Pianificare la sicurezza per Duet Enterprise

Si applica a: Duet Enterprise for Microsoft SharePoint and SAP

Ultima modifica dell'argomento: 2016-11-29

In questo articolo viene illustrato come pianificare una distribuzione sicura e un funzionamento sicuro di Duet Enterprise per Microsoft SharePoint e SAP. Viene pertanto presentata l'architettura di sicurezza di Duet Enterprise, vengono descritte le strategie di configurazione della sicurezza per scenari comuni di Duet Enterprise, viene spiegato come configurare le autorizzazioni in Duet Enterprise in base ai ruoli SAP e come implementare la sicurezza per diversi elementi dell'ambiente Duet Enterprise e vengono illustrati i ruoli e gli account di cui è necessario disporre per poter gestire Duet Enterprise in modo sicuro.

La sicurezza di Duet Enterprise in SharePoint Server è basata sulle funzionalità di sicurezza di SharePoint Server 2010. Oltre a questo articolo, è consigliabile leggere i contenuti che spiegano come pianificare e implementare la sicurezza di SharePoint Server in generale. Per ulteriori informazioni, vedere il Centro risorse per la sicurezza e l'autenticazione (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196792&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Gran parte delle comunicazioni tra SharePoint Server e il sistema SAP, insieme all'autenticazione e all'autorizzazione di Duet Enterprise, viene implementata tramite Servizi di integrazione applicativa Microsoft. È pertanto consigliabile leggere anche i contenuti relativi a Servizi di integrazione applicativa Microsoft. Per informazioni sulla sicurezza di Servizi di integrazione applicativa Microsoft e altri argomenti correlati, vedere il Centro risorse per i Servizi di integrazione applicativa (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=190217&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Contenuto del documento:

• Architettura di sicurezza di Duet Enterprise

• Scenari comuni di autenticazione di Duet Enterprise

• Utilizzo dei ruoli SAP per l'accesso agli oggetti di SharePoint

• Procedure di sicurezza consigliate di SharePoint Server in Duet Enterprise

Architettura di sicurezza di Duet Enterprise

In Duet Enterprise i processi aziendali e i dati business archiviati nel sistema SAP vengono visualizzati nei siti Web di SharePoint Server 2010 e nei client di Famiglie di prodotti Microsoft Office 2010 quali Microsoft Outlook e SharePoint Workspace. Gli account utente utilizzati per accedere a SharePoint Server 2010 e ai client di Famiglie di prodotti Microsoft Office 2010 non possono tuttavia essere utilizzati per accedere direttamente alle informazioni disponibili in SAP. L'architettura di sicurezza di Duet Enterprise consente di ovviare al problema configurando il connettore Windows Communication Foundation (WCF) di Servizi di integrazione applicativa Microsoft incluso in SharePoint Server 2010. Tale connettore WCF interagisce con il servizio token di sicurezza in SharePoint Server 2010 e con SAP NetWeaver nel sistema SAP. L'obiettivo di questa implementazione è quello di eseguire il mapping tra le identità utente in SharePoint Server 2010 e gli account utente nel sistema SAP, in modo che un utente che esegue l'accesso al sito Web di SharePoint Server 2010 possa accedere ai dati esterni archiviati nel sistema SAP senza dover eseguire di nuovo l'accesso nel sistema SAP.

La figura riportata di seguito è una rappresentazione generale del funzionamento dell'autenticazione in Duet Enterprise. Vengono illustrate le operazioni che vengono eseguite quando un utente di SharePoint accede alle informazioni SAP da un sito di Duet Enterprise in SharePoint Server.

1. L'identità dell'utente di SharePoint, ovvero un token associato all'utente al momento dell'accesso, viene inviata al connettore Windows Communication Foundation (WCF) di Servizi di integrazione applicativa Microsoft.

2. Il connettore invia l'identità dell'utente di SharePoint al servizio token di sicurezza di SharePoint.

3. Il servizio token di sicurezza di SharePoint esegue l'autenticazione dell'utente e modifica il token in modo da identificare l'utente di SharePoint per il sistema SAP. Restituisce quindi il token al connettore WCF.

4. Il token modificato viene quindi inviato a SAP NetWeaver in un pacchetto di richiesta SOAP.

5. Poiché durante la distribuzione viene creata una relazione di trust tra SAP NetWeaver e il servizio token di sicurezza, SAP NetWeaver può utilizzare il token per ricercare l'account utente SAP mappato all'utente identificato nel token.

6. L'account utente SAP mappato all'utente identificato nel token viene restituito a SAP NetWeaver.

7. SAP NetWeaver utilizza l'account utente SAP per richiedere l'accesso alle informazioni nel sistema SAP e, se l'account utente è autorizzato ad accedere a tali informazioni, le informazioni richieste vengono inviate a SAP NetWeaver.

8. SAP NetWeaver invia le informazioni richieste al connettore WCF di Servizi di integrazione applicativa Microsoft come risposta SOAP.

9. Il connettore WCF di Servizi di integrazione applicativa Microsoft passa le informazioni all'utente di SharePoint.

Il mapping tra gli account utente nel sistema SAP e gli account nel sistema SharePoint inizialmente viene eseguito da un amministratore SAP. Per ulteriori informazioni su questo processo, vedere la guida alla sicurezza SAP per Duet Enterprise.

Scenari comuni di autenticazione di Duet Enterprise

In questa sezione vengono illustrati i due scenari di Duet Enterprise più comuni, con le configurazioni di autenticazione consigliate per ognuno. I fattori chiave che differenziano tali scenari sono i seguenti:

• Il fatto di dover implementare una o più soluzioni basate su Duet Enterprise.

• Il fatto di dover utilizzare o meno Secure Sockets Layer per crittografare i canali di comunicazione.

Come spiegato nella sezione precedente, la sicurezza di Duet Enterprise include i ruoli e gli account nel sistema SAP e nel sistema SharePoint Server 2010. Tale architettura di autenticazione integrata viene implementata utilizzando l'autenticazione basata sulle attestazioni insieme all'autenticazione di Windows e questi metodi sono necessari per entrambi gli scenari illustrati in questa sezione.

Scenario: Intranet aziendale con provider di autenticazione di Microsoft Windows

Questo è lo scenario di autenticazione di Duet Enterprise più tipico. Un'organizzazione può gestire i dati relativi ai dipendenti, ad esempio le informazioni sui cartellini di presenza, gli stipendi e le indennità, in un sistema SAP remoto. Tutti gli utenti accedono a tali dati tramite il portale Intranet aziendale di Duet Enterprise. Tutti i dipendenti accedono al portale utilizzando lo stesso provider di Servizi di dominio Active Directory.

Questo scenario potrebbe essere configurato nel modo seguente:

Scenario: due soluzioni di Duet Enterprise nella rete Intranet

In un'azienda di grandi dimensioni due gruppi di lavoro possono condividere lo stesso sistema SAP, ad esempio per interagire con il relativo database delle informazioni sui prodotti. Ogni gruppo di lavoro interagisce con i dati tramite la propria soluzione di Duet Enterprise. Le informazioni disponibili nel sistema SAP non sono riservate nell'azienda. Per migliorare le prestazioni dei siti Duet Enterprise, in questo scenario pertanto non viene utilizzato Secure Sockets Layer.

Questo scenario potrebbe essere configurato nel modo seguente:

Utilizzo dei ruoli SAP per l'accesso agli oggetti di SharePoint

Nell'azienda le attività svolte da un utente in genere sono correlate al ruolo di tale utente. Il fattore che determina se un utente deve disporre o meno di un particolare livello di autorizzazioni per un oggetto spesso è quindi proprio il ruolo dell'utente. I ruoli sono pertanto utili per assegnare le autorizzazioni per oggetti quali elementi di elenchi, siti Web e documenti.

In SAP NetWeaver agli utenti vengono assegnati uno o più ruoli, ad esempio venditore, manager di progetto, dirigente e addetto alle risorse umane. I ruoli SAP possono avere una portata ampia, ad esempio tutti i responsabili vendite, oppure limitata, ad esempio i responsabili vendite dell'area orientale. In Duet Enterprise questi ruoli SAP possono essere utilizzati per accedere agli oggetti disponibili in SharePoint Server. Mediante i ruoli SAP è possibile assegnare autorizzazioni a qualsiasi oggetto a cui possano essere applicate autorizzazioni in SharePoint Server. Sono inclusi gli oggetti direttamente correlati a Duet Enterprise, ad esempio i report, gli elenchi esterni e le azioni sui tipi di contenuto esterno, nonché gli eventuali oggetti generici e a protezione diretta di SharePoint Server, come siti Web o raccolte documenti. Dopo avere concesso a un ruolo le autorizzazioni per un oggetto, tutti gli utenti a cui viene assegnato tale ruolo disporranno delle autorizzazioni per utilizzare l'oggetto in questione.

Agli utenti è possibile assegnare i rispettivi ruoli solo in SAP NetWeaver. Duet Enterprise utilizza il processo timer Sincronizzazione profili di Duet Enterprise per trasferire le assegnazioni dei ruoli degli utenti dal sistema SAP in SharePoint Server e si avvale del provider di attestazioni di Duet Enterprise per facilitare la gestione delle autorizzazioni basate sui ruoli per gli oggetti a protezione diretta in SharePoint Server.

Durante la sincronizzazione dei ruoli, l'insieme di utenti SAP viene importato nell'archivio profili utente di SharePoint tramite Servizi di integrazione applicativa Microsoft. Per ogni utente SAP, tutti i ruoli SAP assegnati a tale utente vengono elencati nell'archivio profili utente. La sincronizzazione dei ruoli effettua la connessione da SharePoint Server a un sistema esterno sul lato SAP denominato "SAPUsersService". Tale sistema esterno invia all'archivio profili utente di SharePoint i mapping degli utenti ai ruoli. La sincronizzazione dei ruoli viene in genere eseguita a intervalli prestabiliti come passaggio post-distribuzione mediante il processo timer Sincronizzazione profili di Duet Enterprise. È possibile specificare la frequenza con cui sincronizzare i ruoli e quanti utenti importare ogni volta.

Al termine della sincronizzazione dei ruoli gli utenti possono assegnare autorizzazioni dei ruoli SAP a un oggetto in SharePoint Server. I ruoli vengono assegnati agli oggetti mediante le stesse interfacce di selezione degli utenti utilizzate per selezionare gruppi e singoli utenti. Come illustrato nella figura, il provider di attestazioni di Duet Enterprise comunica con il sistema SAP (1 e 2) tramite il servizio di integrazione applicativa dei dati per raccogliere ed elencare tutti i ruoli SAP che l'utente può selezionare in Selezione utenti (3). L'utente può quindi assegnare tali ruoli a qualsiasi oggetto per cui sia possibile impostare autorizzazioni (4).

Dopo che a un ruolo SAP sono state concesse autorizzazioni per un oggetto, ad esempio un elemento di elenco o un documento, un utente può essere autorizzato a utilizzare l'oggetto in base al proprio ruolo. Come illustrato nella figura, quando l'utente esegue l'accesso a un sito di SharePoint (1), gli viene inizialmente inviato un token delle attestazioni SAML (2), la cui portata viene aumentata dal provider di attestazioni di Duet Enterprise, in comunicazione con l'archivio profili utente, aggiungendo al token SAML i ruoli SAP dell'utente (3 e 4). SharePoint Server può quindi concedere all'utente l'accesso all'oggetto se uno dei ruoli di tale utente dispone delle autorizzazioni per l'oggetto in questione (5 e 6).

Procedure di sicurezza consigliate di SharePoint Server in Duet Enterprise

Duet Enterprise viene distribuito nelle farm di SharePoint Server e nei sistemi SAP NetWeaver. In questa sezione vengono fornite linee guida generali su come configurare i servizi condivisi, le applicazioni Web, i rich client, i canali di comunicazione e altri elementi disponibili in una farm di SharePoint allo scopo di aumentare la sicurezza in Duet Enterprise.

Servizio token di sicurezza

Il servizio token di sicurezza autentica gli utenti di SharePoint e modifica i relativi token per identificarli nel sistema SAP (vedere Architettura di sicurezza di Duet Enterprise). Aggiunge inoltre i ruoli degli utenti ai token per supportare l'autorizzazione basata sui ruoli (vedere Utilizzo dei ruoli SAP per l'accesso agli oggetti di SharePoint).

Per motivi correlati alle prestazioni, i token del servizio token di sicurezza vengono memorizzati nella cache, la quale viene scaricata ogni 24 ore. Quando un token viene scaricato dalla cache, viene ricreato dal servizio token di sicurezza la volta successiva in cui il token è necessario. La cache del servizio token di sicurezza viene scaricata solo una volta al giorno per impedire che i token vengano creati troppo spesso dal servizio, evitando così ripercussioni negative sulle prestazioni del sistema.

La memorizzazione dei token nella cache incide sulla frequenza con cui le informazioni sui ruoli vengono aggiornate nei token, poiché tali informazioni vengono aggiunte esclusivamente quando il token viene creato oppure ricreato. Dopo la modifica dei ruoli SAP di un utente nel sistema SAP possono trascorrere anche 24 ore prima che le informazioni aggiornate vengano applicate al token che rappresenta l'utente in SharePoint Server. Durante tale ritardo l'utente potrebbe non essere in grado di accedere ad alcuni dati, documenti o siti per cui dovrebbe disporre delle autorizzazioni in base ai ruoli che gli sono stati assegnati.

Spetta agli amministratori di Duet Enterprise e agli architetti di soluzioni raggiungere il miglior compromesso possibile tra il mantenere un buon livello di prestazioni per Duet Enterprise e il garantire l'accesso necessario agli oggetti tenendo aggiornati i mapping tra utenti e ruoli. È consigliabile in generale non modificare il periodo predefinito di 24 ore per la memorizzazione nella cache. Informare gli utenti finali che, per propagare nel sistema SharePoint le modifiche relative ai ruoli, potrebbero essere necessari due giorni. Se invece il fatto di mantenere aggiornate le informazioni sui ruoli è fondamentale per la soluzione in uso, è possibile configurare come desiderato l'intervallo di memorizzazione dei ruoli nella cache tramite Windows PowerShell.

Servizio di archiviazione sicura

Il servizio di archiviazione sicura consente di archiviare in modo sicuro i mapping tra le credenziali di SharePoint e le credenziali richieste dai sistemi esterni. In Duet Enterprise il servizio di archiviazione sicura viene utilizzato solo durante la distribuzione, quando i modelli di Servizi di integrazione applicativa Microsoft che rappresentano gli oggetti SAP vengono importati in SharePoint Server tramite l'utilità DuetConfig.exe.

Prima di importare i modelli BDC, un amministratore del servizio di archiviazione sicura deve inizializzare il servizio generando una chiave di crittografia. Per informazioni su come generare tale chiave, vedere la sezione "Generare una nuova chiave di crittografia" in Configurare il servizio di archiviazione sicura (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205440&clcid=0x410).

Servizio di integrazione applicativa dei dati

In Duet Enterprise la caratteristica Servizi di integrazione applicativa Microsoft fornisce il collegamento per la comunicazione tra Microsoft SharePoint Server e l'ambiente SAP. In questo modo gli utenti possono connettersi e interagire con oggetti SAP quali contatti di vendita, attività e clienti. Gli oggetti vengono modellati nell'archivio dei metadati di Servizi di integrazione applicativa Microsoft e le autorizzazioni in Servizi di integrazione applicativa Microsoft associano gli account singoli, gli account di gruppo o le attestazioni a uno o più livelli di autorizzazione per un oggetto nell'archivio dei metadati. Per ulteriori informazioni su come impostare le autorizzazioni per i modelli, i sistemi esterni, i tipi di contenuto esterno, i metodi e le istanze dei metodi nell'archivio dei metadati, vedere Panoramica della sicurezza di Servizi di integrazione applicativa (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205679&clcid=0x410).

Come spiegato in Utilizzo dei ruoli SAP per l'accesso agli oggetti di SharePoint, in Duet Enterprise sono disponibili funzionalità aggiuntive per le autorizzazioni. È infatti possibile utilizzare i ruoli SAP per concedere le autorizzazioni di accesso agli oggetti disponibili in SharePoint Server, così come è possibile proteggere tramite i ruoli SAP qualsiasi oggetto a cui siano applicabili autorizzazioni in SharePoint Server.

È possibile utilizzare i ruoli SAP per facilitare l'implementazione della sicurezza per gli oggetti SAP modellati in Servizi di integrazione applicativa Microsoft. In questo modo, ci si assicura che gli utenti sprovvisti dei ruoli necessari non possano accedere a oggetti non pertinenti alle loro responsabilità. È ad esempio possibile configurare tutti i tipi di contenuto esterno che definiscono clienti in modo che solo il ruolo SAP_SALES_REP possa accedervi e agire su di essi.

Servizio profili utente

Gli utenti di Duet Enterprise e i relativi ruoli vengono sincronizzati con il sistema SAP e memorizzati nell'archivio profili del servizio profili utente di SharePoint Server. Il processo di sincronizzazione dei mapping degli utenti ai ruoli tra Duet Enterprise e il sistema SAP viene avviato nell'utilità DuetConfig. Prima di eseguire DuetConfig per avviare tale attività, l'amministratore della farm che esegue DuetConfig deve ricevere le autorizzazioni di controllo completo per il servizio profili utente.

In alcune distribuzioni di Duet Enterprise un servizio profili utente centralizzato in un'unica farm di SharePoint garantisce la sincronizzazione dei ruoli per diverse altre farm di SharePoint in cui vengono ospitate soluzioni di Duet Enterprise. In queste configurazioni "federate" vi sarà un servizio token di sicurezza in ogni farm che utilizza il servizio profili utente centralizzato. Per un corretto funzionamento della sincronizzazione dei ruoli da una farm che utilizza un tale servizio centralizzato, è necessario concedere all'account del pool di applicazioni del servizio token di sicurezza della farm le autorizzazioni di lettura per il servizio centralizzato.

Applicazioni client di Office

L'autenticazione di Duet Enterprise da applicazioni client di Office richiede interazioni con il servizio token di sicurezza in esecuzione in SharePoint Server. Le applicazioni client di Office devono pertanto comunicare con SharePoint Server anche durante la connessione al sistema SAP esterno da tali applicazioni. Poiché Duet Enterprise utilizza l'autenticazione di Windows, le comunicazioni tra le applicazioni client di Office e SharePoint Server possono essere implementate in modo sicuro tramite indirizzi http://. Non sono necessari indirizzi https://.

Per supportare le caratteristiche offline di SharePoint Server, le applicazioni client di Office devono comunicare con il sistema SAP. Tali connessioni vengono definite nei modelli che forniscono l'accesso ai dati esterni disponibili nel sistema SAP. Per garantire la sicurezza dell'accesso al sistema SAP, la comunicazione tra i client di Office e il sistema SAP deve essere implementata utilizzando Secure Sockets Layer (SSL) e indirizzi https://.

Distribuzione dei report

Nella caratteristica per i report di Duet Enterprise si combinano le funzionalità di generazione di report SAP e le funzionalità di gestione di documenti di SharePoint Server. Questa caratteristica consente agli utenti finali di richiedere report SAP all'interno di un sito di SharePoint Server. Tali report vengono generati nel sistema SAP e distribuiti e archiviati correttamente nelle raccolte documenti di SharePoint Server, in modo che possano essere visualizzati dagli utenti autorizzati. Una soluzione basata su Duet Enterprise può integrare i report nel numero necessario di siti. Tutti i report per i siti in una determinata applicazione Web vengono distribuiti alle raccolte corrette di tale applicazione dal servizio Web OBAFileReceiver, che viene connesso all'applicazione quando questa viene configurata per i report.

Come spiegato in Configurare i report (https://go.microsoft.com/fwlink/?linkid=205681&clcid=0x410), è consigliabile configurare le applicazioni Web che ospitano report estendendole a un'ulteriore area in cui il servizio possa essere eseguito in modo sicuro. Tale area deve soddisfare le condizioni seguenti:

• Deve utilizzare SSL (Secure Sockets Layer)

• Deve utilizzare l'autenticazione basata sulle attestazioni

• Deve utilizzare l'autenticazione di Windows e l'autenticazione di base

• Deve essere associata a un certificato ritenuto attendibile dal sistema SAP

Autorizzazioni basate sui ruoli

Come spiegato in Utilizzo dei ruoli SAP per l'accesso agli oggetti di SharePoint, Duet Enterprise utilizza il provider di attestazioni di Duet Enterprise per semplificare la gestione delle autorizzazioni basate sui ruoli per gli oggetti a protezione diretta in SharePoint Server. Quando in una soluzione viene utilizzato un provider di attestazioni, aumenta il tempo necessario per eseguire determinate operazioni. Per garantire la massima efficienza del provider di attestazioni di Duet Enterprise, è consigliabile eseguire le operazioni seguenti:

1. Configurare il provider di attestazioni di Duet Enterprise in modo che non venga utilizzato per impostazione predefinita. In questo modo, le applicazioni Web non correlate a Duet Enterprise non interrogheranno il provider di attestazioni di Duet Enterprise. Per configurare il provider di attestazioni in modo che non venga utilizzato per impostazione predefinita, utilizzare lo script di Windows PowerShell seguente:

   $myClaimPrMgr = Get-SPClaimProviderManager
   $TCP = $myClaimPrMgr.GetClaimProvider("DuetEnterpriseClaimsProvider")
   $TCP.IsUsedByDefault = False
   $myClaimPrMgr.Update()
   

2. Associare il provider di attestazioni di Duet Enterprise a ogni applicazione Web che faccia parte della soluzione di Duet Enterprise. A tale scopo, utilizzare lo script di Windows PowerShell seguente per tutte queste applicazioni:

   $web = Get-SPWebApplication "http://WebApplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Add("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   Nello script di esempio precedente sostituire "http://WebApplication" con l'URL dell'applicazione Web.

   Per rimuovere l'associazione tra un'applicazione Web e il provider di attestazioni di Duet Enterprise, utilizzare lo script seguente:

   $web = Get-SPWebApplication "http://Webapplication"
   $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default)
   $iis.ClaimsProviders.Remove("DuetEnterpriseClaimsProvider")
   $web.Update()
   

   Nello script di esempio precedente sostituire "http://Webapplication" con l'URL dell'applicazione Web.