Configurare il servizio Single Sign-on (Office SharePoint Server)

  • Articolo

Single Sign-on (SSO) è una funzionalità di Microsoft Office SharePoint Server che consente l'archiviazione e il mapping delle credenziali, ad esempio i nomi account e le password. Tramite SSO, le applicazioni basate sui siti portale sono in grado di recuperare informazioni da applicazioni di terze parti e sistemi back-end, ad esempio i sistemi di pianificazione delle risorse aziendali (ERP) e Customer Relationship Management (CRM).

L'utilizzo della funzionalità Single Sign-on consente agli utenti di eseguire l'autenticazione una sola volta quando accedono ad applicazioni basate su siti portale che devono ottenere informazioni da altri sistemi e applicazioni aziendali.

Per configurare Single Sign-on, è necessario eseguire cinque attività:

  • Configurare e avviare il servizio Microsoft Single Sign-on

  • Configurare il servizio Single Sign-on per Office SharePoint Server 2007

  • Gestire la chiave di crittografia

  • Gestire definizioni di applicazioni enterprise

  • Gestire le informazioni sull'account per la definizione di un'applicazione enterprise

Si noti che è necessario essere connessi al sito Web Amministrazione centrale di SharePoint su un server della farm per configurare il servizio Single Sign-on (SSO) per Microsoft Office SharePoint Server 2007. Se si tenta di configurare SSO su una workstation o un computer diverso da un server della farm, verrà visualizzato il messaggio di errore "Impossibile configurare il servizio Single Sign-on da questo server. Per configurare il servizio, passare al computer in cui è in esecuzione il servizio Single Sign-on e configurare le impostazioni localmente".

Seguire le procedure descritte nelle sezioni seguenti per configurare SSO per l'ambiente Microsoft Office SharePoint Server 2007.

Configurare e avviare il servizio Microsoft Single Sign-on

Per utilizzare la funzionalità Single Sign-on, il servizio Microsoft Single Sign-on (SSO) deve essere installato in tutti i server Web front-end Microsoft Windows nella farm, oltre che in tutti i server su cui è in esecuzione Excel Services. Se si utilizza la ricerca Catalogo dati business, il servizio SSO deve essere installato anche nel server di indicizzazione.

Per configurare il servizio SSO, utilizzare la console Servizi. Per la configurazione del servizio è necessario un account di accesso, che deve soddisfare tutti i criteri seguenti:

  • Deve essere un account utente di dominio. Non può essere un account di gruppo.

  • Deve essere un account della farm di Office SharePoint Server.

  • Deve essere un membro del gruppo Administrators locale sul server della chiave di crittografia (il primo server su cui si avvia il servizio SSO).

  • Deve essere un membro dei ruoli Security Administrators e db_creator sul computer che esegue Microsoft SQL Server.

  • Deve essere un account uguale all'account dell'amministratore del servizio Single Sign-on o un membro dell'account di gruppo corrispondente all'account dell'amministratore del servizio Single Sign-on.

Configurare e avviare il servizio Microsoft Single Sign-on

  1. Nel server fare clic sul pulsante Start, scegliere Pannello di controllo, Strumenti di amministrazione e quindi Gestione computer.

  2. Nella console Gestione computer espandere Servizi e applicazioni e quindi Servizi.

  3. Fare clic con il pulsante destro del mouse su Servizio Microsoft Single Sign-on e quindi scegliere Proprietà.

  4. Nella scheda Generale impostare Tipo di avvio su Automatico.

  5. Nella scheda Generale, in Stato del servizio, fare clic su Avvia.

  6. Fare clic su OK per salvare le modifiche e chiudere la finestra Proprietà.

  7. Ripetere i passaggi da 1 a 6 per ogni server applicabile nella farm.

Configurare il servizio Single Sign-on per Office SharePoint Server 2007

La gestione delle impostazioni del server per il servizio Single Sign-on include la definizione di account amministratore appropriati, l'impostazione del server database Single Sign-on e del nome del server e la configurazione delle impostazioni di timeout e dei registri di controllo.

Nota

Per gestire le impostazioni del server per il servizio Single Sign-on è necessario aprire Amministrazione centrale dal computer su cui è in esecuzione Microsoft Office SharePoint Server 2007.

Configurare SSO per Office SharePoint Server 2007

  1. Sulla barra di spostamento superiore di Amministrazione centrale fare clic su Operazioni.

  2. Nella sezione Configurazione protezione della pagina Operazioni fare clic su Gestisci impostazioni servizio Single Sign-on.

  3. Nella sezione Impostazioni server della pagina Gestisci impostazioni servizio Single Sign-on fare clic su Gestisci impostazioni del server.

  4. Nella casella Nome account della sezione Account amministratore servizio Single Sign-on della pagina Gestisci impostazioni servizio Single Sign-on digitare il nome dell'account amministratore del servizio Single Sign-on nel formato seguente: dominio/gruppo o dominio/nome utente.

    Nota

    L'account amministratore del servizio Single Sign-on determina chi può creare, eliminare o modificare le definizioni di applicazione, nonché eseguire il backup della chiave di crittografia.

    L'utente o il gruppo specificato come amministratore del servizio Single Sign-on deve soddisfare tutte le condizioni seguenti:

    • Un gruppo globale di Windows o l'account di un singolo utente. Questo account non può essere un account di gruppo locale di dominio o una lista di distribuzione.

    • Deve essere lo stesso account del servizio Single Sign-on se è specificato un utente. Se è specificato un gruppo, l'account del servizio Single Sign-on deve essere un membro del gruppo.

    • Deve essere lo stesso account di configurazione per il servizio Single Sign-on se è specificato un utente. Se è specificato un gruppo, l'account di configurazione per il servizio Single Sign-on deve essere un membro del gruppo.

    • Deve essere un membro del gruppo Amministratori farm in Amministrazione centrale.

    Se è specificato un gruppo, tutti gli utenti che vengono aggiunti al gruppo allo scopo di amministrare il servizio Single Sign-On devono essere membri del gruppo Administrators locale sul server della chiave di crittografia. Non fare di questo account un membro del gruppo Administrators locale sul server della chiave di crittografia.

  5. Nella casella Nome account della sezione Account amministratore definizione applicazione enterprise digitare il nome dell'account del gruppo o dell'utente che può impostare e gestire le definizioni delle applicazioni enterprise. Digitare il nome nel formato seguente: dominio/gruppo o dominio/nome utente.

    L'account dell'amministratore della definizione dell'applicazione enterprise può gestire le credenziali di una definizione di applicazione enterprise, incluse la modifica della password di una definizione di applicazione enterprise di gruppo e la modifica o l'eliminazione delle credenziali per una definizione di applicazione enterprise singola.

    L'utente o il gruppo specificato deve soddisfare le condizioni seguenti:

    • Un gruppo globale di Windows o l'account di un singolo utente. Questo account non può essere un account di gruppo locale di dominio o una lista di distribuzione.

    • Deve essere un membro del gruppo Lettori di SharePoint in Amministrazione centrale.

  6. Nella casella Nome server della sezione Impostazioni database digitare il nome NetBIOS del server database Single Sign-on, ad esempio nome_computer o nome_computer\istanza_SQL_Server. Non digitare il nome di dominio completo.

  7. Nella casella Nome database immettere il nome del server database Single Sign-on.

    Nota

    A meno che non si creino preliminarmente database, è consigliabile utilizzare il server database predefinito e il server database Single Sign-on.

  8. Nella casella Timeout ticket (in minuti) della sezione Impostazioni timeout digitare i minuti che devono trascorrere prima che un ticket Single Sign-on scada. Il timeout dovrebbe essere sufficientemente lungo per durare dall'ora di emissione del ticket all'ora in cui l'applicazione enterprise lo riscatta. Due minuti è il valore consigliato.

  9. Nella casella Elimina i record del registro di controllo dopo (giorni) digitare il numero di giorni per cui il registro di controllo mantiene i record prima di eliminarli.

  10. Fare clic su OK.

Gestire la chiave di crittografia

Il primo server su cui viene abilitato il servizio SSO diventa il server della chiave di crittografia, che genera e archivia la chiave di crittografia, utilizzata per crittografare e decrittografare le credenziali archiviate nel database SSO.

Poiché la chiave di crittografia protegge le credenziali di protezione, è consigliabile creare una nuova chiave di crittografia con regolarità (ad esempio, ogni 90 giorni). È inoltre consigliabile creare immediatamente una nuova chiave di crittografia se si sospetta che le credenziali dell'account siano state compromesse.

È necessario eseguire il backup della chiave di crittografia a ogni creazione di una nuova chiave, ma non ogni altra volta (ad eccezione del momento in cui il ruolo del server a chiave di crittografia viene spostato da un server a un altro). È necessario eseguire localmente il backup della chiave di crittografia dal server a chiave di crittografia. Non è possibile eseguire questa operazione in modalità remota.

È possibile, inoltre, utilizzare il backup e il ripristino della chiave di crittografia per spostare il ruolo del server della chiave di crittografia da un server a un altro. È necessario completare anche altre attività per eseguire questa operazione.

Nota

Per gestire la chiave di crittografia, è necessario aprire Amministrazione centrale nel computer su cui è in esecuzione Microsoft Office SharePoint Server 2007.

Gestire la chiave di crittografia

  1. Sulla barra di spostamento superiore di Amministrazione centrale fare clic su Operazioni.

  2. Nella sezione Configurazione protezione della pagina Operazioni fare clic su Gestisci impostazioni servizio Single Sign-on.

  3. Nella sezione Impostazioni server della pagina Gestisci impostazioni servizio Single Sign-On fare clic su Gestisci chiave di crittografia.

Dalla pagina Gestisci chiave di crittografia è possibile eseguire tre attività di gestione:

  • Creare una nuova chiave di crittografia

  • Eseguire il backup di una chiave di crittografia

  • Ripristinare una chiave di crittografia

Creare una nuova chiave di crittografia

  1. Nella sezione Chiave di crittografia della pagina Gestisci chiave di crittografia fare clic su Crea chiave di crittografia.

  2. Nella pagina Crea chiave di crittografia selezionare la casella di controllo Riesegui crittografia di tutte le credenziali con la nuova chiave di crittografia.

    Importante

    Se non si riesegue la crittografia delle credenziali esistenti con la nuova chiave di crittografia, gli utenti devono digitare nuovamente le proprie credenziali per le definizioni di applicazioni individuali e gli amministratori le credenziali di gruppo per le definizioni di applicazioni di gruppo.

  3. Fare clic su OK.

Eseguire il backup di una chiave di crittografia

  1. Nell'elenco Unità della sezione Backup chiave di crittografia nella pagina Gestisci chiave di crittografia fare clic sull'unità rimovibile in cui si desidera memorizzare il backup della chiave di crittografia.

  2. Fare clic su Backup.

Ripristinare una chiave di crittografia

È consigliabile eseguire sempre il backup della chiave di crittografia durante il backup del database Single Sign-on, in quanto quest'ultimo è inutile senza la chiave di crittografia. Inoltre, prima di sostituire un server della chiave di crittografia, accertarsi di eseguire il backup della chiave in modo da poterla ripristinare nel nuovo server.

  1. Nell'elenco Unità della sezione Ripristina chiave di crittografia nella pagina Gestisci chiave di crittografia fare clic sull'unità rimovibile da cui si desidera ripristinare il backup della chiave di crittografia.

  2. Fare clic su Ripristina.

Gestire definizioni di applicazioni enterprise

Nell'ambiente Single Sign-on i sistemi e le origini dati esterne back-end sono dette applicazioni enterprise. Per ogni applicazione enterprise a cui si connette Microsoft Office SharePoint Server 2007 è necessario configurare una definizione corrispondente.

  1. Sulla barra di spostamento superiore di Amministrazione centrale fare clic su Operazioni.

  2. Nella sezione Configurazione protezione della pagina Operazioni fare clic su Gestisci impostazioni servizio Single Sign-on.

  3. Nella pagina Gestisci impostazioni servizio Single Sign-on fare clic su Gestisci impostazioni per definizioni di applicazioni enterprise.

Gestire le informazioni sull'account per la definizione di un'applicazione enterprise

Se per la connessione all'applicazione enterprise si utilizza un gruppo, è necessario specificare le credenziali dell'account del gruppo. Se i singoli utenti si connettono direttamente all'applicazione enterprise, è possibile predefinire o reimpostare le password utente oppure eliminare gli utenti dalla definizione dell'applicazione enterprise.

  1. Sulla barra di spostamento superiore di Amministrazione centrale fare clic su Operazioni.

  2. Nella sezione Configurazione protezione della pagina Operazioni fare clic su Gestisci impostazioni servizio Single Sign-on.

  3. Nella sezione Impostazioni definizione applicazione enterprise della pagina Gestisci impostazioni servizio Single Sign-on fare clic su Gestisci informazioni account per le definizioni di applicazioni enterprise.

  4. Nella sezione Informazioni account della pagina Gestisci informazioni account per la definizione di un'applicazione enterprise fare clic sulla definizione dell'applicazione di cui si desidera gestire le informazioni sull'account nell'elenco Definizione applicazione enterprise.

  5. Nella casella Nome account di gruppo digitare il nome del gruppo che ha accesso all'applicazione enterprise.

  6. Nella sezione Definizione applicazione enterprise selezionare una delle opzioni seguenti:

    Opzione Scopo

    Aggiorna informazioni account

    Immettere le credenziali per la prima volta o aggiornare le credenziali utilizzate per connettersi all'applicazione enterprise.

    Elimina le credenziali archiviate per questo account dalla definizione di applicazione enterprise

    Eliminare le credenziali attualmente utilizzate per connettersi all'applicazione enterprise.

    Elimina le credenziali archiviate per questo account da tutte le definizioni di applicazione enterprise

    Eliminare le credenziali attualmente utilizzate per connettersi all'applicazione enterprise selezionata da tutte le definizioni di applicazione enterprise. Se si eliminano le credenziali archiviate, vengono eliminate solo le credenziali per i singoli account, non quelle per gli account di gruppo.

    Se si seleziona Aggiorna informazioni account, completare la procedura seguente:

    1. Fare clic su Imposta.

    2. Nella sezione Informazioni accesso della pagina di immissione delle informazioni sull'account digitare il nome utente e la password dell'account che verrà utilizzato per la connessione all'applicazione enterprise.

    3. Fare clic su OK.

  7. Fare clic su Chiudi.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili, vedere la Raccolta di documentazione tecnica su Office SharePoint Server (informazioni in lingua inglese).