Pianificare i metodi di autenticazione (Windows SharePoint Services)
Contenuto dell'articolo:
Informazioni sull'autenticazione
Metodi di autenticazione supportati
Configurare l'autenticazione
Pianificare l'autenticazione per la ricerca per indicizzazione del contenuto
Pianificazione di aree per la progettazione dell'autenticazione
Scegliere i metodi di autenticazione consentiti nell'ambiente
Foglio di lavoro
In questo articolo vengono descritti i metodi di autenticazione supportati da Microsoft Windows SharePoint Services 3.0. Dopo avere letto l'articolo, l'utente sarà in grado di:
Capire il modo in cui l'autenticazione viene implementata in Microsoft Windows SharePoint Services 3.0.
Identificare i metodi di autenticazione appropriati per l'ambiente.
Informazioni sull'autenticazione
Per autenticazione si intende il processo di convalida dell'identità di un utente. Dopo che l'identità di un utente viene convalidata, il processo di autorizzazione determina i siti, il contenuto e le altre caratteristiche cui l'utente può accedere.
In Microsoft Windows SharePoint Services 3.0 il processo di autenticazione è gestito da Internet Information Services (IIS). In seguito all'autenticazione degli utenti effettuata da IIS, le caratteristiche di protezione di Microsoft Windows SharePoint Services 3.0 eseguono il processo di autorizzazione.
Per ulteriori informazioni sull'implementazione dell'autorizzazione in Microsoft Windows SharePoint Services 3.0, vedere Pianificare la protezione dei siti e del contenuto (Windows SharePoint Services).
La pianificazione dell'autenticazione è importante non solo per proteggere la soluzione utilizzata mediante la convalida delle identità degli utenti, ma anche per proteggere le credenziali utente sulla rete.
Metodi di autenticazione supportati
In Microsoft Windows SharePoint Services 3.0 è disponibile un sistema di autenticazione flessibile ed estendibile, che supporta l'autenticazione per i sistemi di gestione delle identità basati o meno sul sistema operativo Microsoft Windows. Grazie all'integrazione con l'autenticazione modulare ASP .NET, in Microsoft Windows SharePoint Services 3.0 è supportata un'ampia gamma di schemi di autenticazione basata su form. Il supporto per l'autenticazione in Microsoft Windows SharePoint Services 3.0 consente di utilizzare numerosi scenari di autenticazione, tra cui:
Utilizzo dei metodi di autenticazione di Windows standard.
Utilizzo di un semplice database di nomi utente e password.
Connessione diretta a un sistema di gestione delle identità di un'organizzazione.
Utilizzo di due o più metodi di autenticazione per l'accesso alle applicazioni partner. È possibile ad esempio connettersi al sistema di gestione delle identità della società partner per autenticarne i dipendenti e utilizzare i metodi di autenticazione di Windows per autenticare i dipendenti interni alla propria società.
Partecipazione a sistemi di gestione delle identità federati.
Nella tabella seguente vengono elencati i metodi di autenticazione supportati:
| Metodo di autenticazione | Descrizione | Esempi |
|---|---|---|
Windows |
I metodi di autenticazione standard di Windows IIS sono supportati. |
|
Moduli ASP.NET |
In Microsoft Windows SharePoint Services 3.0 il supporto per i sistemi di gestione delle identità non basati su Windows viene aggiunto mediante l'integrazione con il sistema di autenticazione Forms ASP.NET. L'autenticazione ASP.NET consente a Microsoft Windows SharePoint Services 3.0 di utilizzare i sistemi di gestione delle identità che implementano l'interfaccia MembershipProvider. Non è necessario riscrivere le pagine di amministrazione della protezione o gestire gli account del servizio directory Active Directory shadow. |
|
Single Sign-On (SSO) Web |
In Microsoft Windows SharePoint Services 3.0 è supportata l'autenticazione federata mediante i fornitori di SSO Web, che consente di utilizzare SSO in ambienti in cui sono presenti servizi in esecuzione su piattaforme diverse. Non è necessario gestire account di Active Directory separati. |
|
Autenticazione di account di sistema
L'autenticazione Forms ASP.NET e SSO Web consentono di autenticare solo gli account utente. Gli account di processo utilizzati per connettersi al software di database Microsoft SQL Server ed eseguire la Web farm devono essere account di Windows anche quando si utilizzano metodi di autenticazione alternativi per autenticare gli utenti.
In Microsoft Windows SharePoint Services 3.0 sono supportati l'autenticazione di SQL Server e gli account di processo del computer locale per le farm in cui non è in esecuzione Active Directory. È possibile ad esempio implementare gli account locali utilizzando nomi utente e password identici in tutti i server di una farm.
Configurare l'autenticazione
Sebbene la configurazione dell'autenticazione di Windows sia un processo semplice, per configurare l'autenticazione Forms ASP.NET o per utilizzare SSO Web è necessaria una maggiore pianificazione. In questa sezione vengono riepilogate le modalità di configurazione dell'autenticazione in Microsoft Windows SharePoint Services 3.0. Queste informazioni consentono di comprendere il modo in cui implementare una strategia di autenticazione per la soluzione utilizzata e di determinare gli utenti dell'organizzazione da coinvolgere nella pianificazione dell'autenticazione.
Configurare l'autenticazione per le applicazioni Web di SharePoint
In Microsoft Windows SharePoint Services 3.0 l'autenticazione è configurata a livello di applicazione Web di SharePoint. Nella figura seguente viene illustrata una server farm di Windows SharePoint Services configurata per ospitare siti per più società. L'autenticazione viene configurata separatamente per ogni società.
.gif "Host dell'autenticazione per due società diverse")
Quando si crea inizialmente o quando si estende un'applicazione Web, viene visualizzato un numero limitato di opzioni di autenticazione (autenticazione Kerberos, NTLM e anonima). Se si utilizza uno di questi metodi, è possibile configurare l'autenticazione quando si crea o si estende l'applicazione Web.
Nella figura seguente vengono illustrate le opzioni di autenticazione limitate disponibili quando si crea inizialmente o quando si estende un'applicazione Web:
.gif "Impostazioni di autenticazione predefinite")
Tuttavia, se si utilizzano impostazioni di autenticazione diverse, selezionare le opzioni di autenticazione predefinite e quindi configurare l'autenticazione dopo la creazione o l'estensione dell'applicazione. A tale scopo, nella sezione Protezione applicazione della pagina Gestione applicazioni di Amministrazione centrale selezionare Provider di autenticazione e quindi fare clic sull'area per aprire la pagina Modifica autenticazione. Le impostazioni configurate in questa pagina dipendono dal tipo di autenticazione selezionata, ovvero Windows, Forms o SSO Web.
Nella figura seguente viene illustrata la pagina Modifica autenticazione:
.gif "Pagina Modifica autenticazione")
In base alle opzioni di autenticazione selezionate in Amministrazione centrale, potrebbe essere necessario eseguire operazioni di configurazione aggiuntive. Nella tabella seguente vengono riepilogati i passaggi di configurazione in base al metodo di autenticazione e viene inoltre indicato se sono necessari ruoli specializzati oltre al ruolo di amministratore di SharePoint.
| Metodo di autenticazione | Configurazione aggiuntiva | Ruoli specializzati |
|---|---|---|
Anonima |
Nessuno |
Nessuno |
Di base |
Nessuno |
Nessuno |
Del digest |
Configurare l'autenticazione del digest direttamente in IIS. |
Nessuno |
Basata su certificati |
|
Amministratore di Windows Server 2003 per ottenere e configurare i certificati |
NTLM (integrata in Windows) |
Nessuno |
Nessuno |
Kerberos (autenticazione integrata di Windows) |
|
Amministratore IIS |
Forms |
|
|
SSO Web |
Oltre ai passaggi di configurazione necessari per l'autenticazione Forms ASP.NET, registrare un modulo HTTP per il provider di SSO Web. |
|
Connessione a sistemi di gestione delle identità esterni o non basati su Windows
Per utilizzare l'autenticazione Forms ASP.NET o SSO Web per autenticare gli utenti in un sistema di gestione delle identità esterno o non basato su Windows, è necessario registrare il provider di appartenenze nel file Web.config. Oltre alla registrazione di tale provider, è possibile eseguire inoltre la registrazione di un manager dei ruoli. In Microsoft Windows SharePoint Services 3.0 viene utilizzata l'interfaccia relativa al manager dei ruoli ASP.NET standard per raccogliere informazioni sul gruppo relative all'utente corrente. Ogni ruolo ASP.NET viene trattato come un gruppo di dominio dal processo di autorizzazione in Microsoft Windows SharePoint Services 3.0. La registrazione dei manager dei ruoli nel file Web.config viene eseguita in modo analogo a quella dei provider di appartenenze per l'autenticazione.
Se si desidera gestire i ruoli o l'utente di appartenenza dal sito Amministrazione centrale, è facoltativamente possibile registrare il provider di appartenenze e il manager dei ruoli nel file Web.config per il sito Amministrazione centrale, oltre a eseguirne la registrazione nel file Web.config per l'applicazione Web che ospita il contenuto.
Verificare che il nome del provider di appartenenze e quello del manager dei ruoli registrati nel file Web.config corrispondano a quelli immessi nella pagina Authentication.aspx di Amministrazione centrale. Se non si indica il manager dei ruoli nel file Web.config, potrebbe essere utilizzato il provider predefinito specificato nel file machine.config.
Nella stringa seguente di un file Web.config ad esempio viene specificato un provider di appartenenze SQL:
<membership defaultProvider="AspNetSqlMembershipProvider">
Per ulteriori informazioni sull'utilizzo dell'autenticazione Forms ASP.NET per connettersi a un provider di autenticazione di SQL Server, vedere Esempi di autenticazione (Windows SharePoint Services).
Infine, se si utilizza SSO Web per connettersi a un sistema di gestione delle identità esterno, è necessario registrare inoltre un modulo HTTP per SSO Web. Un modulo HTTP è un assembly chiamato a ogni richiesta eseguita dall'applicazione. I moduli HTTP vengono chiamati come parte della pipeline di richieste ASP.NET. Per ulteriori informazioni, vedere Introduzione ai moduli HTTP (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x410).
L'integrazione con l'autenticazione Forms ASP.NET comporta requisiti aggiuntivi per il provider di autenticazione. Oltre alla registrazione dei vari elementi nel file Web.config, il provider di appartenenze, il manager dei ruoli e il modulo HTTP devono essere programmati per interagire con Microsoft Windows SharePoint Services 3.0 e i metodi ASP.NET, come indicato nella tabella seguente:
| Categoria | Descrizione |
|---|---|
Provider di appartenenze |
Per utilizzare Microsoft Windows SharePoint Services 3.0, il provider di appartenenze deve implementare i metodi seguenti:
|
Manager dei ruoli |
Il manager dei ruoli deve implementare i metodi seguenti:
|
Modulo HTTP |
Il modulo HTTP deve gestire gli eventi seguenti:
|
Abilitazione dell'accesso anonimo
Oltre a configurare un metodo di autenticazione più protetto, per un'applicazione Web è possibile abilitare l'accesso anonimo. In una configurazione di questo tipo gli amministratori dei siti all'interno dell'applicazione Web possono scegliere di consentire l'accesso anonimo. Se gli utenti anonimi desiderano ottenere l'accesso a risorse e funzionalità protette, possono fare clic su un pulsante di accesso per inviare le proprie credenziali.
Utilizzo di metodi di autenticazione diversi per accedere a un sito
In Microsoft Windows SharePoint Services 3.0 è possibile configurare applicazioni Web cui è possibile accedere con cinque metodi di autenticazione o sistemi di gestione delle identità diversi, fino a un massimo di cinque. Nella figura seguente viene illustrata un'applicazione partner configurata in modo che possano accedervi utenti di due sistemi di gestione delle identità diversi. I dipendenti interni vengono autenticati mediante uno dei metodi di autenticazione di Windows standard, mentre quelli della società partner vengono autenticati nel sistema di gestione delle identità della propria società.
.gif "Opzioni per la gestione dell'autenticazione")
Per configurare un'applicazione Web cui è possibile accedere da due o più sistemi di autenticazione diversi, è necessario configurare aree aggiuntive per l'applicazione stessa. Le aree rappresentano percorsi logici diversi per ottenere l'accesso alla stessa applicazione fisica. Nel caso di un'applicazione partner tipica i dipendenti di una società partner possono accedere all'applicazione tramite Internet, mentre i dipendenti interni possono accedervi direttamente tramite la rete Intranet.
Per creare una nuova area, estendere l'applicazione Web. Nella pagina Estendi applicazione Web in un altro sito Web IIS, nella sezione URL con bilanciamento del carico specificare l'URL e il tipo di area. Il tipo di area è un nome di categoria applicato all'area che non influisce sulla configurazione dell'area.
Dopo avere esteso l'applicazione Web, è possibile configurare un metodo di autenticazione separato per la nuova area. Nella figura seguente viene illustrata la pagina Provider di autenticazione per un'applicazione Web configurata utilizzando due aree diverse. L'area Predefinita è quella utilizzata dai dipendenti interni, mentre l'area Internet è configurata per l'accesso dei partner e utilizza l'autenticazione Forms ASP.NET per autenticare i dipendenti della società partner nel relativo sistema di gestione delle identità.
.gif "Applicazione Web configurata con due aree")
Pianificare l'autenticazione per la ricerca per indicizzazione del contenuto
Per eseguire ricerche per indicizzazione del contenuto in un'applicazione Web in modo corretto, è necessario conoscere i requisiti relativi all'autenticazione del componente di indicizzazione del server di ricerca, denominato anche crawler. In questa sezione vengono descritte le modalità di configurazione dell'autenticazione per applicazioni Web per garantire che sia possibile eseguire in modo corretto la ricerca per indicizzazione del contenuto delle applicazioni stesse.
Quando un amministratore di farm crea un'applicazione Web utilizzando tutte le impostazioni predefinite, l'area Predefinita per tale applicazione viene configurata in modo da utilizzare l'autenticazione NTLM. L'amministratore di farm può modificare il metodo di autenticazione per l'area Predefinita in un qualsiasi metodo di autenticazione supportato da Microsoft Windows SharePoint Services 3.0.
L'amministratore di farm può inoltre estendere un'applicazione Web una o più volte per consentire l'utilizzo di aree aggiuntive. A una specifica applicazione Web è possibile associare fino a cinque aree diverse e ogni area può essere configurata in modo da utilizzare un qualsiasi metodo di autenticazione supportato da Microsoft Windows SharePoint Services 3.0.
Ordine in cui il crawler accede alle aree
Quando si pianificano le aree per un'applicazione Web, è necessario considerare l'ordine di polling in cui il crawler accede alle aree stesse durante il tentativo di autenticazione. L'ordine di polling rappresenta un aspetto importante perché nel caso in cui il crawler acceda a un'area configurata per l'utilizzo dell'autenticazione di base, del digest o dell'autenticazione Kerberos, l'autenticazione avrà esito negativo e il crawler non tenterà di accedere all'area successiva nell'ordine di polling. Se si verifica questa situazione, il crawler non eseguirà la ricerca per indicizzazione del contenuto dell'applicazione Web specifica.
Suggerimento
Verificare che nell'ordine di polling sia presente per prima un'area configurata per l'autenticazione NTLM rispetto a un'area configurata per l'autenticazione di base, del digest o Kerberos.
Il crawler esegue il polling delle aree nell'ordine seguente:
Area Predefinita
Area Intranet
Area Internet
Area Personalizzata
Area Extranet
Nella figura seguente vengono illustrate le decisioni prese dal sistema di autenticazione quando il crawler tenta di eseguire l'autenticazione.
.gif "Mostra l'ordine del polling delle aree da parte del crawler")
Nella tabella seguente vengono descritte le azioni associate a ogni callout presente nella figura.
| Callout | Azione |
|---|---|
1 |
Il crawler tenta di eseguire l'autenticazione utilizzando l'area Predefinita. Nota Durante il tentativo di eseguire l'autenticazione per un'applicazione Web specifica, il crawler tenta sempre di utilizzare per prima l'area Predefinita. |
2 |
Se l'area è configurata per l'autenticazione NTLM, il crawler verrà autenticato e passerà alla fase di autorizzazione. |
3 |
Se l'area è configurata per l'autenticazione di base, del digest o Kerberos, l'autenticazione avrà esito negativo e il crawler non tenterà di eseguire l'autenticazione utilizzando un'altra area. La ricerca per indicizzazione del contenuto pertanto non verrà eseguita. |
4 |
Se nell'ordine di polling non è più presente alcuna area, l'autenticazione avrà esito negativo e non verrà eseguita alcuna ricerca per indicizzazione del contenuto. |
5 |
Il crawler tenta di eseguire l'autenticazione utilizzando l'area successiva nell'ordine di polling. |
Se si configura l'area Predefinita per l'utilizzo di un metodo di autenticazione non supportato dal crawler, ad esempio l'autenticazione Forms o SSO Web, è necessario creare almeno un'area aggiuntiva e configurarla per l'utilizzo dell'autenticazione NTLM. Esaminare lo scenario seguente.
Scenario di autenticazione
L'amministratore di farm crea un'applicazione Web e la configura per l'utilizzo dell'autenticazione Forms. Poiché desidera che il contenuto dell'applicazione Web venga sottoposto a ricerca per indicizzazione e venga indicizzato e poiché è a conoscenza del fatto che per il crawler è necessaria un'area configurata con l'autenticazione NTLM, l'amministratore estende l'applicazione Web e configura l'area Intranet per l'utilizzo dell'autenticazione NTLM.
Quando il crawler tenta di eseguire l'autenticazione utilizzando l'area Predefinita, il sistema di autenticazione rileva che il crawler e l'area non sono configurati per l'utilizzo dello stesso metodo di autenticazione. Poiché l'area non è configurata per l'autenticazione di base, del digest o Kerberos e poiché è presente almeno un'altra area nell'ordine di polling, il crawler tenta di eseguire l'autenticazione utilizzando l'area Intranet. In questo caso l'autenticazione ha esito positivo poiché l'area Intranet è configurata per l'utilizzo dell'autenticazione NTLM, che corrisponde all'autenticazione utilizzata dal crawler.
Oltre a configurare correttamente il metodo di autenticazione, è necessario verificare che il crawler sia autorizzato a eseguire la ricerca per indicizzazione del contenuto dell'applicazione Web. A tale scopo, è necessario verificare che le credenziali utilizzate per l'account di accesso al contenuto dispongano come minimo del livello di autorizzazione Lettura completa per l'applicazione Web di cui si desidera eseguire la ricerca per indicizzazione. Gli amministratori di farm possono utilizzare la pagina Criteri per l'applicazione Web in Amministrazione centrale per creare un criterio che conceda all'account di accesso al contenuto il livello di autorizzazione Lettura completa per un'applicazione Web specifica.
Ricerca per indicizzazione nelle raccolte siti con nome basato sull'host
Il processo e le regole illustrati nella figura precedente non si applicano alle raccolte siti con nome basato sull'host. Queste raccolte siti infatti sono disponibili solo tramite l'area Predefinita. Se non si configura l'area Predefinita per l'utilizzo dell'autenticazione NTLM quando si distribuiscono le raccolte siti con nome basato sull'host, sarà necessario configurare un metodo alternativo per il componente di indicizzazione per l'accesso al contenuto.
Per ulteriori informazioni sulla ricerca per indicizzazione nelle raccolte con nome basato sull'host non configurate per l'autenticazione NTLM, vedere gli articoli seguenti:
Pianificazione di aree per la progettazione dell'autenticazione
Se si prevede di implementare più di un metodo di autenticazione tramite aree per un'applicazione Web, utilizzare le linee guida seguenti:
Utilizzare l'area Predefinita per implementare le impostazioni di autenticazione più protette. Se non è possibile associare una richiesta a un'area specifica, vengono applicati le impostazioni di autenticazione e altri criteri di protezione dell'area Predefinita. L'area Predefinita è quella creata quando si crea inizialmente un'applicazione Web. Poiché le impostazioni di autenticazione più protette sono in genere specifiche per l'accesso degli utenti finali, l'area Predefinita sarà probabilmente quella cui gli utenti finali accedono.
Utilizzare il minimo numero di aree necessarie per l'applicazione. Ogni area è associata a un nuovo sito IIS e a un dominio per l'accesso all'applicazione Web. Aggiungere nuovi punti di accesso solo quando sono necessari.
Se si desidera che il contenuto dell'applicazione Web venga inserito nei risultati di ricerca, verificare che almeno un'area sia configurata per l'utilizzo dell'autenticazione NTLM, necessaria al componente di indicizzazione per eseguire la ricerca per indicizzazione del contenuto. Non creare un'area dedicata per il componente di indicizzazione a meno che non sia necessario.
Scegliere i metodi di autenticazione consentiti nell'ambiente
Oltre a conoscere le modalità di configurazione dell'autenticazione, per pianificare l'autenticazione è necessario tenere in considerazione gli aspetti seguenti:
Ambiente o contesto di protezione dell'applicazione Web in Microsoft Windows SharePoint Services 3.0.
Valutazione dei suggerimenti e degli svantaggi per ogni metodo.
Modalità di memorizzazione nella cache e di utilizzo delle credenziali utente e dei corrispondenti dati relativi all'identità in Microsoft Windows SharePoint Services 3.0.
Modalità di gestione degli account utente.
Compatibilità dei metodi di autenticazione con i browser utilizzati dagli utenti.
| Azione nel foglio di lavoro |
|---|
Utilizzare il foglio di lavoro Authentication methods worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x410) (informazioni in lingua inglese) per identificare i metodi di autenticazione da supportare nell'ambiente e per registrare le decisioni e i suggerimenti relativi a ognuno di tali metodi. Tale foglio di lavoro verrà utilizzato durante la pianificazione dei metodi di autenticazione per singole applicazioni Web in Microsoft Windows SharePoint Services 3.0. |
Suggerimenti per ambienti di protezione specifici
La scelta dei metodi di autenticazione verrà stabilita principalmente in base al contesto di protezione dell'applicazione. Nella tabella seguente vengono indicati i suggerimenti in base agli ambienti di protezione più comuni:
| Ambiente | Considerazioni |
|---|---|
Intranet interna |
È necessario proteggere le credenziali utente almeno dalla visualizzazione senza crittografia. Eseguire l'integrazione con il sistema di gestione degli utenti implementato nell'ambiente. Se è implementato Active Directory, utilizzare i metodi di autenticazione di Windows incorporati in IIS. |
Collaborazione protetta esterna |
Configurare un'area separata per ogni società partner che si connette al sito. Utilizzare SSO Web per eseguire l'autenticazione nel sistema di gestione delle identità di ogni partner. In questo modo si elimina la necessità di creare account nel proprio sistema di gestione delle identità e si garantisce che le identità dei collaboratori continuino a essere gestite e convalidate dai dipendenti della società partner. Se un collaboratore non è più dipendente della società partner, non può continuare a ottenere l'accesso all'applicazione partner. |
Accesso anonimo esterno |
Consentire l'accesso anonimo (nessuna autenticazione) e le autorizzazioni di sola lettura per gli utenti che si connettono tramite Internet. Se si desidera offrire contenuto assegnato o basato sui ruoli, è possibile utilizzare l'autenticazione Forms ASP.NET per registrare gli utenti tramite un semplice database di nomi utente e ruoli. Utilizzare il processo di registrazione per identificare gli utenti in base al ruolo, ad esempio medico, paziente o farmacista. Quando gli utenti eseguono l'accesso, nel sito può essere presentato contenuto specifico per il ruolo utente. In questo scenario l'autenticazione non viene utilizzata per convalidare le credenziali o per limitare coloro che possono accedere al contenuto, ma il processo di autenticazione consente semplicemente di assegnare il contenuto. |
Suggerimenti e svantaggi per i metodi di autenticazione
La comprensione dei vantaggi, dei suggerimenti e degli svantaggi per ogni metodo di autenticazione specifico consente di determinare i metodi da utilizzare nell'ambiente. Nella tabella seguente vengono evidenziati i suggerimenti e gli svantaggi per ogni metodo di autenticazione. Per ulteriori informazioni su ogni metodo di autenticazione di Windows supportato da IIS, vedere Autenticazione IIS (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x410).
| Metodo di autenticazione | Vantaggi e suggerimenti | Svantaggi |
|---|---|---|
Windows |
|
|
Forms ASP.NET |
|
|
SSO Web |
|
|
Gestione delle informazioni relative all'identità utente
Le modalità di elaborazione e di utilizzo delle credenziali utente e di altre informazioni relative all'identità in Microsoft Windows SharePoint Services 3.0 possono influire sulle decisioni da prendere in relazione alle opzioni di autenticazione che rappresentano la soluzione migliore per i propri scopi. In questa sezione vengono descritte in dettaglio le modalità di elaborazione delle informazioni relative all'identità utente in base alle categorie seguenti:
ID binari. Modalità di creazione e di utilizzo degli identificatori binari (ID) in Microsoft Windows SharePoint Services 3.0.
Memorizzazione nella cache Processo in base al quale l'identità di un utente viene conservata per un periodo di tempo al fine di evitare di ripetere il processo di autenticazione per ogni richiesta.
Appartenenza a gruppi e ruoli. Oltre a determinare l'identità degli utenti, il processo di autenticazione determina i gruppi oppure i ruoli a cui appartiene l'utente. Queste informazioni vengono utilizzate durante il processo di autorizzazione per stabilire le azioni che l'utente è autorizzato a eseguire. Ai fini dell'autorizzazione, in Microsoft Windows SharePoint Services 3.0 i gruppi di Active Directory e i ruoli di ASP.NET vengono considerati come lo stesso tipo di entità.
Nella tabella seguente vengono descritte in dettaglio le modalità di gestione in Microsoft Windows SharePoint Services 3.0 degli ID utente binari, dei dati sugli utenti memorizzati nella cache e dei dati relativi all'appartenenza a gruppi e ruoli in base al metodo di autenticazione utilizzato:
| Elemento | Autenticazione di Windows | Forms ASP.NET e SSO Web |
|---|---|---|
ID binari |
In Microsoft Windows SharePoint Services 3.0 viene utilizzato un identificatore di protezione di Windows (SID). |
In Microsoft Windows SharePoint Services 3.0 viene creato un ID binario univoco combinando il nome del provider con il nome utente. |
Memorizzazione nella cache |
Le credenziali utente vengono memorizzate nella cache e gestite da IIS, Internet Explorer e Windows. |
In ASP.NET viene utilizzato un cookie crittografato per mantenere le credenziali utente per la durata di una sessione. |
Appartenenza a gruppi e ruoli |
L'elenco di gruppi di dominio di Active Directory a cui appartiene l'utente viene gestito da Windows nel token di accesso. Le informazioni archiviate in tale token vengono utilizzate da Microsoft Windows SharePoint Services 3.0. |
Quando viene registrato un manager dei ruoli, in Windows SharePoint Services viene utilizzata la relativa interfaccia standard per raccogliere informazioni sul gruppo relative all'utente corrente. Ogni ruolo ASP.NET viene considerato come un gruppo di dominio dal processo di autorizzazione. In ASP.NET i ruoli cui l'utente appartiene possono essere memorizzati nella cache in un cookie, in base alle impostazioni configurate nel file Web.config. |
Gestione degli account utente
Sulla scelta del metodo di autenticazione può inoltre influire la conoscenza delle modalità di gestione delle attività relative agli account utente in Microsoft Windows SharePoint Services 3.0. Gli utenti membri di un provider di autenticazione in un'area in genere possono gestire gli account in tutte le aree purché dispongano delle autorizzazioni necessarie. Le informazioni contenute nell'elenco seguente si applicano indipendentemente dal metodo di autenticazione implementato:
Aggiunta e invito di nuovi utenti. È possibile aggiungere o invitare un nuovo utente da qualsiasi area e con tutti i metodi di autenticazione configurati se il provider di appartenenze e il manager dei ruoli sono registrati nel file Web.config corrente. Quando si aggiunge un nuovo utente, in Microsoft Windows SharePoint Services 3.0 il nome utente viene risolto nelle origini riportate di seguito in base all'ordine seguente:
Tabella UserInfoList archiviata in Microsoft Windows SharePoint Services 3.0. Le informazioni sugli utenti saranno presenti in questo elenco se gli utenti sono già stati aggiunti a un altro sito.
Provider di autenticazione configurato per l'area corrente. Se ad esempio l'utente è membro del provider di autenticazione configurato per l'area Predefinita, in Microsoft Windows SharePoint Services 3.0 viene eseguito innanzitutto il controllo di questo provider di appartenenze associato.
Tutti gli altri provider di autenticazione.
Eliminazione di utenti. Gli account utente vengono contrassegnati come eliminati nel database di Microsoft Windows SharePoint Services 3.0, ma il record utente non viene rimosso.
Alcuni comportamenti relativi alla gestione degli account utente in Microsoft Windows SharePoint Services 3.0 variano in base al provider di autenticazione. Nella tabella seguente vengono evidenziate numerose attività relative agli account utente che variano in base al metodo di autenticazione implementato:
| Attività | Account autenticati di Windows | Account autenticati in base a Forms ASP.NET e a SSO Web |
|---|---|---|
Aggiunta e invito di nuovi utenti |
In Microsoft Windows SharePoint Services 3.0 le identità degli utenti vengono convalidate tramite Active Directory. |
In Microsoft Windows SharePoint Services 3.0 vengono chiamati il provider di appartenenze e il manager dei ruoli per verificare che l'utente e i ruoli esistano. |
Modifiche ai nomi di accesso |
I nomi utente aggiornati vengono riconosciuti automaticamente da Microsoft Windows SharePoint Services 3.0. Alla tabella UserInfoList non vengono aggiunte nuove voci. |
È necessario eliminare il nome di account precedente e quindi aggiungere quello nuovo. Le autorizzazioni non possono essere migrate. |
Accesso |
Se si utilizzata l'autenticazione integrata di Windows (Kerberos o NTLM) e il browser è configurato per eseguire l'accesso in modo automatico, gli utenti non devono accedere manualmente ai siti di SharePoint. Per impostazione predefinita Internet Explorer è configurato per accedere automaticamente ai siti Intranet. Se è necessario un account di accesso, ad esempio per siti per cui è necessario un set di credenziali diverso, agli utenti viene richiesto di inserire solo un nome utente e una password. Tuttavia, se si utilizza l'autenticazione di base o se l'utente utilizza un browser non configurato per eseguire automaticamente l'accesso, agli utenti potrebbe venire richiesto di specificare le credenziali di accesso quando accedono a un sito di SharePoint site. |
In Microsoft Windows SharePoint Services 3.0 è disponibile una pagina di accesso standard da utilizzare con l'autenticazione Forms in cui sono presenti i campi relativi al nome utente, alla password e all'accesso automatico (per salvare in modo permanente il cookie). È possibile creare una propria pagina di accesso per aggiungere ulteriori controlli relativi all'accesso, ad esempio per creare un nuovo account o reimpostare una password. |
Supporto dei browser
Non è possibile utilizzare qualsiasi browser con ognuno dei metodi di autenticazione supportati. Prima di selezionare i metodi di autenticazione da consentire nell'ambiente, è necessario innanzitutto stabilire i browser da supportare e successivamente i metodi di autenticazione supportati dai browser stessi. Internet Explorer può essere utilizzato con ogni metodo di autenticazione supportato. Di seguito vengono indicati ulteriori browser supportati da Microsoft Windows SharePoint Services 3.0:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Foglio di lavoro
Per registrare i metodi di autenticazione appropriati per l'ambiente, utilizzare il foglio di lavoro seguente:
- Authentication methods worksheet (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x410) (informazioni in lingua inglese)
Nella tabella seguente viene rappresentato un esempio di un foglio di lavoro completato:
| Metodo di autenticazione | Attivato | Non attivato | Note e suggerimenti |
|---|---|---|---|
Anonimo |
x |
||
Di base |
x |
||
Del digest |
x |
||
Basata su certificati |
x |
||
NTLM (integrata in Windows) |
x |
*"Utilizzare NTLM per tutti i siti del reparto, ad eccezione di quello relativo alle finanze".* |
|
Kerberos (autenticazione integrata di Windows) |
x |
*"Utilizzare l'autenticazione Kerberos per i siti con un contratto di servizio con un livello di protezione elevato".* |
|
Forms ASP.NET |
x |
*"Utilizzare l'autenticazione Forms per consentire alla società partner di accedere ai siti ospitati nella rete Extranet relativa. L'autenticazione è attualmente consentita nei sistemi di gestione delle identità seguenti, ovvero Active Directory e LDAP. Collaborare con Luisa Cazzaniga per sviluppare le impostazioni da utilizzare con l'autenticazione Forms".* |
|
SSO Web |
x |
*"Utilizzare questo metodo per applicazioni partner solo se una società partner partecipa ai sistemi di gestione delle identità federati. Per ulteriori informazioni, rivolgersi a Ezio Alboni".* |
Note aggiuntive: "collaborare con Laura Giussani per approvare le impostazioni di autenticazione per le applicazioni Web di SharePoint prima dell'implementazione".
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).