Configurare il servizio token di sicurezza (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo sono disponibili istruzioni per configurare il servizio token di sicurezza di Microsoft SharePoint Foundation 2010. Un servizio token di sicurezza è un servizio Web specializzato progettato per rispondere alle richieste di token di sicurezza e per consentire la gestione delle identità. Le funzionalità di base sono sostanzialmente identiche per tutti i servizi token di sicurezza, tuttavia la natura delle attività che ognuno di tali servizi è in grado di eseguire dipende dal relativo ruolo in relazione ad altri servizi token di sicurezza Web.

Contenuto dell'articolo:

Le applicazioni Web che utilizzano un servizio token di sicurezza gestiscono le richieste di emissione, gestione e convalida dei token di sicurezza, i quali sono costituiti da una raccolta di attestazioni di identità (ad esempio un nome utente, un ruolo o un identificatore anonimo). I token possono essere emessi in diversi formati, ad esempio SAML (Security Assertion Markup Language). È possibile utilizzare un certificato X.509 per proteggere il contenuto dei token di sicurezza in transito e consentire la convalida delle autorità emittenti di token. Per ulteriori informazioni sul servizio token di sicurezza, vedere Pianificare i metodi di autenticazione (SharePoint Foundation 2010).

Un servizio token di sicurezza di provider di identità consiste in un servizio Web che gestisce le richieste di attestazioni di identità attendibili. I servizi token di sicurezza di provider di identità utilizzano un database denominato archivio identità per archiviare e gestire le identità e i relativi attributi. L'archivio identità per un provider di identità può essere una semplice tabella di database SQL. I servizi token di sicurezza di provider di identità possono inoltre utilizzare un archivio identità complesso, ad esempio Servizi di dominio Active Directory o Active Directory Lightweight Directory Services.

Il servizio token di sicurezza di provider di identità è disponibile per coloro i quali desiderano creare e gestire identità, nonché per applicazioni Relying Party che devono convalidare identità presentate dai client. Ogni servizio token di sicurezza di provider di identità dispone di una relazione di trust con applicazioni Web del servizio token di sicurezza Relying Party di un partner federativo per le quali emette i token. Tali applicazioni sono note come servizi token di sicurezza Relying Party. I client possono creare o eseguire il provisioning di schede informazioni gestite (mediante un selettore di schede quale CardSpace) che rappresentano identità registrate nel servizio token di sicurezza di provider di identità. I client interagiscono con tale servizio quando richiedono token di sicurezza che rappresentano un'identità contenuta nell'archivio identità del servizio token di sicurezza di provider di identità. In seguito all'autenticazione, il servizio token di sicurezza di provider di identità emette un token di sicurezza attendibile che il client può presentare a un'applicazione Relying Party. Quest'ultima può stabilire relazioni di trust con un servizio token di sicurezza di provider di identità. Ciò consente all'applicazione di convalidare i token di sicurezza emessi dal servizio. Dopo che la relazione di trust è stata stabilita, le applicazioni Relying Party possono esaminare i token di sicurezza presentati dai client e determinare la validità delle attestazioni di identità che essi contengono.

Un servizio token di sicurezza Relying Party è un servizio token di sicurezza che riceve i token da un servizio token di sicurezza di provider di identità di un partner federativo attendibile. A sua volta il servizio token di sicurezza Relying Party emette nuovi token di sicurezza utilizzabili da un'applicazione Relying Party locale. L'utilizzo di applicazioni Web del servizio token di sicurezza Relying Party in federazione con applicazioni Web del servizio token di sicurezza di provider di identità consente alle organizzazioni di offrire agli utenti di organizzazioni partner accesso SSO (Single-Sign On) ai siti Web. Ogni organizzazione gestisce i propri archivi identità in modo indipendente.

Per utilizzare Windows PowerShell per configurare un'applicazione Web basata sulle attestazioni di SharePoint, eseguire la procedura seguente.

Per configurare un'applicazione Web basata sulle attestazioni di SharePoint mediante Windows PowerShell
  1. Verificare che siano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

  2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

  3. Fare clic su Prodotti Microsoft SharePoint 2010.

  4. Fare clic su Shell di gestione SharePoint 2010.

  5. Al prompt dei comandi di Windows PowerShell (ovvero, PS C:\>), creare un oggetto x509Certificate2 come illustrato nell'esempio seguente:

    $cert = New-Object
    System.Security.Cryptography.X509Certificates.X509Certificate2("path to cert file")
    
  6. Creare un mapping dei tipi di attestazione da utilizzare nel provider di autenticazione attendibile come illustrato nell'esempio seguente:

    New-SPClaimTypeMapping "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
    -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    
  7. Creare un provider di accesso attendibile creando innanzitutto un valore per il parametro realm, come illustrato nell'esempio seguente:

    $realm = "urn:" + $env:ComputerName + ":domain-int"
    
  8. Creare un valore per il parametro signinurl che punti all'applicazione Web del servizio token di sicurezza come illustrato nell'esempio seguente:

    $signinurl = "https://test-2/FederationPassive/"
    
  9. Creare un provider di accesso attendibile utilizzando lo stesso valore di IdentifierClaim presente nel mapping delle attestazioni ($map1.InputClaimType), come illustrato nell'esempio seguente:

    $ap = New-SPTrustedIdentityTokenIssuer -Name
    "WIF" -Description "Windows® Identity Foundation" -Realm
    $realm -ImportTrustCertificate $cert
    -ClaimsMappings $map1[,$map2..] -SignInUrl
    $signinurl -IdentifierClaim $map1.InputClaimType
    
  10. Creare un'applicazione Web creando innanzitutto un valore per l'account del pool di applicazioni (per l'utente corrente) come illustrato nell'esempio seguente:

    $account = "DOMAIN\" + $env:UserName
    
    NotaNote
    L'account del pool di applicazioni deve essere un account gestito. Per creare un account gestito, utilizzare New-SPManagedAccount.
  11. Creare un valore per l'URL dell'applicazione Web ($webappurl = "https://" + $env:ComputerName), come illustrato nell'esempio seguente:

    $wa = New-SPWebApplication -name "Claims WIF"
    -SecureSocketsLayer -ApplicationPool "SharePoint SSL"
    -ApplicationPoolAccount $account -Url $webappurl -Port 443
    -AuthenticationProvider $ap
    
  12. Creare un sito creando innanzitutto un oggetto attestazione come illustrato nell'esempio seguente:

    $claim = New-SPClaimsPrincipal
    -TrustedIdentityTokenIssuerr $ap -Identity
    $env:UserName
    
    
  13. Creare un sito come illustrato nell'esempio seguente:

    $site = New-SPSite $webappurl -OwnerAlias
    $claim.ToEncodedString() -template "STS#0"
    

Dopo aver configurato un'applicazione Web basata sulle attestazioni di SharePoint, modificare i binding.

Per modificare i binding
  1. Avviare Gestione IIS digitando INETMGR al prompt dei comandi.

  2. Passare al sito dell'applicazioneWeb basata sulle attestazioni in IIS.

  3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'applicazionee scegliere Modifica binding.

  4. Selezionare https e fare clic su Modifica.

  5. In Certificato SSL selezionare un certificato in elenco.

Dopo aver configurato un'applicazione Web basata sulle attestazioni di SharePoint Foundation 2010, aver modificato i binding e aver configurato il file Web.Config, è possibile utilizzare la procedura descritta in questa sezione per configurare un'applicazione Web del servizio token di sicurezza.

Per configurare un'applicazione Web che utilizza un servizio token di sicurezza
  1. Aprire la console di gestione di Active Directory Federation Services 2.0.

  2. Nel riquadro sinistro espandere Policy e scegliere Relying Parties.

  3. Nel riquadro destro fare clic su Add Relying Party. Verrà aperta la configurazione guidata Active Directory Federation Services (AD FS) 2.0.

  4. Nella prima pagina della procedura guidata fare clic su Start.

  5. Selezionare Enter relying party configuration manually e fare clic su Next.

  6. Digitare il nome di una Relying Party e fare clic su Next.

  7. Accertarsi che l'opzione Active Directory Federation Services (AD FS) 2.0 Server Profile sia selezionata e fare clic su Next.

  8. Se si intende utilizzare un certificato di crittografia, fare clic su Next.

  9. Selezionare Enable support for Web-browser-based identity federation.

  10. Digitare il nome dell'URL dell'applicazione Web e aggiungere /_trust/ (ad esempio: https://nomeserver/_trust/). Fare clic su Next.

  11. Digitare un identificatore e fare clic su Add. Fare clic su Next.

  12. Nella pagina di riepilogo fare clic su Next e quindi su Close. Verrà aperta la console di gestione dell'editor regole. Utilizzare questa console per configurare il mapping delle attestazioni tra un'applicazione Web LDAP e SharePoint.

  13. Nel riquadro sinistro espandere New Rule e selezionare Predefined Rule.

  14. Selezionare Create Claims from LDAP Attribute Store.

  15. Nel riquadro destro selezionare Enterprise Active Directory User Account Store dall'elenco a discesa Attribute Store.

  16. In LDAP Attribute selezionare sAMAccountName.

  17. In Outgoing Claim Type selezionare E-Mail Address.

  18. Nel riquadro sinistro fare clic su Save.

Mostra: