Pianificare le autorizzazioni dei siti (SharePoint Foundation 2010)

 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

Le informazioni in questo articolo consentono di pianificare il controllo dell'accesso a livello di raccolta siti, sito, sito secondario e contenuto del sito (elenco o raccolta, cartella, elemento o documento). In questo articolo vengono inoltre descritti i concetti di ereditarietà delle autorizzazioni e autorizzazioni specifiche.

Nell'articolo non viene invece trattata la pianificazione della sicurezza dell'intero server o dell'intera server farm. Per ulteriori informazioni sulla pianificazione di altri aspetti della sicurezza, come i metodi e le modalità di autenticazione, vedere Pianificare i metodi di autenticazione (SharePoint Foundation 2010).

Contenuto dell'articolo:

Per controllare l'accesso al sito e al contenuto del sito, è possibile assegnare autorizzazioni a utenti o gruppi per un sito o contenuto del sito specifico, ai livelli seguenti in una raccolta siti:

  • Sito

  • Raccolta o elenco

  • Cartella

  • Documento o elemento

Prima di elaborare un piano per l'accesso ai siti e al relativo contenuto, è necessario tenere presente quanto segue:

  • Con quale livello di dettaglio si desidera controllare le autorizzazioni per il sito o il relativo contenuto. Potrebbe essere necessario, ad esempio, controllare l'accesso per l'intero sito oppure applicare impostazioni di sicurezza più restrittive per un elenco, una cartella o un elemento specifico.

  • In che modo si desidera categorizzare e gestire gli utenti tramite i gruppi di SharePoint. I gruppi non dispongono di autorizzazioni fino a quando non viene loro assegnato un livello di autorizzazione per un sito specifico o un contenuto specifico di un sito. Quando si assegnano livelli di autorizzazione per gruppi di SharePoint a livello di raccolta siti, per impostazione predefinita tali livelli vengono ereditati da tutti i siti e dal relativo contenuto.

Per ulteriori informazioni sull'utilizzo di gruppi per facilitare la gestione delle autorizzazioni, vedere Scegliere i gruppi di sicurezza (SharePoint Foundation 2010)).

Prima di elaborare il piano per le autorizzazioni, è consigliabile acquisire familiarità con i concetti seguenti:

  • Autorizzazioni   Le autorizzazioni concedono a un utente la possibilità di eseguire azioni specifiche. L'autorizzazione Visualizzazione elementi, ad esempio, consente all'utente di visualizzare gli elementi di un elenco o di una cartella, ma non di aggiungere o rimuovere elementi. Le autorizzazioni possono essere concesse a singoli utenti a livello del sito o del contenuto del sito.

    Per informazioni sulle autorizzazioni disponibili, vedere User permissions and permission levels (SharePoint Foundation 2010).

  • Autorizzazioni specifiche   Autorizzazioni univoche per oggetti a protezione diretta a un livello inferiore nella gerarchia del sito, ad esempio le autorizzazioni per un elenco o una raccolta, una cartella oppure un elemento o un documento. Le autorizzazioni specifiche consentono di definire e personalizzare in maggiore dettaglio le autorizzazioni per gli utenti in una raccolta siti.

  • Livello di autorizzazione   I livelli di autorizzazione sono insiemi di autorizzazioni che consentono agli utenti di eseguire un set di attività correlate. Il livello di autorizzazione Lettura, ad esempio, include tra le altre le autorizzazioni Visualizzazione elementi, Apertura elementi, Visualizzazione pagine e Visualizzazione versioni. Tutte queste autorizzazioni sono necessarie per visualizzare pagine, documenti ed elementi in un sito di SharePoint. Le autorizzazioni possono essere incluse in più di un livello di autorizzazione.

    I livelli di autorizzazione vengono definiti a livello della raccolta siti e possono essere personalizzati da qualsiasi utente o gruppo che disponga di un livello di autorizzazione comprendente l'autorizzazione Gestione autorizzazioni. Per ulteriori informazioni sulla personalizzazione dei livelli di autorizzazione, vedere Configure custom permissions (SharePoint Foundation 2010).

    I livelli di autorizzazione predefiniti sono Accesso limitato, Lettura, Collaborazione, Progettazione e Controllo completo. Per informazioni sui livelli di autorizzazione predefiniti e sulle autorizzazioni in essi incluse, vedere User permissions and permission levels (SharePoint Foundation 2010).

  • Gruppo di SharePoint   Gruppo di utenti definiti a livello della raccolta siti per semplificare la gestione delle autorizzazioni. A ogni gruppo di SharePoint è assegnato un livello di autorizzazione predefinito. I gruppi di SharePoint predefiniti, ad esempio, sono Proprietari, Visitatori e Membri e tali gruppi dispongono rispettivamente dei livelli di autorizzazione Controllo completo, Lettura e Collaborazione. Tutti gli utenti con l'autorizzazione Controllo completo possono creare gruppi personalizzati.

  • Utente    Una persona che dispone di un account utente da qualsiasi provider di autenticazione supportato dall'applicazione Web. Benché sia possibile concedere ai singoli utenti le autorizzazioni per un sito o contenuto specifico, è consigliabile assegnare le autorizzazioni ai gruppi invece che agli utenti. La gestione delle autorizzazioni per singoli account utente non è una soluzione efficiente ed è pertanto consigliabile assegnare le autorizzazioni a singoli utenti sono in casi eccezionali.

  • Oggetto a protezione diretta   Un oggetto a protezione diretta è un sito, un elenco, una raccolta, una cartella, un documento o un elemento per cui i livelli di autorizzazione possono essere assegnati a utenti o gruppi. Per impostazione predefinita, le autorizzazioni di tutti gli elenchi e le raccolte vengono ereditate dal sito. È possibile utilizzare autorizzazioni a livello di elenco, cartella o elemento per controllare ulteriormente gli utenti che possono visualizzare o interagire con il contenuto del sito. Prima di poter modificare o assegnare le autorizzazioni per un oggetto a protezione diretta, è necessario interrompere l'ereditarietà delle autorizzazioni. È possibile ripristinare l'ereditarietà delle autorizzazioni dall'elenco o dal sito padre in qualsiasi momento.

È possibile assegnare autorizzazioni a un utente o un gruppo per un oggetto a protezione diretta specifico. I singoli utenti o gruppi possono disporre di autorizzazioni diverse per oggetti a protezione diretta diversi. Nel diagramma seguente vengono illustrate le relazioni tra le autorizzazioni, gli utenti, i gruppi e gli oggetti a protezione diretta.

Livelli di autorizzazione specifici

Le autorizzazioni relative agli oggetti a protezione diretta all'interno di un sito vengono ereditate dall'oggetto padre per impostazione predefinita. Per avere maggiore controllo sulle azioni che gli utenti possono eseguire sul sito, è possibile interrompere l'ereditarietà e utilizzare autorizzazioni specifiche, ovvero autorizzazioni esclusive a livello di elenco, raccolta, cartella, elemento o documento. Per ulteriori informazioni sulle procedure ottimali per l'utilizzo di autorizzazioni specifiche, vedere Procedure consigliate per l'utilizzo di autorizzazioni specifiche (le informazioni potrebbero essere in lingua inglese).

Quando si interrompe l'ereditarietà delle autorizzazioni, i gruppi, gli utenti e i livelli di autorizzazione vengono copiati dall'oggetto padre all'oggetto figlio e quindi viene interrotta l'ereditarietà. Con l'interruzione dell'ereditarietà delle autorizzazioni, tutte le autorizzazioni diventano esplicite ed eventuali modifiche dell'oggetto padre non influiscono sull'oggetto figlio. Se si ripristina l'ereditarietà delle autorizzazioni, l'oggetto figlio erediterà di nuovo gli utenti, i gruppi e livelli di autorizzazione dall'oggetto padre e gli utenti, i gruppi o i livelli di autorizzazione specifici dell'oggetto figlio andranno persi.

Per facilitare le attività di gestione, è consigliabile utilizzare sempre l'ereditarietà delle autorizzazioni quando possibile.

SuggerimentoTip
Se si sceglie di interrompere l'ereditarietà e utilizzare autorizzazioni specifiche, è consigliabile utilizzare i gruppi per evitare di dover tenere traccia dei singoli utenti. Poiché le persone cambiano spesso team o incarichi, l'aggiornamento delle autorizzazioni degli oggetti protetti in modo esclusivo in base a tali cambiamenti richiederebbe troppo tempo e sarebbe soggetto a errori.

Quando si creano le autorizzazioni, è fondamentale trovare il giusto compromesso tra facilità di amministrazione e prestazioni e la necessità di controllare l'accesso a singoli elementi. Se si utilizzano diffusamente autorizzazioni specifiche, sarà necessario più tempo per gestire le autorizzazioni e gli utenti potrebbero riscontrare rallentamenti quando tentano di accedere al contenuto del sito.

Per pianificare le autorizzazioni per il sito, attenersi alle linee guida seguenti:

  1. Seguire il principio dei privilegi minimi, in base al quale gli utenti devono disporre esclusivamente dei livelli di autorizzazione o delle autorizzazioni singole necessarie per eseguire le attività loro assegnate.

  2. Utilizzare gruppi standard, ad esempio Membri, Visitatori e Proprietari, e controllare le autorizzazioni a livello di sito.

    • Inserire gran parte degli utenti nel gruppo Membri o Visitatori. Per impostazione predefinita, gli utenti inclusi nel gruppo Membri possono collaborare al sito aggiungendo o rimuovendo elementi o documenti, ma non possono modificare la struttura, le impostazioni o l'aspetto del sito. Il gruppo Visitatori dispone dell'accesso in sola lettura al sito, pertanto gli utenti inclusi in tale gruppo possono visualizzare le pagine e gli elementi o aprire elementi e documenti, ma non aggiungere o rimuovere pagine, elementi o documenti.

    • Limitare il numero di utenti appartenenti al gruppo Proprietari. Inserire in tale gruppo solo gli utenti che si ritiene possano modificare in modo affidabile la struttura, le impostazioni o l'aspetto del sito.

  3. Utilizzare i livelli di autorizzazione anziché assegnare singole autorizzazioni.

NotaNote
  1. Per avere un maggiore controllo sulle operazioni che gli utenti possono eseguire, è possibile creare ulteriori gruppi e livelli di autorizzazione di SharePoint. Se ad esempio non si desidera che nel livello di autorizzazione di lettura per un determinato sito secondario sia inclusa l'autorizzazione Creazione avvisi, interrompere l'ereditarietà e personalizzare tale livello di autorizzazione per il sito secondario in questione.

  2. Microsoft SharePoint Foundation 2010 e SharePoint Server 2010 utilizzano Verifica autorizzazioni per determinare le autorizzazioni di un utente o di un gruppo per tutte le risorse all'interno di una raccolta siti. La verifica delle autorizzazioni per un sito o contenuto del sito specifico consente ora di identificare sia le autorizzazioni assegnate direttamente all'utente sia le autorizzazioni assegnate agli eventuali gruppi di cui l'utente è membro.

La gestione delle autorizzazioni risulta molto più semplice quando viene definita una gerarchia chiara di autorizzazioni e autorizzazioni ereditate. Quando ad alcuni elenchi di un sito vengono applicate autorizzazioni specifiche e quando i siti secondari di un sito dispongono in parte di autorizzazioni esclusive e in parte di autorizzazioni ereditate, la gestione diventa più complicata.

Ad esempio, la gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente risulta molto più semplice.

 

Oggetto a protezione diretta Descrizione Autorizzazioni esclusive o ereditate

SitoA

Home page del gruppo

Esclusive

SitoA/SitoSecondarioA

Gruppo riservato

Esclusive

SitoA/SitoSecondarioA/ElencoA

Dati riservati

Esclusive

SitoA/SitoSecondarioA/RaccoltaA

Documenti riservati

Esclusive

SitoA/SitoSecondarioB

Informazioni di progetto condivise dal gruppo

Ereditate

SitoA/SitoSecondarioB/ElencoB

Dati non riservati

Ereditate

SitoA/SitoSecondarioB/RaccoltaB

Documenti non riservati

Ereditate

La gestione di un sito con ereditarietà delle autorizzazioni analoga a quella illustrata nella tabella seguente non risulta invece molto semplice.

 

Oggetto a protezione diretta Descrizione Autorizzazioni esclusive o ereditate

SitoA

Home page del gruppo

Esclusive

SitoA/SitoSecondarioA

Gruppo riservato

Esclusive

SitoA/SitoSecondarioA/ElencoA

Dati non riservati

Esclusive, ma uguali a SitoA

SitoA/SitoSecondarioA/RaccoltaA

Documenti non riservati, ma con uno o due documenti riservati

Ereditate con autorizzazioni esclusive a livello di documento

SitoA/SitoSecondarioB

Informazioni di progetto condivise dal gruppo

Ereditate

SitoA/SitoSecondarioB/ElencoB

Dati non riservati, ma con uno o due elementi riservati

Ereditate con autorizzazioni esclusive a livello di elemento

SitoA/SitoSecondarioB/RaccoltaB

Documenti non riservati ma con una cartella speciale contenente documenti riservati

Ereditate con autorizzazioni esclusive a livello di cartella e di documento

Mostra: