Pianificare l'integrazione con i client di Servizi di integrazione applicativa (SharePoint Server 2010)
Si applica a: SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
Servizi di integrazione applicativa Microsoft offre agli utenti diversi modi per interagire con sistemi esterni dalle applicazioni client di Microsoft Office 2010. In questo articolo viene illustrato il modo in cui gli utenti possono disconnettere i dati esterni e utilizzarli in Microsoft Outlook 2010 e Microsoft SharePoint Workspace 2010.
Quando un utente fa clic sul pulsante Connetti a Outlook o Sincronizza con SharePoint Workspace in un elenco esterno, viene creato e installato nel computer client un pacchetto di distribuzione di un'applicazione ClickOnce. In questo modo gli utenti possono utilizzare i dati esterni come tipi di elementi di Outlook nativi (ad esempio Contatti, Attività e Appuntamenti) in Outlook e come elenchi in SharePoint Workspace. A seconda delle autorizzazioni di cui dispongono, gli utenti possono eseguire operazioni di lettura e scrittura nei dati esterni, anche se lavorano in modalità offline o se la connettività con il sistema esterno è lenta, intermittente o non disponibile. I dati esterni vengono sincronizzati nel momento in cui si dispone di una connessione con il server.
Per usufruire della possibilità di disconnettere elenchi esterni vengono utilizzate le funzionalità native di Servizi di integrazione applicativa, di Microsoft SharePoint Server 2010 e delle applicazioni di Office 2010. È possibile creare soluzioni di Servizi di integrazione applicativa più avanzate basate su codice o caratteristiche di personalizzazione.
Per ulteriori informazioni sulle soluzioni di Servizi di integrazione applicativa avanzate, vedere Creazione di soluzioni con Servizi di integrazione applicativa (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x410).
Contenuto dell'articolo:
Prerequisiti
Installazione di pacchetti di distribuzione
Considerazioni sulla sicurezza
Prerequisiti
Nel server deve essere installato Microsoft SharePoint Server 2010 con licenza CAL (Client Access License) Enterprise. Nel computer client deve essere installato Microsoft Office Professional Plus 2010.
Nell'elenco seguente vengono descritti altri requisiti per il computer client:
Internet Explorer Per il meccanismo di distribuzione vengono utilizzati i controlli ActiveX. Poiché Internet Explorer è l'unico browser che supporta i controlli ActiveX, la disconnessione degli elenchi esterni è supportata solo in Internet Explorer. Se si utilizza un altro browser, ad esempio Firefox, i pulsanti Connetti a Outlook e Sincronizza con SharePoint Workspace sono disabilitati.
Microsoft .NET Framework 3.5 Nel computer client deve essere installato Microsoft .NET Framework 3.5 o versioni successive.
Servizi di integrazione applicativa Per impostazione predefinita, la caratteristica Servizi di integrazione applicativa viene installata quando si installa Office Professional Plus 2010. Se nel momento in cui un utente installa Office non risulta installato .NET Framework 3.5, Servizi di integrazione applicativa non verrà installato. Dopo l'installazione di .NET Framework 3.5 nel computer client, nel momento in cui l'utente disconnette un elenco esterno viene installata la caratteristica Servizi di integrazione applicativa e quindi viene installato il pacchetto di distribuzione. Se l'utente ha disabilitato la caratteristica Servizi di integrazione applicativa, dovrà aggiornare l'installazione di Office e abilitare la caratteristica Servizi di integrazione applicativa. La caratteristica Servizi di integrazione applicativa è disponibile nel gruppo Caratteristiche condivise di Office.
Installazione di pacchetti di distribuzione
Nelle sezioni riportate di seguito vengono illustrate le impostazioni che possono influire sulle installazioni dei pacchetti di distribuzione.
Applicazioni ClickOnce e comportamento delle richieste di attendibilità
I pacchetti di distribuzione sono applicazioni ClickOnce. Tutte le regole, le disposizioni e le limitazioni che governano le applicazioni ClickOnce generali si applicano anche ai pacchetti di distribuzione. Il modello di sicurezza ClickOnce si basa sugli autori attendibili e le richieste agli utenti per determinare se installare un'applicazione ClickOnce nel computer client. Le applicazioni ClickOnce sono firmate con un certificato che identifica l'autore. Il certificato fornisce la base seguente per la conferma dell'attendibilità:
Se è firmata da un autore attendibile, l'applicazione ClickOnce verrà installata automaticamente, senza chiedere conferma all'utente.
Se invece l'applicazione ClickOnce non è firmata da un autore attendibile, non verrà considerata automaticamente come attendibile e verrà chiesto all'utente di confermare se desidera installarla.
Nota
Per impostazione predefinita, in Servizi di integrazione applicativa viene utilizzato un certificato autofirmato per firmare i pacchetti di distribuzione. Poiché il certificato è autofirmato, non proviene da un'Autorità di certificazione (CA) attendibile.
La richiesta di attendibilità tuttavia può dipendere anche da altre impostazioni, ad esempio l'area di sicurezza di Internet Explorer da cui viene installata l'applicazione ClickOnce. Nella tabella riportata di seguito vengono elencati alcuni percorsi e URL di esempio, le aree di sicurezza corrispondenti e il comportamento predefinito per la richiesta di attendibilità.
| URL o percorso dell'applicazione ClickOnce | Area di sicurezza | Comportamento predefinito della richiesta di attendibilità |
|---|---|---|
C:\Contoso\Clientsolution\Customer.vsto |
Risorse del computer |
Consente l'invio di richieste di conferma agli utenti. |
http://contoso/clientsolution/customer.vsto |
Intranet locale |
Consente l'invio di richieste di conferma agli utenti. |
\\contoso\clientsolution\customer.vsto |
Intranet locale |
Consente l'invio di richieste di conferma agli utenti. |
http://fabrikam.contoso/clientsolution/customer.vsto |
Internet |
Non è consentito l'invio di richieste di conferma agli utenti a meno che l'applicazione non sia firmata da un certificato emesso da una CA attendibile. |
https://www.contoso.com/clientsolution/customer.vsto |
Internet |
Non è consentito l'invio di richieste di conferma agli utenti a meno che l'applicazione non sia firmata da un certificato emesso da una CA attendibile. |
\\172.16.4.1\clientsolution\customer.vsto |
Internet |
Non è consentito l'invio di richieste di conferma agli utenti a meno che l'applicazione non sia firmata da un certificato emesso da una CA attendibile. |
Nell'elenco riportato di seguito vengono descritte alcune operazioni che è possibile effettuare per bloccare gli errori di distribuzione causati da richieste di attendibilità predefinite.
Firmare i pacchetti di distribuzione con un certificato attendibile Per impostazione predefinita, in Servizi di integrazione applicativa viene utilizzato un certificato autofirmato per firmare i pacchetti di distribuzione. Di conseguenza verrà chiesto agli utenti di confermare se desiderano installare l'applicazione, altrimenti l'installazione del pacchetto di distribuzione avrà esito negativo senza richieste agli utenti (se l'elenco esterno è contenuto nell'area di sicurezza Internet). Per risolvere questi problemi, è possibile fornire un certificato emesso da una CA attendibile che può essere utilizzato per firmare i pacchetti di distribuzione. Per ulteriori informazioni su come fornire un certificato attendibile, vedere Procedura: rimuovere l'avviso di autore non verificabile quando si disconnettono elenchi esterni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x410).
Gli utenti possono aggiungere il sito di SharePoint all'elenco dei siti attendibili in Internet Explorer Aggiungendo un sito all'elenco dei siti attendibili di Internet Explorer, l'area di sicurezza del pacchetto di distribuzione cambia in Area attendibile, che consente l'invio di richieste di conferma agli utenti. Se si dispone di un pacchetto di distribuzione non firmato con un certificato attendibile e contenuto nell'area di sicurezza Internet, aggiungendo il sito all'elenco dei siti attendibili si consente all'utente di scegliere se installare o meno il pacchetto di distribuzione.
Nota
È consigliabile eseguire questa operazione solo per siti considerati attendibili dall'utente.
Sicurezza avanzata di Internet Explorer Sicurezza avanzata di Internet Explorer limita la capacità degli utenti di esplorare siti Web Internet e Intranet. In questo caso esiste il rischio che l'installazione dei pacchetti di distribuzione abbia esito negativo senza la visualizzazione degli errori. Per ovviare a questo problema, è possibile eseguire una delle operazioni seguenti:
Firmare i pacchetti di distribuzione con un certificato attendibile.
Gli utenti possono aggiungere il sito di SharePoint al proprio elenco di siti attendibili in Internet Explorer.
Disattivare Sicurezza avanzata di Internet Explorer per gli utenti.
Per ulteriori informazioni sulle applicazioni ClickOnce, vedere Sicurezza e distribuzione di ClickOnce (https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x410).
Mapping di gruppo del servizio di archiviazione sicura
Gli ID applicazione del servizio di archiviazione sicura vengono utilizzati per eseguire il mapping tra gli utenti e gli insiemi di credenziali. È possibile eseguire il mapping per gruppi o per singoli utenti. In un mapping di gruppo viene eseguito il mapping di ogni utente membro di un gruppo di dominio specifico con lo stesso insieme di credenziali. In un mapping individuale viene eseguito il mapping di ogni singolo utente con un insieme di credenziali dedicato.
Se nel tipo di contenuto esterno associato a un elenco esterno viene utilizzato un mapping di gruppo, quando gli utenti tentano di disconnettere l'elenco esterno viene chiesto loro di specificare le credenziali di gruppo. Nella maggior parte dei casi gli utenti non conoscono le credenziali di gruppo e non sono pertanto in grado di disconnettere l'elenco esterno.
È possibile eseguire una delle operazioni seguenti:
Modificare il tipo di contenuto esterno per utilizzare un mapping individuale.
Modificare il tipo di contenuto esterno per impedire agli utenti di tentare di disconnettere l'elenco esterno. Aprire il tipo di contenuto esterno in SharePoint Designer e impostare il campo Sincronizzazione offline per elenco esterno su Disattivata. In questo modo verranno disattivati i pulsanti Connetti a Outlook e Sincronizza con SharePoint Workspace sulla barra multifunzione dell'elenco esterno.
Per ulteriori informazioni sul servizio di archiviazione sicura, vedere Configurare il servizio di archiviazione sicura (SharePoint Server 2010).
Eseguire l'accesso con un account utente diverso
Quando si utilizza l'autenticazione di Windows, la caratteristica Eseguire l'accesso con un account utente diverso non è supportata per l'installazione dei pacchetti di distribuzione. Non è possibile disconnettere un elenco esterno se per accedere a un computer client è stato utilizzato un account e per accedere al sito di SharePoint ne è stato utilizzato un altro. Per disconnettere un elenco esterno, è necessario utilizzare lo stesso account utente per l'accesso sia al computer client che al sito di SharePoint.
Considerazioni sulla sicurezza
Nelle sezioni riportate di seguito vengono illustrate ulteriori misure che è possibile intraprendere per proteggere Servizi di integrazione applicativa quando si utilizzano applicazioni rich client.
Comunicazioni sicure
È consigliabile utilizzare Secure Sockets Layer (SSL) in tutti i canali tra computer client e server Web front-end. In questo modo si evita il rischio che vengano danneggiati dati riservati.
Autorizzazioni per elenchi esterni
Ogni elenco esterno è associato a un tipo di contenuto esterno. Le autorizzazioni per il tipo di contenuto esterno indicano chi può eseguire azioni specifiche sul tipo di contento esterno. L'autorizzazione Esecuzione è necessaria per eseguire operazioni (ad esempio di lettura o di aggiornamento) su un tipo di contenuto esterno, nonché per generare un pacchetto di distribuzione per l'elenco esterno. Tuttavia, dopo la creazione di un pacchetto di distribuzione per un elenco esterno, qualsiasi utente con accesso all'elenco esterno potrà scaricare e installare il pacchetto di distribuzione. In altri termini, se un utente non dispone dell'autorizzazione Esecuzione per il tipo di contenuto esterno ma dispone dell'autorizzazione Lettura, non potrà visualizzare gli elementi dell'elenco esterno, ma potrebbe comunque essere in grado di disconnetterlo. Per evitare la divulgazione di dati riservati, è consigliabile verificare che tutte le autorizzazioni per un elenco esterno corrispondano alle autorizzazioni per il tipo di contenuto esterno associato.
Web part Outlook Web Access
Le web part Outlook Web Access consentono agli utenti di visualizzare contenuto selezionato delle cartelle del proprio account di posta elettronica di Office Outlook in un sito di SharePoint. Se gli utenti hanno disconnesso dati esterni in Outlook, l'utilizzo delle web part Outlook Web Access può comportare il rischio che vengano condivisi dati riservati. È consigliabile che gli amministratori istruiscano gli utenti affinché condividano le proprie cartelle di Outlook solo con persone ritenute attendibili.
Limiti per il client
L'impostazione di limiti per il computer client consente di ridurre il rischio di attacchi Denial of Service causati da un utente che invia query che restituiscono una quantità elevata di dati o richiedono tempi elevati di elaborazione. È possibile utilizzare chiavi di criteri basati sul Registro di sistema per impostare limiti per i computer client. La modalità di gestione supportata per le chiavi di criteri basati sul Registro di sistema consiste nell'utilizzare Criteri di gruppo per applicare le impostazioni dei criteri del Registro di sistema.
Le impostazioni dei criteri di Servizi di integrazione applicativa sono incluse nel file Office14.adm, che può essere scaricato dal sito Web File dei Modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x410).
Nella tabella riportata di seguito vengono descritte le chiavi dei criteri basati sul Registro di sistema di Servizi di integrazione applicativa che possono essere utilizzate per impostare i limiti. Queste chiavi sono disponibili in HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data.
Nota
Nella tabella seguente vengono elencate solo le impostazioni dei criteri principali che è possibile utilizzare per impostare i limiti per i client. Per visualizzare l'elenco completo delle impostazioni dei criteri di Servizi di integrazione applicativa disponibili, fare riferimento al file Office2010GroupPolicyAndOCTSettings_Reference.xls incluso nella pagina di download seguente: File dei Modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x410).
| Chiave | Tipo | Valore | Descrizione |
|---|---|---|---|
Synchronization\Query Instances Limit |
REG_ DWORD |
1-32.767 |
Specifica il numero massimo di elementi che possono essere aggiunti nella cache da Servizi di integrazione applicativa come risultato dell'esecuzione di una query. Alcune query possono restituire molti elementi da aggiungere nella cache. In questo modo aumentano le dimensioni della cache del client (che possono superare il limite di 4 GB imposto dal database di Microsoft SQL Server Compact Edition), così come aumentano il lavoro necessario per la sincronizzazione della cache del client e il carico per il sistema esterno. Quando viene raggiunto il limite, l'elaborazione viene interrotta. La query viene contrassegnata come non riuscita e viene ripetuta in un secondo momento. L'impostazione predefinita è 2.000 elementi. |
Synchronization\Query Timeout |
REG_ DWORD |
1-360 (minuti) |
Specifica il numero di minuti richiesti da Servizi di integrazione applicativa per elaborare una singola query. Alcune query possono richiedere molto tempo per la restituzione e l'elaborazione di tutti i risultati. Durante questo intervallo di tempo, non possono essere elaborate altre operazioni. Quando viene raggiunto l'intervallo previsto per il timeout, l'elaborazione viene interrotta. La query viene contrassegnata come non riuscita e viene ripetuta in un secondo momento. I valori tipici sono compresi tra 3 e 10 minuti. L'impostazione predefinita è 5 minuti. |
Limits\Database\Items\Max |
REG_ DWORD |
1-2.000.000 |
Specifica il numero massimo di elementi che possono essere restituiti dal connettore di database per ogni richiesta. I valori tipici sono compresi tra 1.000 e 3.000 elementi. L'impostazione predefinita non prevede alcun limite di dati. |
Limits\Database\Timeout\Max |
REG_ DWORD |
1-75.000.000 (millisecondi) |
Specifica il numero di millisecondi di attesa prima che una connessione di database aperta venga terminata. I valori tipici sono compresi tra 5.000 e 180.000 millisecondi (da 5 secondi a 3 minuti). L'impostazione predefinita non prevede alcun timeout. |
Limits\Wcf\Size\Max |
REG_ DWORD |
1-1.000.000.000 (KB) |
Specifica la quantità massima di dati che possono essere restituiti da un connettore di servizio Web per ogni richiesta. I valori tipici sono compresi tra 512 KB e 524.288 KB (512 MB). L'impostazione predefinita non prevede alcun limite di dati. |
Limits\Wcf\Timeout\Max |
REG_ DWORD |
1-75.000.000 (millisecondi) |
Specifica il numero di millisecondi di attesa prima che una connessione del servizio Web aperta venga terminata. I valori tipici sono compresi tra 5.000 e 180.000 millisecondi (da 5 secondi a 3 minuti). L'impostazione predefinita non prevede alcun timeout. |