiamato a ogni richiesta eseguita dall'applicazione. I moduli HTTP vengono chiamati come parte della pipeline di richieste ASP.NET. Per ulteriori informazioni, vedere Introduzione ai moduli HTTP (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x410).
L'integrazione con l'autenticazione Forms ASP.NET comporta requisiti aggiuntivi per il provider di autenticazione. Oltre alla registrazione dei vari elementi nel file Web.config, il provider di appartenenze, il manager dei ruoli e il modulo HTTP devono essere programmati per interagire con Microsoft Office SharePoint Server 2007 e i metodi ASP.NET, come indicato nella tabella seguente:
| Categoria | Descrizione |
|---|---|
Provider di appartenenze |
Per utilizzare Microsoft Office SharePoint Server 2007, il provider di appartenenze deve implementare i metodi seguenti:
|
Manager dei ruoli |
Il manager dei ruoli deve implementare i metodi seguenti:
|
Modulo HTTP |
Il modulo HTTP deve gestire gli eventi seguenti:
|
Abilitazione dell'accesso anonimo
Oltre a configurare un metodo di autenticazione più protetto, per un'applicazione Web è possibile abilitare l'accesso anonimo. In una configurazione di questo tipo gli amministratori dei siti all'interno dell'applicazione Web possono scegliere di consentire l'accesso anonimo. Se gli utenti anonimi desiderano ottenere l'accesso a risorse e funzionalità protette, possono fare clic su un pulsante di accesso per inviare le proprie credenziali.
Utilizzo di metodi di autenticazione diversi per accedere a un sito
In Microsoft Office SharePoint Server 2007 è possibile configurare applicazioni Web cui è possibile accedere da cinque metodi di autenticazione o sistemi di gestione delle identità diversi, fino a un massimo di cinque. Nella figura seguente viene illustrata un'applicazione partner configurata in modo che possano accedervi utenti di due sistemi di gestione delle identità diversi. I dipendenti interni vengono autenticati mediante uno dei metodi di autenticazione di Windows standard, mentre quelli della società partner vengono autenticati nel sistema di gestione delle identità della propria società.
.gif "Opzioni per la gestione dell'autenticazione")
Per configurare un'applicazione Web cui è possibile accedere da due o più sistemi di autenticazione diversi, è necessario configurare aree aggiuntive per l'applicazione stessa. Le aree rappresentano percorsi logici diversi per ottenere l'accesso alla stessa applicazione fisica. Nel caso di un'applicazione partner tipica i dipendenti di una società partner possono accedere all'applicazione tramite Internet, mentre i dipendenti interni possono accedervi direttamente tramite la rete Intranet.
Per creare una nuova area, estendere l'applicazione Web. Nella pagina Estendi applicazione Web in un altro sito Web IIS, nella sezione URL con bilanciamento del carico specificare l'URL e il tipo di area. Il tipo di area è un nome di categoria applicato all'area che non influisce sulla configurazione dell'area.
Dopo avere esteso l'applicazione Web, è possibile configurare un metodo di autenticazione separato per la nuova area. Nella figura seguente viene illustrata la pagina Provider di autenticazione per un'applicazione Web configurata utilizzando due aree diverse. L'area Predefinita è quella utilizzata dai dipendenti interni, mentre l'area Internet è configurata per l'accesso dei partner e utilizza l'autenticazione Forms ASP.NET per autenticare i dipendenti della società partner nel relativo sistema di gestione delle identità.
.gif "Applicazione Web configurata con due aree")
Pianificare l'autenticazione per la ricerca per indicizzazione del contenuto
Per eseguire ricerche per indicizzazione del contenuto in un'applicazione Web in modo corretto, è necessario conoscere i requisiti relativi all'autenticazione del componente di indicizzazione del server di indicizzazione, denominato anche crawler. In questa sezione vengono descritte le modalità di configurazione dell'autenticazione per applicazioni Web per garantire che sia possibile eseguire in modo coretto la ricerca per indicizzazione del contenuto delle applicazioni stesse.
Quando un amministratore di farm crea un'applicazione Web utilizzando tutte le impostazioni predefinite, l'area Predefinita per tale applicazione viene configurata in modo da utilizzare l'autenticazione NTLM. L'amministratore di farm può modificare il metodo di autenticazione per l'area Predefinita in un qualsiasi metodo di autenticazione supportato da Microsoft Office SharePoint Server 2007.
L'amministratore di farm può inoltre estendere un'applicazione Web una o più volte per consentire l'utilizzo di aree aggiuntive. A una specifica applicazione Web è possibile associare fino a cinque aree diverse e ogni area può essere configurata in modo da utilizzare un qualsiasi metodo di autenticazione supportato da Microsoft Office SharePoint Server 2007.
Per impostazione predefinita, durante l'esecuzione della ricerca per indicizzazione del contenuto il crawler utilizza l'autenticazione NTLM. Un amministratore del servizio di ricerca può inoltre creare una regola di ricerca per indicizzazione per configurare il crawler in modo che utilizzi un metodo di autenticazione diverso rispetto all'autenticazione NTLM, ad esempio l'autenticazione di base o basata su un certificato client, quando viene eseguita la ricerca per indicizzazione di un intervallo di URL specifico. Per ulteriori informazioni sulle regole di ricerca per indicizzazione, vedere Pianificare la ricerca per indicizzazione di contenuto (Office SharePoint Server).
Ordine in cui il crawler accede alle aree
Quando si pianificano le aree per un'applicazione Web, è necessario considerare l'ordine di polling in cui il crawler accede alle aree stesse durante il tentativo di eseguire l'autenticazione. L'ordine di polling rappresenta un aspetto importante perché nel caso in cui il crawler acceda a un'area configurata per l'utilizzo dell'autenticazione del digest o dell'autenticazione Kerberos che non utilizza una porta standard, ovvero la porta 80 o 443, l'autenticazione avrà esito negativo e il crawler non tenterà di accedere all'area successiva nell'ordine di polling. Se si verifica questa situazione, il crawler non eseguirà la ricerca per indicizzazione del contenuto dell'applicazione Web specifica.
Suggerimento
Verificare che il metodo di autenticazione configurato per il crawler preceda nell'ordine di polling un'area configurata per l'autenticazione Kerberos che utilizza una porta non standard o l'autenticazione del digest.
Il crawler esegue il polling delle aree nell'ordine seguente:
Area Predefinita
Area Intranet
Area Internet
Area Personalizzata
Area Extranet
Nella figura seguente vengono illustrate le decisioni prese dal sistema di autenticazione quando il crawler tenta di eseguire l'autenticazione.
Esecuzione del polling delle aree da parte del crawler
.gif "Ordine di polling utilizzato dal crawler")
Nella tabella seguente vengono descritte le azioni associate a ogni callout presente nella figura.
| Callout | Azione |
|---|---|
1 |
Il crawler tenta di eseguire l'autenticazione utilizzando l'area predefinita. Nota Durante il tentativo di eseguire l'autenticazione, il crawler tenta sempre di utilizzare innanzitutto l'area predefinita. |
2 |
Se i metodi di autenticazione configurati per il crawler e l'area corrispondono, il crawler viene autenticato e procede con la fase di autorizzazione. In caso contrario, andare al passaggio 3. |
3 |
Se l'area è configurata per l'autenticazione Kerberos, andare al passaggio 4. In caso contrario, andare al passaggio 5. |
4 |
Se l'area è configurata per l'utilizzo della porta 80 o 443, il crawler viene autenticato e procede con la fase di autorizzazione. In caso contrario, l'autenticazione avrà esito negativo, il crawler non tenterà di eseguire l'autenticazione utilizzando un'area diversa e non verrà eseguita alcuna ricerca per indicizzazione del contenuto. |
5 |
Se nell'ordine di polling non è più presente alcuna area, l'autenticazione avrà esito negativo e non verrà eseguita alcuna ricerca per indicizzazione del contenuto. In caso contrario, andare al passaggio 6. |
6 |
Il crawler tenta di eseguire l'autenticazione utilizzando l'area successiva nell'ordine di polling. Tornare al passaggio 2. |
Se si configura l'area Predefinita per l'utilizzo di un metodo di autenticazione non supportato dal crawler, ad esempio SSO Web, è necessario creare almeno un'area aggiuntiva e configurarla per l'utilizzo dell'autenticazine basata su certificati, di base, Kerberos con una porta standard o NTLM. Se per eseguire la ricerca per indicizzazione dell'applicazione Web vine utilizzata l'autenticazione basata su certificati o di base, l'amministratore del servizio di ricerca deve creare una regola di ricerca per indicizzazione per configurare il crawler in modo che utilizzi il metodo di autenticazione appropriato quando esegue la ricerca per indicizzazione dell'applicazione Web specifica. Si consideri lo scenario seguente.
Scenario di autenticazione
L'amministratore di farm crea un'applicazione Web e la configura per l'utilizzo dell'autenticazione Forms. Poiché desidera che il contenuto dell'applicazione Web venga sottoposto a ricerca per indicizzazionee indicizzato e poiché è a conoscenza del fatto che per il crawler è necessaria un'area configurata con l'autenticazione NTLM, di base o basata su certificati, l'amministratore estende l'applicazione Web e configura l'area Intranet per l'utilizzo dell'autenticazione NTLM.
Quando il crawler tenta di eseguire l'autenticazione utilizzando l'area Predefinita, il sistema di autenticazione rileva che il crawler e l'area non sono configurati per l'utilizzo dello stesso metodo di autenticazione. Poiché l'area non è configurata per l'autenticazione Kerberos che utilizza una porta non standard o per l'autenticazione del digest e poiché è presente almeno un'altra area nell'ordine di polling, il crawler tenta di eseguire l'autenticazione utilizzando l'area Intranet. In questo caso l'autenticazione ha esito positivo per impostazione predefinita poiché l'area Intranet è configurata per l'utilizzo dell'autenticazione NTLM, che corrisponde all'autenticazione utilizzata dal crawler.
Si noti che se l'amministratore di farm avesse configurato l'area Intranet per l'utilizzo dell'autenticazione di base anziché dell'autenticazione NTLM, l'amministratore del servizio di ricerca avrebbe dovuto creare una regola di ricerca per indicizzazione per configurare il crawler in modo che utilizzasse l'autenticazione di base durante la ricerca per indicizzazione dell'applicazione Web specifica. In caso contrario l'autenticazione avrebbe avuto esito negativo e la ricerca per indicizzazione del contenuto non sarebbe stata eseguita. Analogamente, se l'amministratore di farm avesse configurato l'area Intranet per l'utilizzo di un certificato client, l'amministratore del servizio di ricerca avrebbe dovuto creare una regola di ricerca per indicizzazione per configurare il crawler in modo che utilizzasse un certificato client durante la ricerca per indicizzazione dell'applicazione Web specifica. È necessario inoltre che un amministratore di server registri il certificato client con il server di indicizzazione per evitare che l'autenticazione abbia esito negativo e che il contenuto non venga sottoposto a ricerca per indicizzazione.
Suggerimento
Per eseguire una pianificazione efficace dell'autenticazione per le applicazioni Web e la pianificazione della ricerca per indicizzazione del contenuto di tali applicazioni, è necessaria la collaborazione tra gli amministratori di farm che creano le applicazioni Web e gli amministratori del servizio di ricerca che configurano il crawler.
È opportuno ricordare che, se si configura un'area per l'utilizzo dell'autenticazione di base o basata su certificati e si desidera che il crawler esegua l'autenticazione utilizzando tale area, l'amministratore del servizio di ricerca deve creare una regola di ricerca per indicizzazione per configurare il crawler il modo che utilizzi lo stesso metodo di autenticazione dell'area con cui si desidera che esegua l'autenticazione. In caso contrario il crawler tenta di utilizzare l'area disponibile successiva.
Oltre a configurare correttamente il metodo di autenticazione, è necessario verificare che il crawler sia autorizzato a eseguire la ricerca per indicizzazione del contenuto dell'applicazione Web. L'amministratore del servizio di ricerca deve verificare che l'account di accesso al contenuto disponga del livello di autorizzazione di lettura per il contenuto cui si accede tramite quest'area. A tale scopo gli amministratori di farm possono creare un criterio che assegni all'account di accesso al contenuto il livello di autorizzazione di lettura per un'applicazione Web specifica.
Pianificazione di aree per la progettazione dell'autenticazione
Se si prevede di implementare più di un metodo di autenticazione tramite aree per un'applicazione Web, utilizzare le linee guida seguenti:
Utilizzare l'area Predefinita per implementare le impostazioni di autenticazione più protette. Se non è possibile associare una richiesta a un'area specifica, vengono applicati le impostazioni di autenticazione e altri criteri di protezione dell'area Predefinita. L'area Predefinita è quella creata quando si crea inizialmente un'applicazione Web. Poiché le impostazioni di autenticazione più protette sono in genere specifiche per l'accesso degli utenti finali, l'area Predefinita sarà probabilmente quella cui gli utenti finali accedono.
Utilizzare il minimo numero di aree necessarie per l'applicazione. Ogni area è associata a un nuovo sito IIS e a un dominio per l'accesso all'applicazione Web. Aggiungere nuovi punti di accesso solo quando sono necessari.
Se si desidera che il contenuto dell'applicazione Web venga inserito nei risultati di ricerca, verificare che almeno un'area sia configurata per l'utilizzo dell'autenticazione NTLM, necessaria al componente di indicizzazione per eseguire la ricerca per indicizzazione del contenuto. Non creare un'area dedicata per il componente di indicizzazione a meno che non sia necessario.
Scegliere i metodi di autenticazione consentiti nell'ambiente
Oltre a comprendere le modalità di configurazione dell'autenticazione, per pianificare l'autenticazione è necessario tenere in considerazione gli aspetti seguenti:
Ambiente o contesto di protezione dell'applicazione Web in Microsoft Office SharePoint Server 2007.
Valutazione dei suggerimenti e degli svantaggi per ogni metodo.
Modalità di memorizzazione nella cache e di utilizzo delle credenziali utente e dei corrispondenti dati relativi all'identità in Microsoft Office SharePoint Server 2007.
Modalità di gestione degli account utente.
Verifica che i metodi di autenticazione siano compatibili con i browser utilizzati dagli utenti.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Authentication methods (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x410) (informazioni in lingua inglese) per identificare i metodi di autenticazione da supportare nell'ambiente e per registrare le decisioni e i suggerimenti relativi a ognuno di tali metodi. Tale foglio di lavoro verrà utilizzato durante la pianificazione dei metodi di autenticazione per singole applicazioni Web in Microsoft Office SharePoint Server 2007. |
Suggerimenti per ambienti di protezione specifici
La scelta dei metodi di autenticazione verrà stabilita principalmente in base al contesto di protezione dell'applicazione. Nella tabella seguente vengono indicati i suggerimenti in base agli ambienti di protezione più comuni:
| Ambiente | Considerazioni |
|---|---|
Intranet interna |
È necessario proteggere le credenziali utente almeno dalla visualizzazione senza crittografia. Eseguire l'integrazione con il sistema di gestione degli utenti implementato nell'ambiente. Se è implementato Active Directory, utilizzare i metodi di autenticazione di Windows incorporati in IIS. |
Collaborazione protetta esterna |
Configurare un'area separata per ogni società partner che si connette al sito. Utilizzare SSO Web per eseguire l'autenticazione nel sistema di gestione delle identità di ogni partner. In questo modo si elimina la necessità di creare account nel proprio sistema di gestione delle identità e si garantisce che le identità dei collaboratori continuino a essere gestite e convalidate dai dipendenti della società partner. Se un collaboratore non è più dipendente della società partner, non può continuare a ottenere l'accesso all'applicazione partner. |
Accesso anonimo esterno |
Consentire l'accesso anonimo (nessuna autenticazione) e le autorizzazioni di sola lettura per gli utenti che si connettono tramite Internet. Se si desidera offrire contenuto assegnato o basato sui ruoli, è possibile utilizzare l'autenticazione Forms ASP.NET per registrare gli utenti tramite un semplice database di nomi utente e ruoli. Utilizzare il processo di registrazione per identificare gli utenti in base al ruolo, ad esempio medico, paziente o farmacista. Quando gli utenti eseguono l'accesso, nel sito può essere presentato contenuto specifico per il ruolo utente. In questo scenario l'autenticazione non viene utilizzata per convalidare le credenziali o per limitare coloro che possono accedere al contenuto, ma il processo di autenticazione consente semplicemente di assegnare il contenuto. |
Suggerimenti e svantaggi per i metodi di autenticazione
La comprensione dei vantaggi, dei suggerimenti e degli svantaggi per ogni metodo di autenticazione specifico consente di determinare i metodi da utilizzare nell'ambiente. Nella tabella seguente vengono evidenziati i suggerimenti e gli svantaggi per ogni metodo di autenticazione. Per ulteriori informazioni su ogni metodo di autenticazione di Windows supportato da IIS, vedere Autenticazione IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x410).
| Metodo di autenticazione | Vantaggi e suggerimenti | Svantaggi |
|---|---|---|
Windows |
|
|
Moduli ASP.NET |
|
|
SSO Web |
|
|
Gestione delle informazioni relative all'identità utente
Le modalità di elaborazione e di utilizzo delle credenziali utente e di altre informazioni relative all'identità in Microsoft Office SharePoint Server 2007 possono influire sulle decisioni da prendere in relazione alle opzioni di autenticazione che rappresentano la soluzione migliore per i propri scopi. In questa sezione vengono descritte in dettaglio le modalità di elaborazione delle informazioni relative all'identità utente in base alle categorie seguenti:
ID binario. Modalità di creazione e di utilizzo degli identificatori binari (ID) in Microsoft Office SharePoint Server 2007.
Memorizzazione nella cache Processo in base al quale l'identità di un utente viene conservata per un periodo di tempo al fine di evitare di ripetere il processo di autenticazione per ogni richiesta.
Appartenenza a gruppi e ruoli. Oltre a determinare l'identità degli utenti, il processo di autenticazione determina i gruppi oppure i ruoli cui l'utente appartiene. Questa informazione viene utilizzata durante il processo di autorizzazione per stabilire le azioni che l'utente è autorizzato a eseguire. Ai fini dell'autorizzazione, in Microsoft Office SharePoint Server 2007 i gruppi di Active Directory e i ruoli di ASP.NET vengono considerati come lo stesso tipo di entità.
Nella tabella seguente vengono descritte in dettaglio le modalità di gestione in Microsoft Office SharePoint Server 2007 degli ID utente binari, dei dati sugli utenti memorizzati nella cache e dei dati relativi all'appartenenza a gruppi e ruoli in base al metodo di autenticazione utilizzato:
| Elemento | Autenticazione di Windows | Forms ASP.NET e SSO Web |
|---|---|---|
ID binari |
In Microsoft Office SharePoint Server 2007 viene utilizzato un identificatore di protezione di Windows (SID). |
In Microsoft Office SharePoint Server 2007 viene creato un ID binario univoco tramite la combinazione del nome del provider e del nome utente. |
Memorizzazione nella cache |
Le credenziali utente vengono memorizzate nella cache e gestite da IIS, Internet Explorer e Windows. |
In ASP.NET viene utilizzato un cookie crittografato per mantenere le credenziali utente per la durata di una sessione. |
Appartenenza a gruppi e ruoli |
L'elenco di gruppi di dominio di Active Directory cui l'utente appartiene viene gestito da Windows nel token di accesso. Le informazioni archiviate in tale token vengono utilizzate da Microsoft Office SharePoint Server 2007. |
Quando viene registrato un manager dei ruoli, in Windows SharePoint Services viene utilizzata la relativa interfaccia standard per raccogliere informazioni sul gruppo relative all'utente corrente. Ogni ruolo ASP.NET viene considerato come un gruppo di dominio dal processo di autorizzazione. In ASP.NET i ruoli cui l'utente appartiene possono essere memorizzati nella cache in un cookie, in base alle impostazioni configurate nel file Web.config. |
Gestione degli account utente
Sulla scelta del metodo di autenticazione può inoltre influire la comprensione delle modalità di gestione delle attività relative agli account utente in Microsoft Office SharePoint Server 2007. In genere gli utenti membri di un provider di autenticazione in un'area possono gestire gli account in tutte le aree purché dispongano delle autorizzazioni necessarie. Le informazioni contenute nell'elenco seguente si applicano indipendentemente dal metodo di autenticazione implementato:
Aggiunta e invito di nuovi utenti. È possibile aggiungere o invitare un nuovo utente da qualsiasi area e con tutti i metodi di autenticazione configurati se il provider di appartenenze e il manager dei ruoli sono registrati nel file Web.config corrente. Quando si aggiunge un nuovo utente, in Microsoft Office SharePoint Server 2007 il nome utente viene risolto nelle origini riportate di seguito in base all'ordine seguente:
Tabella UserInfoList archiviata in Microsoft Office SharePoint Server 2007. Le informazioni sugli utenti saranno presenti in questo elenco se gli utenti sono già stati aggiunti a un altro sito.
Provider di autenticazione configurato per l'area corrente. Se ad esempio l'utente è membro del provider di autenticazione configurato per l'area Predefinita, in Microsoft Office SharePoint Server 2007 viene eseguito innanzitutto il controllo di questo provider di appartenenze associato.
Tutti gli altri provider di autenticazione.
Eliminazione di utenti. Gli account utente vengono contrassegnati come eliminati nel database di Microsoft Office SharePoint Server 2007, ma il record utente non viene rimosso.
Alcuni comportamenti relativi alla gestione degli account utente in Microsoft Office SharePoint Server 2007 variano in base al provider di autenticazione. Nella tabella seguente vengono evidenziate numerose attività relative agli account utente che variano in base al metodo di autenticazione implementato:
| Attività | Account autenticati di Windows | Account autenticati in base a Forms ASP.NET e a SSO Web |
|---|---|---|
Aggiunta e invito di nuovi utenti |
In Microsoft Office SharePoint Server 2007 le identità degli utenti vengono convalidate tramite Active Directory. |
In Microsoft Office SharePoint Server 2007 vengono chiamati il provider di appartenenze e il manager dei ruoli per verificare che l'utente e i ruoli esistano. |
Modifiche ai nomi di accesso |
I nomi utente aggiornati vengono riconosciuti automaticamente da Microsoft Office SharePoint Server 2007. Alla tabella UserInfoList non vengono aggiunte nuove voci. |
È necessario eliminare il nome di account precedente e quindi aggiungere quello nuovo. Le autorizzazioni non possono essere migrate. |
Accesso |
Se si utilizzata l'autenticazione integrata di Windows (Kerberos o NTLM) e il browser è configurato per eseguire l'accesso in modo automatico, gli utenti non devono accedere manualmente ai siti di SharePoint. Per impostazione predefinita Internet Explorer è configurato per accedere automaticamente ai siti Intranet. Se è necessario un account di accesso, ad esempio per siti per cui è necessario un set di credenziali diverso, agli utenti viene richiesto di inserire solo un nome utente e una password. Tuttavia, se si utilizza l'autenticazione di base o se l'utente utilizza un browser non configurato per eseguire automaticamente l'accesso, agli utenti potrebbe venire richiesto di specificare le credenziali di accesso quando accedono a un sito di SharePoint site. |
In Microsoft Office SharePoint Server 2007 è disponibile una pagina di accesso standard da utilizzare con l'autenticazione Forms in cui sono presenti i campi relativi al nome utente, alla password e all'accesso automatico (per salvare in modo permanente il cookie). È possibile creare una propria pagina di accesso per aggiungere ulteriori controlli relativi all'accesso, ad esempio per creare un nuovo account o reimpostare una password. |
Supporto dei browser
Non è possibile utilizzare qualsiasi browser con ognuno dei metodi di autenticazione supportati. Prima di selezionare i metodi di autenticazione da consentire nell'ambiente, è necessario innanzitutto stabilire i browser da supportare e successivamente i metodi di autenticazione supportati dai browser stessi. Internet Explorer può essere utilizzato con ogni metodo di autenticazione supportato. Di seguito vengono indicati ulteriori browser supportati da Microsoft Office SharePoint Server 2007:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Foglio di lavoro
Per registrare i metodi di autenticazione appropriati per l'ambiente, utilizzare il foglio di lavoro seguente:
- Authentication methods (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x410) (informazioni in lingua inglese)
Nella tabella seguente viene rappresentato un esempio di un foglio di lavoro completato:
| Metodo di autenticazione | Attivato | Non attivato | Note e suggerimenti |
|---|---|---|---|
Anonimo |
x |
||
Di base |
x |
||
Del digest |
x |
||
Basata su certificati |
x |
||
NTLM (integrata in Windows) |
x |
*"Utilizzare NTLM per tutti i siti del reparto, ad eccezione di quello relativo alle finanze".* |
|
Kerberos (autenticazione integrata di Windows) |
x |
*"Utilizzare l'autenticazione Kerberos per i siti con un contratto di servizio con un livello di protezione elevato".* |
|
Forms ASP.NET |
x |
*"Utilizzare l'autenticazione Forms per consentire alla società partner di accedere ai siti ospitati nella rete Extranet relativa. L'autenticazione è attualmente consentita nei sistemi di gestione delle identità seguenti, ovvero Active Directory e LDAP. Collaborare con Luisa Cazzaniga per sviluppare le impostazioni da utilizzare con l'autenticazione Forms".* |
|
SSO Web |
x |
*"Utilizzare questo metodo per applicazioni partner solo se una società partner partecipa ai sistemi di gestione delle identità federati. Per ulteriori informazioni, rivolgersi a Ezio Alboni".* |
Note aggiuntive: "collaborare con Laura Giussani per approvare le impostazioni di autenticazione per le applicazioni Web di SharePoint prima dell'implementazione".
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).