Pianificare l'utilizzo di Single Sign-on
Contenuto dell'articolo:
Informazioni su Single Sign-on
Scenari SSO comuni
Architettura SSO di Office SharePoint Server
Pianificare impostazioni SSO a livello di farm
Pianificare impostazioni di definizione di applicazioni enterprise
Pianificare operazioni SSO
Fogli di lavoro
Utilizzare questo articolo per pianificare l'utilizzo di Single Sign-on (SSO) in Microsoft Office SharePoint Server 2007. In questo articolo viene descritto come configurare SSO in un ambiente protetto, nonché come utilizzarlo per connettersi a sistemi di dati back-end.
Informazioni su Single Sign-on
La caratteristica Single Sign-on (SSO) di Microsoft Office SharePoint Server 2007 consente di eseguire il mapping delle credenziali utente a sistemi di dati back-end. Tramite SSO è possibile accedere ai dati da server e servizi esterni a Microsoft Office SharePoint Server 2007. Tali dati possono quindi essere visualizzati, creati e modificati all'interno di web part di Microsoft Office SharePoint Server 2007. La caratteristica SSO consente il verificarsi delle condizioni seguenti:
Le credenziali utente vengono gestite in modo protetto.
Vengono applicati i livelli di autorizzazione utente configurati per l'origine dati esterna.
Agli utenti non viene richiesto di immettere di nuovo le credenziali quando visualizzano dati provenienti da origini dati esterne in Microsoft Office SharePoint Server 2007.
Microsoft Office SharePoint Server 2007 può connettersi a più sistemi di dati esterni, indipendentemente dai requisiti di piattaforma e di autenticazione.
Single Sign-on richiede l'utilizzo di credenziali Windows per gli account utente. In ambienti in cui viene utilizzato Web SSO per autenticare gli account utente, è possibile utilizzare SSO solo se al thread corrente che richiama le API (Application Programming Interface) di SSO è associata un'identità di Windows.
Scenari SSO comuni
Single Sign-on viene principalmente utilizzato per scenari di business intelligence. Molte caratteristiche di Microsoft Office SharePoint Server 2007 dipendono da SSO, incluse le seguenti:
Catalogo dati business
Excel Services
InfoPath Forms Services
Web part Dati business
Web part KPI
Web part Modulo dati di Microsoft Office SharePoint Designer
Ricerca di dati business
Dati business in elenchi
È inoltre possibile introdurre web part personalizzate per la connessione a origini dati esterne, incluse quelle basate su sistemi operativi diversi da Windows. È possibile, ad esempio, connettersi alle applicazioni enterprise seguenti:
Warehouse di informazioni aziendali SAP
Siebel eBusiness Applications
Microsoft BizTalk Server
Per ulteriori informazioni sugli scenari di business intelligence, vedere Pianificare le caratteristiche di business intelligence.
Architettura SSO di Office SharePoint Server
In questa sezione viene descritta l'implementazione di SSO in Microsoft Office SharePoint Server 2007.
Servizio Microsoft Single Sign-on
La caratteristica SSO di Microsoft Office SharePoint Server 2007 utilizza il servizio Microsoft Single Sign-on (SSOSrv). Nella figura seguente viene illustrata l'implementazione del servizio Single Sign-on in una server farm di Microsoft Office SharePoint Server 2007.
.gif "Servizio Single Sign-On in una server farm")
Server delle chiavi di crittografia SSO Il primo server in cui è abilitato il servizio Single Sign-on diventa il server delle chiavi di crittografia. Tale server genera e archivia la chiave di crittografia, utilizzata per crittografare e decrittografare le credenziali archiviate nel database SSO. Il server delle chiavi di crittografia deve essere un server applicazioni, ad esempio il server di indicizzazione.
Servizio Single Sign-on Questo servizio deve essere installato in tutti i server Web nella server farm. Il servizio, inoltre, deve essere installato in qualsiasi computer che ospita il ruolo del server applicazioni Excel Services. Se si utilizza una ricerca nel Catalogo dati business, il servizio deve essere installato anche nel server di indicizzazione.
Database SSO Quando si configurano le impostazioni del server SSO nel sito Amministrazione centrale, in Microsoft Office SharePoint Server 2007 viene creato un database SSO nel server database che ospita il database di configurazione. Se è installato Microsoft SQL Server, il database SSO è un database di SQL Server. Se SQL Server non è installato, il servizio Single Sign-on utilizza Microsoft SQL Server 2005 Express Edition. Nel database SSO sono archiviate le credenziali crittografate.
Nota
Se si esegue l'aggiornamento da una versione precedente di SharePoint Portal Server, è necessario ricreare l'ambiente SSO, creando anche un nuovo database SSO. Non è possibile eseguire l'aggiornamento o la migrazione di SSO a Microsoft Office SharePoint Server 2007.
Definizioni di applicazioni enterprise
In un ambiente SSO i sistemi e le origini dati esterni back-end sono denominati applicazioni enterprise. Dopo avere configurato l'ambiente SSO, è possibile creare definizioni di applicazioni enterprise. Per ogni applicazione enterprise a cui si connette Microsoft Office SharePoint Server 2007 deve essere presente una definizione di applicazione enterprise corrispondente configurata dall'amministratore. In alternativa, è possibile configurare diverse definizioni di applicazioni enterprise per la stessa applicazione enterprise per proteggere gruppi diversi cui è consentito l'accesso.
Una definizione di applicazione enterprise definisce gli elementi seguenti:
Identità dell'applicazione enterprise (nome visualizzato, nome programmatico e indirizzo di posta elettronica del contatto).
Tipo degli account utente mappati all'applicazione enterprise. Dipende dall'applicazione di autorizzazioni basate su singoli account o su account di gruppo da parte dell'applicazione enterprise o, in alcuni casi, della web part.
Tipo di credenziali raccolte dagli utenti (nome utente, password o altre credenziali, ad esempio una smart card).
Account utilizzato dalle web part di Microsoft Office SharePoint Server 2007 per la connessione all'applicazione enterprise.
La funzionalità Single Sign-on consente scenari in cui più web part accedono a diverse applicazioni enterprise. Le diverse applicazioni enterprise possono utilizzare ognuna un tipo diverso di autenticazione. Le applicazioni enterprise possono inoltre essere basate su sistemi operativi diversi da Windows.
Ticket SSO
In un ambiente enterprise in cui un utente interagisce con diversi sistemi e applicazioni, è molto probabile che l'ambiente non sia in grado di mantenere il contesto utente in più processi, prodotti e computer. Questo contesto utente è essenziale per offrire funzionalità Single Sign-on, in quanto è necessario verificare l'utente che ha avviato la richiesta originale. In scenari in cui più server partecipano al passaggio di credenziali dal server delle chiavi di crittografia all'applicazione enterprise il servizio Single Sign-on implementa un ticket SSO e non un ticket Kerberos. I server utilizzano questo ticket per ottenere le credenziali che corrispondono all'utente che ha eseguito la richiesta originale.
Un ambiente per le retribuzioni, ad esempio, può essere configurato per l'accesso ai dati in un sistema SAP tramite BizTalk Server. Se una web part si connette al sistema SAP, le credenziali vengono inviate tramite il computer BizTalk Server. In un ambiente SSO una web part emette un ticket SSO al servizio nel computer BizTalk Server che si connette al sistema SAP. Se l'utente appartiene a un account o a un account di gruppo specificato nella definizione di applicazione, Il servizio riscatta il ticket SSO per le credenziali al sistema SAP. Affinché il servizio nel computer BizTalk Server possa riscattare i ticket SSO, è necessario aggiungere l'account utilizzato dal servizio al gruppo Administrators di SSO.
Il servizio Single Sign-on emette un ticket quando un utente di Windows richiede un ticket o quando un'applicazione richiede un ticket per conto di un utente. Il servizio Single Sign-on può emettere un ticket solo per l'utente che esegue la richiesta e non è possibile richiedere un ticket per altri utenti. Un ticket contiene il nome di dominio e il nome utente crittografati dell'utente corrente e la scadenza del ticket.
Dopo che un'applicazione enterprise verifica l'identità del richiedente originale, l'applicazione riscatta il ticket per ottenere le credenziali dell'utente che ha avviato la richiesta. I ticket scadono dopo due minuti per impostazione predefinita. Gli amministratori SSO possono modificare la scadenza dei ticket. Il valore di timeout del ticket deve durare almeno dal momento di emissione del ticket al momento in cui viene riscattato.
Amministrazione di SSO
L'amministrazione di SSO prevede due tipi di amministratori:
Amministratori SSO Questi amministratori impostano e configurano SSO, gestiscono gli account SSO, eseguono il backup della chiave di crittografia e creano e modificano la chiave di crittografia. Per motivi di protezione, gli amministratori SSO devono accedere localmente al server delle chiavi di crittografia per impostare, configurare e gestire SSO. Gli amministratori SSO non possono gestire impostazioni del server SSO da un server remoto.
Amministratori di definizioni di applicazioni enterprise Questi amministratori creano e gestiscono le definizioni di applicazioni enterprise, aggiornano le credenziali e gli account utilizzati per accedere alle applicazioni enterprise e, inoltre, possono gestire le definizioni di applicazioni enterprise in remoto.
Le autorizzazioni e gli account specifici per gli amministratori SSO vengono descritti in dettaglio più avanti in questo articolo.
Dipendenze di rete
In una server farm di Microsoft Office SharePoint Server 2007 il servizio Single Sign-on utilizza nomi NetBIOS per la comunicazione tra il server delle chiavi di crittografia e il server database. Se la risoluzione dei nomi NetBIOS non è disponibile per il server database, la configurazione di SSO avrà esito negativo.
Pianificare impostazioni SSO a livello di farm
In questa sezione vengono descritte le opzioni di pianificazione per impostazioni a livello di farm, che includono le seguenti operazioni:
Determinazione del server che ospiterà il ruolo del server delle chiavi di crittografia SSO.
Configurazione di account SSO e verifica che tali account vengano creati con le autorizzazioni appropriate.
Registrazione delle decisioni per le impostazioni a livello di farm configurate nella pagina Gestisci impostazioni server per il servizio Single Sign-on in Amministrazione centrale.
|
|---|
|
Server delle chiavi di crittografia SSO
Determinare il computer nella farm che ospiterà il ruolo del server delle chiavi di crittografia SSO. La configurazione consigliata consiste nel selezionare un server applicazioni, ad esempio un server di indicizzazione, per i motivi seguenti:
Tutti i server che eseguono il servizio Single Sign-on devono essere in grado di comunicare in rete con il server delle chiavi di crittografia. Quando si utilizza una farm con più server Web, alcune tecnologie di bilanciamento del carico non consentono ai server Web di comunicare gli uni con gli altri.
Gli utenti finali non accedono direttamente ai server applicazioni, in genere protetti da livelli di protezione aggiuntivi. I protocolli di protezione, come IPsec o SSL, vengono spesso implementati per proteggere le comunicazioni da server a server all'interno di una server farm. Alcune topologie di farm, inoltre, implementano un router o un firewall aggiuntivo tra i server Web e i server applicazioni.
Il servizio Single Sign-on deve essere installato in tutti i computer che ospitano il ruolo Excel Services. Se si utilizza una ricerca nel Catalogo dati business, il servizio Single Sign-on deve essere installato anche nel server di indicizzazione. Questi requisiti rendono ognuno dei server una soluzione ideale per il ruolo del server delle chiavi di crittografia.
Verificare che gli amministratori SSO possano accedere in locale al server delle chiavi di crittografia. Assicurarsi inoltre che le impostazioni di protezione di Internet Explorer non impediscano l'amministrazione di SSO verificando le condizioni seguenti:
L'opzione predefinita, Accesso automatico solo nell'area Intranet, è selezionata. A tale scopo, scegliere Opzioni Internet dal menu Strumenti, fare clic sulla scheda Protezione, sul pulsante Personalizza livello e quindi passare alla sezione Autenticazione utente della finestra di dialogo Impostazioni protezione.
L'opzione Richiedi nome utente e password non è selezionata.
Account SSO
Per configurare, eseguire e amministrare il sistema SSO, sono necessari quattro diversi account:
Account di configurazione SSO
Account di amministratore SSO
Account del servizio SSO
Account di amministratore dell'applicazione enterprise
In un ambiente di valutazione è possibile utilizzare l'account della server farm per ognuno di questi account. In un ambiente protetto, tuttavia, è consigliabile valutare con attenzione gli account da utilizzare e come configurarli. In questa sezione sono inclusi dettagli sui requisiti relativi agli account e alcuni consigli per la configurazione di tali account in un ambiente protetto.
I quattro account necessari per configurare, eseguire e amministrare il sistema SSO consentono la separazione dei ruoli e l'isolamento delle autorizzazioni. Tali account sono inclusi nelle tabelle seguenti, in cui vengono descritte le azioni eseguite utilizzando ogni account.
| Account | Descrizione |
|---|---|
Account di configurazione SSO |
|
Account di amministratore SSO |
|
Account del servizio SSO |
Eseguire il servizio Single Sign-on in Windows. |
Account di amministratore dell'applicazione enterprise |
Creare, modificare o eliminare definizioni di applicazioni enterprise in Microsoft Office SharePoint Server 2007. |
| Account | Requisiti |
|---|---|
Account di configurazione SSO |
|
Account di amministratore SSO |
|
Account del servizio SSO |
|
Account di amministratore dell'applicazione enterprise |
|
In un ambiente protetto è consigliabile configurare quattro account distinti e utilizzare un account di gruppo laddove possibile. Se si utilizza un account utente per l'account di configurazione SSO, l'account amministratore SSO e l'account del servizio SSO, è necessario utilizzare lo stesso account utente. Nella tabella seguente sono inclusi i consigli per la configurazione di tali account.
| Account | Ambiente di valutazione | Ambiente protetto |
|---|---|---|
Account di configurazione SSO |
Account server farm |
Utilizzare l'account di un singolo utente amministratore che sia membro del gruppo Farm Administrators. |
Account di amministratore SSO |
Account server farm |
Creare un account di gruppo di dominio dedicato. Aggiungere gli elementi seguenti a questo gruppo:
|
Account del servizio SSO |
Account server farm |
|
Account di amministratore dell'applicazione enterprise |
Account server farm |
Creare un account di gruppo di dominio dedicato. Aggiungere questi utenti di gruppo a cui è consentito creare e gestire definizioni di applicazioni enterprise. |
Nella figura seguente viene illustrata la configurazione protetta consigliata per questi account.
.gif "Raccomandazioni per la configurazione di account SSO")
Impostazioni di database
Le impostazioni di database vengono utilizzate per creare il database SSO e includono le seguenti:
Nome server Nome NetBIOS del server database. Non immettere il nome di dominio completo (FQDN).
Nome database Nome del database SSO.
A meno che il database non venga creato prima, è consigliabile mantenere le impostazioni predefinite.
Impostazioni di timeout
Tra le impostazioni di timeout sono incluse le seguenti:
Timeout ticket (in minuti) Utilizzare questa impostazione per specificare il numero di minuti che possono trascorrere prima della scadenza di un ticket SSO. Verificare che il valore di timeout del ticket duri almeno dal momento in cui il ticket viene emesso al momento in cui viene riscattato dall'applicazione enterprise. L'impostazione consigliata è pari a due minuti e consente un tempo sufficiente per il riscatto dei ticket. Se i ticket non vengono riscattati entro due minuti, possono verificarsi problemi di rete o di altro tipo che potrebbero impedire una connessione tra computer.
Elimina i record del registro di controllo dopo Utilizzare questa opzione per impostare il numero di giorni per cui mantenere i record nel registro di controllo prima di eliminarli.
Le impostazioni di timeout predefinite rappresentano il punto di partenza consigliato.
Pianificare impostazioni delle definizioni di applicazioni enterprise
In questa sezione vengono descritte le scelte di pianificazione adottate per le definizioni di applicazioni enterprise.
| Azione nel foglio di lavoro |
|---|
Per registrare le scelte di pianificazione adottate, utilizzare il foglio di lavoro Single sign-on enterprise application definition worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x410) (informazioni in lingua inglese) . Completare il foglio di lavoro per ogni definizione di applicazione enterprise che si prevede di aggiungere. |
Dopo avere creato una definizione di applicazione enterprise, non è possibile modificare le proprietà seguenti:
Nome della definizione di applicazione enterprise
Tipo di account (di gruppo o singolo, di gruppo o singolo autenticato di Windows o gruppo che utilizza un account con restrizioni)
Campi con informazioni sugli account di accesso
Informazioni su applicazione e contatti
Tra le informazioni sull'applicazione e i contatti sono incluse le seguenti:
Nome visualizzato Nome descrittivo per l'applicazione enterprise.
Nome applicazione Nome programmatico per l'applicazione enterprise. Si tratta del nome che verrà utilizzato dalle web part per chiamare la definizione di applicazione enterprise.
Indirizzo di posta elettronica contatto Indirizzo di posta elettronica che gli utenti possono contattare per l'applicazione enterprise.
Tipo di account
Per tipo di account si intende il tipo di account utilizzato per eseguire il mapping delle credenziali utente all'applicazione enterprise, ovvero un singolo account o un account di gruppo. Se ogni utente dispone di un account nell'applicazione enterprise, scegliere Account personale. Se l'applicazione enterprise utilizza un account per tutti gli utenti, scegliere Gruppo.
Si noti che l'autorizzazione di protezione può essere eseguita dall'applicazione enterprise o dalla web part che si connette all'applicazione enterprise. La configurazione dell'autorizzazione di protezione influisce sul tipo di account utilizzato dall'applicazione enterprise. L'autorizzazione necessaria per accedere ai dati personali in un'applicazione di remunerazione, ad esempio, può essere configurata tramite uno dei due metodi seguenti:
Gli utenti dispongono di account personali nel sistema di remunerazione per accedere alla propria remunerazione. In questo caso, l'applicazione enterprise utilizza singoli account.
La web part utilizzata per l'accesso ai dati relativi alle remunerazioni applica l'autorizzazione di protezione. In questo caso, la web part esegue l'autorizzazione utente in base alle credenziali utente e il sistema di remunerazione utilizza un account di gruppo per tutti gli utenti. Di conseguenza, la definizione di applicazione enterprise per questo scenario utilizza un account di gruppo.
Se, inoltre, viene utilizzato un account di gruppo, la definizione di applicazione enterprise può essere configurata per utilizzare un account privilegiato. Se si sceglie un account privilegiato, le credenziali vengono archiviate separatamente dalle credenziali normali e vengono utilizzate API diverse per accedere alle credenziali privilegiate. Gli account privilegiati vengono utilizzati in scenari in cui un'applicazione di intermediazione, ad esempio il Catalogo dati business, impone ulteriore limitazione per motivi di protezione sui dati recuperati in base alle credenziali.
Le applicazioni che utilizzano credenziali con restrizioni devono eseguire autorizzazione e limitazione dei dati aggiuntive in base ai dati restituiti tramite le credenziali privilegiate. Gli amministratori della farm devono verificare che tutte le applicazioni che utilizzano account privilegiati eseguano l'autorizzazione e la limitazione dei dati in modo uniforme. In caso contrario, se un'applicazione che non esegue autorizzazione o limitazione aggiuntive ha accesso ad account privilegiati, può compromettere la protezione utilizzando credenziali privilegiate per accedere a dati che verrebbero altrimenti limitati.
Fare clic su Gruppo con account limitato solo nei casi seguenti:
L'account è un account di gruppo.
Il Catalogo dati business viene utilizzato per la connessione all'applicazione enterprise.
L'applicazione di intermediazione che si connette all'applicazione enterprise è conforme ai termini relativi all'utilizzo di un account privilegiato.
I dati sono altamente riservati.
Tipo di autenticazione
Per tipo di autenticazione si intende il metodo in cui il server Microsoft Office SharePoint Server 2007 si connette all'applicazione enterprise, ovvero tramite l'autenticazione di Windows o nessuna autenticazione. Questa autenticazione si applica solo alle credenziali utilizzate dal server che esegue Microsoft Office SharePoint Server 2007 per accedere all'applicazione enterprise, ma non alle credenziali utente.
Se l'applicazione enterprise è ospitata in un computer che esegue Windows, selezionare Autenticazione di Windows. Se l'applicazione enterprise è ospitata in un computer che non esegue Windows, non impostare questa opzione. Se non si utilizza l'autenticazione di Windows, le credenziali di accesso non vengono crittografate. Se si seleziona l'autenticazione di Windows e il sistema dell'applicazione enterprise non supporta l'autenticazione di Windows, la connessione SSO avrà esito negativo.
Informazioni sull'account di accesso per gli utenti
I campi disponibili per le informazioni sull'account di accesso determinano le informazioni necessarie per accedere. Per impostazione predefinita, vengono specificati solo il nome utente e la password. È possibile specificare fino a cinque diverse informazioni da includere. È possibile, ad esempio, richiedere il nome di un server SAP o il numero di un client SAP. Agli utenti verrà richiesto di immettere le credenziali nei casi seguenti:
L'autenticazione ha esito negativo o non è possibile trovare le credenziali.
La web part è programmata per richiedere le credenziali agli utenti.
Le informazioni sull'account di accesso vengono utilizzate per le definizioni di applicazioni enterprise che utilizzano singoli account. La richiesta delle informazioni sull'account di accesso non è consigliabile per le definizioni di applicazioni enterprise che utilizzano account di gruppo.
Le informazioni sull'account di accesso configurate a questo punto devono corrispondere ai requisiti sull'accesso per l'applicazione enterprise. È inoltre necessario determinare se il sistema debba nascondere queste credenziali durante l'immissione da parte dell'utente.
Sono in genere necessari solo un nome utente e una password. Alcuni ambienti altamente protetti potrebbero richiedere informazioni aggiuntive di identificazione utente. Alcuni sistemi, inoltre, potrebbero richiedere informazioni aggiuntive dagli utenti per identificare l'applicazione. Per accedere a Oracle, ad esempio, gli utenti potrebbero dover immettere le informazioni indicate nella tabella seguente.
| Campo | Informazioni da inserire |
|---|---|
Campo 1 |
Nome utente Oracle |
Campo 2 |
Password utente Oracle (selezionare Sì per l'opzione Nascondi informazioni riservate) |
Campo 3 |
Nome del database Oracle |
Per accedere all'applicazione SAP, gli utenti potrebbero dover immettere le informazioni indicate nella tabella seguente.
| Campo | Informazioni da inserire |
|---|---|
Campo 1 |
Nome utente SAP |
Campo 2 |
Password SAP (selezionare Sì per l'opzione Nascondi informazioni riservate) |
Campo 3 |
Numero del sistema SAP |
Campo 4 |
Numero del client SAP |
Campo 5 |
Lingua |
Informazioni sull'account per l'applicazione enterprise
Se si utilizza un account di gruppo per la connessione all'applicazione enterprise, è necessario specificare le credenziali dell'account. Dopo avere aggiunto una definizione di applicazione enterprise, un amministratore SSO o un membro dell'account amministratore dell'applicazione enterprise specifica l'account e la password utilizzati per la connessione al server esterno facendo clic su Gestisci informazioni account per la definizione di un'applicazione enterprise nel sito Amministrazione centrale.
| Azione nel foglio di lavoro |
|---|
Per registrare il nome dell'account di gruppo, utilizzare il foglio di lavoro Single sign-on enterprise application definition worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x410) (informazioni in lingua inglese) . |
L'amministratore che immette le informazioni sull'account nel sito Amministrazione centrale deve conoscere anche la password per l'account di gruppo.
Se si utilizzano singoli account per connettersi all'applicazione enterprise, non è necessario immettere le informazioni sull'account nel sito Amministrazione centrale.
Pianificare operazioni SSO
Gestione della chiave di crittografia
La chiave di crittografia viene utilizzata come parte del processo di crittografia per le credenziali utilizzate con SSO. La chiave consente di decrittografare credenziali crittografate archiviate nel database SSO. Quando si configurano SSO e le definizioni di applicazioni enterprise nella pagina Gestisci impostazioni server per servizio Single Sign-on in Amministrazione centrale, la chiave di crittografia viene creata automaticamente. La gestione della chiave di crittografia include il controllo e la rigenerazione della chiave di crittografia.
Controllo della chiave di crittografia
È possibile abilitare il controllo delle modifiche apportate alla chiave di crittografia. Ogni volta che la chiave viene letta o scritta, viene registrato un evento di protezione nel registro di protezione. È possibile visualizzare il registro di protezione utilizzando il Visualizzatore eventi. L'abilitazione della registrazione implica le operazioni seguenti:
Modifica di una chiave del Registro di sistema SSO.
Creazione di un criterio Computer locale nell'Editor oggetti Criteri di gruppo.
Rigenerazione della chiave di crittografia
Poiché la chiave di crittografia protegge le credenziali di protezione, è consigliabile rigenerare la chiave con regolarità, ad esempio ogni 90 giorni. È inoltre consigliabile rigenerare la chiave di crittografia se le credenziali dell'account risultano danneggiate.
Il processo di riesecuzione della crittografia è un'operazione di lunga durata. È consigliabile modificare la chiave di crittografia durante i periodi non di punta. La riesecuzione della crittografia ha l'impatto descritto di seguito sull'ambiente SSO:
Durante il processo di riesecuzione della crittografia, le operazioni di scrittura come l'aggiornamento delle credenziali e la modifica delle definizioni di applicazioni enterprise non sono consentite.
L'esecuzione delle operazioni di lettura, come il recupero delle credenziali, proseguono normalmente.
Per rieseguire la crittografia della chiave di crittografia, è necessario accedere al server delle chiavi di crittografia in locale. È inoltre necessario essere un membro dell'account amministratore SSO.
Se il server delle chiavi di crittografia viene riavviato o il servizio Single Sign-on viene interrotto nel server delle chiavi di crittografia durante il processo di riesecuzione della crittografia, è consigliabile controllare il registro eventi per verificare l'eventuale presenza di errori. Se nel registro eventi viene segnalato un errore, è necessario riavviare il processo di riesecuzione della crittografia. Se il processo di riesecuzione della crittografia viene impedito in qualsiasi modo, torna allo stato originale e deve essere eseguito nuovamente .
Quando si crea una chiave di crittografia, è possibile scegliere di rieseguire la crittografia delle credenziali esistenti con la nuova chiave. Se non si riesegue la crittografia delle credenziali esistenti con la nuova chiave di crittografia, gli utenti dovranno ridigitare le proprie credenziali per singole definizioni di applicazioni enterprise e gli amministratori di definizioni di applicazioni enterprise di gruppo dovranno ridigitare le credenziali di gruppo.
Quando si riesegue la crittografia dell'archivio credenziali del servizio Single Sign-on, gli eventi vengono registrati nel registro eventi applicazioni di Microsoft Windows Server 2003. Dopo l'avvio della riesecuzione della crittografia, è possibile monitorare il registro eventi applicazioni per verificare che l'archivio credenziali sia stato nuovamente crittografato. L'ID evento 1032 viene registrato nel registro eventi applicazioni all'avvio della riesecuzione della crittografia. L'ID evento 1033 viene registrato nel registro eventi applicazioni al termine della riesecuzione della crittografia. In caso di errori durante la riesecuzione della crittografia, viene registrato un evento nel registro.
Nel definire le opzioni di pianificazione per la gestione della chiave di crittografia, valutare gli elementi seguenti:
Intervallo in base al quale si prevede di rieseguire la crittografia della chiave di crittografia
Necessità di rieseguire o meno la crittografia delle credenziali esistenti con la nuova chiave di crittografia allo stesso tempo
Circostanze straordinarie in cui rieseguire la crittografia della chiave di crittografia
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Single sign-on server farm settings worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x410) (informazioni in lingua inglese) per registrare le scelte eseguite per la pianificazione. |
Backup dell'ambiente SSO
Il backup dell'ambiente SSO comporta il backup delle due entità distinte seguenti:
Chiave di crittografia
Database SSO
È consigliabile eseguire il backup della chiave di crittografia dopo la configurazione iniziale di SSO e quindi eseguire di nuovo il backup della chiave ogni volta che viene rigenerata. Non è necessario eseguire il backup della chiave di crittografia a intervalli regolari a meno che l'intervallo non sia associato alla rigenerazione della chiave. Non è possibile eseguire il backup della chiave di crittografia in remoto. È necessario essere un membro dell'account amministratore SSO e avere eseguito l'accesso al server delle chiavi di crittografia in locale per eseguire il backup della chiave di crittografia. È possibile eseguire il backup della chiave di crittografia solo in un supporto di archiviazione rimovibile e non in un disco rigido locale. Il backup della chiave di crittografia può essere eseguito nella pagina Gestisci chiave di crittografia in Amministrazione centrale.
È consigliabile eseguire il backup del database SSO dopo averlo creato per la prima volta e quindi di nuovo ogni volta che viene rieseguita la crittografia delle credenziali. È inoltre possibile includere backup del database SSO con i backup del database normalmente pianificati per la server farm. I backup pianificati normalmente includeranno altre modifiche apportate al database SSO, ad esempio nuove definizioni di applicazioni enterprise e credenziali aggiornate.
Non archiviare i supporti di backup per la chiave di crittografia nella stessa posizione dei supporti di backup per il database SSO. Se un utente ottiene una copia del database e della chiave, le credenziali archiviate nel database potrebbero essere danneggiate. Idealmente il backup della chiave di crittografia deve essere bloccato in una posizione protetta.
Nel definire le opzioni di pianificazione per il backup dell'ambiente SSO, valutare gli elementi seguenti:
Intervallo di backup della chiave di crittografia.
Piano per il backup del database SSO. Il piano più efficiente consiste nell'includere il database SSO con i normali backup della farm.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Single sign-on server farm settings worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x410) (informazioni in lingua inglese) per registrare le scelte eseguite per la pianificazione. |
Ripristino dell'ambiente SSO
Esistono diversi scenari in cui è necessario ripristinare l'ambiente SSO. In alcuni casi, è necessario ripristinare solo la chiave di crittografia o solo il database SSO. Nella tabella seguente vengono descritti i diversi scenari di ripristino e vengono indicati gli elementi da ripristinare.
| Scenario | Elementi da ripristinare |
|---|---|
Spostare il ruolo del server delle chiavi di crittografia in un server diverso. |
Chiave di crittografia |
Modificare l'account del servizio SSO. |
Chiave di crittografia |
Ripristinare il server database con errori. |
Database SSO |
Eseguire la migrazione della farm di Microsoft Office SharePoint Server 2007 in un gruppo di server diverso. |
Chiave di crittografia e database SSO |
Eseguire il ripristino in caso di emergenza a livello di farm. |
Chiave di crittografia e database SSO |
Nella parte restante di questa sezione sono incluse informazioni dettagliate sulle attività specifiche interessate dal ripristino dell'ambiente SSO, a seconda dello scenario.
Per spostare il ruolo del server delle chiavi di crittografia in un server diverso, eseguire la procedura seguente:
Spostare il ruolo del server delle chiavi di crittografia in un server diverso
Eseguire il backup della chiave di crittografia.
Disabilitare il servizio Single Sign-on in tutti i computer nella farm.
Accedere al nuovo server delle chiavi di crittografia.
Avviare il servizio Single Sign-on.
Configurare le impostazioni a livello di farm del servizio SSO nel sito Amministrazione centrale. Specificare il database SSO esistente.
Ripristinare la chiave di crittografia.
Avviare il servizio Single Sign-on in tutti i server Web nella server farm.
Cambiare l'account del servizio SSO
L'identificatore di protezione (SID) dell'account del servizio viene utilizzato come parte della formula per la crittografia delle credenziali SSO. Di conseguenza, per cambiare l'account del servizio SSO, è necessario riconfigurare l'ambiente SSO. Per cambiare l'account del servizio SSO, eseguire la procedura seguente:
Cambiare l'account del servizio SSO
Eseguire il backup della chiave di crittografia.
In tutti i server nella farm che eseguono il servizio Single Sign-on riconfigurare il servizio con il nuovo account.
Riconfigurare le impostazioni a livello di farm del servizio SSO nel sito Amministrazione centrale con il nuovo account del servizio SSO. Specificare il database SSO.
Ripristinare la chiave di crittografia.
Rieseguire la crittografia delle credenziali nel database SSO. La chiave di crittografia ripristinata viene utilizzata per rieseguire la crittografia delle credenziali.
Ripristinare solo il server database SSO
Se si verificano errori nel server che ospita il database SSO, è necessario ripristinare solo il database SSO. Ripristinare il database tramite lo stesso metodo che si utilizzerebbe per ripristinare qualsiasi altro database nell'ambiente Microsoft Office SharePoint Server 2007. Se si ripristina il database SSO in un server diverso, riconfigurare le impostazioni a livello di farm del servizio SSO con il nome del nuovo server database.
Ripristinare l'intero ambiente SSO
Esistono diversi scenari in cui è necessario ripristinare sia la chiave di crittografia sia il database SSO. Per ripristinare l'intero ambiente SSO, eseguire la procedura seguente:
Ripristinare l'intero ambiente SSO
Ripristinare il database SSO per il server database desiderato.
Impostare e configurare SSO come se si stesse configurando un nuovo ambiente SSO, ma immettere il nome di server e di database del database SSO esistente.
Ripristinare la chiave di crittografia nel nuovo ambiente SSO.
Risposta a una violazione della protezione del servizio SSO
Una violazione della protezione può essere costituita dalla perdita di un supporto di backup, dalla perdita di una password o da un altro evento che può danneggiare le credenziali archiviate nel database SSO o i dati archiviati nell'applicazione enterprise. Se si verifica una violazione della protezione che può influire sull'ambiente SSO, eseguire le operazioni seguenti per rispondere alla violazione:
Rispondere a una violazione della protezione
Rigenerare la chiave di crittografia.
Rieseguire la crittografia delle credenziali nel database SSO (viene utilizzata la nuova chiave di crittografia).
Modificare le password per le applicazioni enterprise in caso di probabile violazione delle password.
Invitare gli utenti a modificare le password in caso di probabile violazione delle password.
Se la violazione della protezione è potenzialmente grave, è possibile interrompere il servizio Single Sign-on per impedire immediatamente l'accesso alle credenziali archiviate nel database SSO. Se è necessario interrompere il servizio Single Sign-on, è possibile ripristinare il servizio in modo protetto nella server farm di Microsoft Office SharePoint Server 2007 esistente eseguendo la procedura seguente:
Ripristinare il servizio Single Sign-on nella server farm esistente
Ripristinare l'ambiente SSO in un server isolato.
Rigenerare la chiave di crittografia.
Rieseguire la crittografia delle credenziali nel database SSO.
Eseguire il backup dell'ambiente SSO.
Ripristinare l'ambiente SSO nella server farm di Microsoft Office SharePoint Server 2007 esistente.
Fogli di lavoro
Per pianificare l'utilizzo di Single Sign-on, utilizzare i fogli di lavoro seguenti:
Single sign-on enterprise application definition worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x410) (informazioni in lingua inglese)
Single sign-on server farm settings worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x410) (informazioni in lingua inglese)
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).