Operazioni di sicurezza di Servizi di integrazione applicativa (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono illustrate le attività relative alla sicurezza per l'applicazione del servizio di integrazione applicativa dei dati.

Contenuto dell'articolo:

Gli amministratori delle farm possono delegare l'amministrazione di un'applicazione del servizio di integrazione applicativa dei dati specifica a un amministratore dell'applicazione. L'amministratore delegato dispone quindi dell'accesso al sito Web Amministrazione centrale e può eseguire attività amministrative relative a tale applicazione del servizio di integrazione applicativa dei dati.

SuggerimentoTip
All'amministratore delegato non vengono concesse autorizzazioni per l'archivio dei metadati.
Per assegnare amministratori a un'applicazione del servizio di integrazione applicativa dei dati
  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere amministratori di una farm.

  2. Nella sezione Gestione applicazioni del sito Web Amministrazione centrale fare clic su Gestisci applicazioni di servizio.

  3. Nell'elenco delle applicazioni di servizio fare clic sulla riga contenente l'applicazione del servizio di integrazione applicativa dei dati.

  4. Nella sezione Operazioni della scheda Applicazioni di servizio fare clic su Amministratori.

  5. Nella casella di testo digitare o selezionare un account utente o un account di gruppo e quindi fare clic su Aggiungi.

  6. Nella casella Autorizzazioni fare clic su Controllo completo e quindi su OK.

Ogni applicazione del servizio di integrazione applicativa dei dati dispone di un archivio dei metadati in cui sono inclusi tutti i modelli, i sistemi esterni, i tipi di contenuto esterno, i metodi e le istanze dei metodi definiti per gli scopi di tale archivio. È possibile impostare autorizzazioni per un archivio dei metadati per specificare a cui è consentito modificare gli elementi presenti nell'archivio e a chi è consentito impostare autorizzazioni per l'archivio.

È consigliabile concedere autorizzazioni specifiche a ogni utente o gruppo che ne abbia necessità, in modo tale che le credenziali garantiscano le credenziali minime per eseguire le attività necessarie. Per ulteriori informazioni sull'impostazione delle autorizzazioni, vedere Panoramica delle autorizzazioni di Servizi di integrazione applicativa in "Panoramica della sicurezza di Servizi di integrazione applicativa (SharePoint Server 2010)".

Per impostare autorizzazioni per un archivio dei metadati
  1. Verificare di disporre di una delle credenziali amministrative seguenti:

    • È necessario essere amministratori di una farm.

    • È necessario essere amministratori dell'applicazione del servizio di integrazione applicativa dei dati e disporre dell'autorizzazione Impostazione autorizzazioni per l'archivio dei metadati.

  2. Nella sezione Gestione applicazioni del sito Web Amministrazione centrale fare clic su Gestisci applicazioni di servizio.

  3. Nell'elenco delle applicazioni di servizio fare clic sulla riga contenente l'applicazione del servizio di integrazione applicativa dei dati.

  4. Nella sezione Operazioni della scheda Applicazioni di servizio fare clic su Gestisci.

  5. Nel gruppo Autorizzazioni della scheda Modifica fare clic su Imposta autorizzazioni archivio metadati.

  6. Nella casella di testo digitare gli account utente, i gruppi o le attestazioni per cui verranno concesse le autorizzazioni e quindi fare clic su Aggiungi.

    NotaNote
    Nel nome dell'account utente, del gruppo o dell'attestazione non può essere presente una barra verticale (|).
  7. Impostare le autorizzazioni per l'account, il gruppo o l'attestazione:

    NotaNote
    Almeno un utente, un gruppo o un'attestazione presente nell'elenco di controllo di accesso dell'oggetto metadati deve disporre dell'autorizzazione Impostazione autorizzazioni.
    • Fare clic su Modifica per consentire all'utente, al gruppo o all'attestazione di creare sistemi esterni oppure di creare, importare ed esportare modelli.

      Nota sulla sicurezzaSecurity Note
      È opportuno considerare l'autorizzazione Modifica come un'autorizzazione con privilegi elevati. Con tale autorizzazione, un utente malintenzionato può infatti rubare credenziali o danneggiare una server farm. Per garantire una soluzione sicura, è consigliabile utilizzare un ambiente di testing in cui sia possibile assegnare liberamente l'autorizzazione Modifica a sviluppatori e progettisti di soluzioni. Al momento di distribuire la soluzione testata in un ambiente di produzione, rimuovere le autorizzazioni Modifica.
    • Fare clic su Esecuzione per consentire all'utente, al gruppo o all'attestazione di eseguire operazioni (creazione, lettura, aggiornamento, eliminazione o query) su tipi di contenuto esterno.

      SuggerimentoTip
      L'autorizzazione Esecuzione non è applicabile all'archivio dei metadati. È possibile utilizzare questa impostazione per propagare l'autorizzazione di esecuzione agli oggetti figlio in tale archivio.
    • Fare clic su Selezione nei client per consentire all'utente, al gruppo o all'attestazione di creare elenchi esterni di qualsiasi tipo di contenuto esterno e di visualizzare i tipi di contenuto esterno in Selezione elementi esterni.

      SuggerimentoTip
      L'autorizzazione Selezione nei client non è applicabile all'archivio dei metadati. È possibile utilizzare questa impostazione per propagare l'autorizzazione agli oggetti figlio in tale archivio.
    • Fare clic su Impostazione autorizzazioni per consentire all'utente, al gruppo o all'attestazione di impostare autorizzazioni per l'archivio dei metadati.

      Nota sulla sicurezzaSecurity Note
      È opportuno considerare l'autorizzazione Impostazione autorizzazioni come un'autorizzazione con privilegi elevati. Con tale autorizzazione, un utente può concedere l'autorizzazione Modifica per l'archivio dei metadati.
  8. Per propagare le autorizzazioni a tutti gli elementi presenti nell'archivio dei metadati, fare clic su Propaga autorizzazioni a tutti i modelli BDC, a tutti i sistemi esterni e ai tipi di contenuto esterno nell'archivio dei metadati BDC. In questo modo le autorizzazioni esistenti verranno sovrascritte.

A ogni tipo di contenuto esterno è associata una modalità di autenticazione, che fornisce a Servizi di integrazione applicativa informazioni su come elaborare una richiesta di autenticazione in ingresso proveniente da un utente e mappa tale richiesta a un insieme di credenziali che è possibile passare al sistema esterno. Per impostazione predefinita, la modalità di autenticazione RevertToSelf, nota anche come modalità di autenticazione Identità BDC, non è attivata. In questo caso, non è possibile creare o importare modelli in cui venga utilizzata tale modalità.

La modalità di autenticazione RevertToSelf si avvale dell'account del pool di applicazioni utilizzato per eseguire Servizi di integrazione applicativa per autenticare l'utente connesso presso il sistema esterno. Quando ad esempio un utente apre un elenco esterno, per l'autenticazione viene utilizzato l'account del pool di applicazioni del server Web front-end in cui si trova l'elenco esterno. L'account del pool di applicazioni è un account con privilegi elevati e, per impostazione predefinita, dispone dell'autorizzazione di scrittura per il database di configurazione della farm. Con la modalità RevertToSelf, chiunque sia autorizzato a creare o modificare un modello in cui viene utilizzata tale modalità ha la possibilità di trasformarsi autonomamente in un amministratore della farm di SharePoint.

La modalità di autenticazione RevertToSelf non è consigliata per gli ambienti di produzione. È preferibile utilizzare il servizio di archiviazione sicura.

Se è assolutamente necessario utilizzare la modalità di autenticazione RevertToSelf in un ambiente di produzione, considerare quanto segue:

  • Qualunque utente autorizzato a creare o modificare i modelli, inclusi gli utenti di SharePoint Designer, deve essere considerato allo stesso livello dell'amministratore della farm dal punto di vista della sicurezza. È pertanto necessario poterlo considerare tanto attendibile quanto un amministratore della farm.

  • È necessario bloccare il più possibile l'utilizzo dell'account del pool di applicazioni. In questo modo, è più facile limitare i danni che un utente malintenzionato può causare alla farm di SharePoint e ai sistemi esterni.

Dopo l'attivazione della modalità di autenticazione RevertToSelf, è possibile creare e importare nuovi modelli in cui venga utilizzata tale modalità.

Nota sulla sicurezzaSecurity Note
La modalità di autenticazione RevertToSelf non è consigliata per gli ambienti di produzione. Prima di attivarla, accertarsi di avere letto e compreso tutte le implicazioni correlate.
NotaNote
La modalità RevertToSelf non è consentita negli ambienti ospitati.
Per attivare la modalità di autenticazione RevertToSelf
  1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

  2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

  3. Fare clic su Prodotti Microsoft SharePoint 2010.

  4. Fare clic su Shell di gestione SharePoint 2010.

  5. Al prompt dei comandi di Windows PowerShell digitare i comandi seguenti:

    1. Per creare una variabile contenente l'oggetto applicazione del servizio di integrazione applicativa dei dati, digitare il comando seguente:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
      

      Dove <ServiceName> è il nome dell'applicazione del servizio di integrazione applicativa dei dati. Può anche essere un'espressione regolare, ad esempio "BDC".

      NotaNote
      Se l'applicazione del servizio di integrazione applicativa dei dati è un'applicazione di servizio condivisa, tale comando dovrà essere eseguito nella farm in cui l'applicazione viene pubblicata.
    2. Per attivare la modalità di autenticazione RevertToSelf, digitare il comando seguente:

      $bdc.RevertToSelfAllowed = $true
      

Quando la modalità RevertToSelf è disattivata, non è possibile creare o importare nuovi modelli in cui venga utilizzata tale modalità.

NotaNote
Se vi sono modelli esistenti in cui viene utilizzata la modalità RevertToSelf, continueranno a funzionare. Per rimuovere tutte le istanze dell'autenticazione RevertToSelf dalla farm, sarà necessario eliminare i modelli esistenti.
Per disattivare la modalità di autenticazione RevertToSelf
  1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

  2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

  3. Fare clic su Prodotti Microsoft SharePoint 2010.

  4. Fare clic su Shell di gestione SharePoint 2010.

  5. Al prompt dei comandi di Windows PowerShell digitare i comandi seguenti:

    1. Per creare una variabile contenente l'applicazione del servizio di integrazione applicativa dei dati, digitare il comando seguente:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
      

      Dove <ServiceName> è il nome dell'applicazione del servizio di integrazione applicativa dei dati. Può anche essere un'espressione regolare, ad esempio "BDC".

      NotaNote
      Se l'applicazione del servizio di integrazione applicativa dei dati è un'applicazione di servizio condivisa, tale comando dovrà essere eseguito nella farm in cui l'applicazione viene pubblicata.
    2. Per disattivare la modalità di autenticazione RevertToSelf, digitare il comando seguente:

      $bdc.RevertToSelfAllowed = $false
      

Se si desidera sviluppare flussi di lavoro che interagiscano con elenchi esterni, è necessario eseguire ulteriori operazioni di configurazione. Nelle sezioni seguenti vengono illustrati i requisiti che possono influire sul comportamento dei flussi di lavoro.

NotaNote
I flussi di lavoro non possono interagire con elenchi esterni in un ambiente ospitato.

Poiché i dati esterni non sono archiviati in SharePoint Server, al flusso di lavoro non viene notificato quando un elemento dell'elenco esterno cambia. È invece possibile creare un flusso di lavoro sito o un flusso di lavoro elenco e quindi fare in modo che il flusso di lavoro legga o aggiorni un elenco esterno. È inoltre possibile utilizzare un elemento di un elenco esterno come destinazione per un processo attività in SharePoint Designer. Il collegamento all'attività tuttavia non visualizzerà un titolo per tale elemento.

I flussi di lavoro vengono eseguiti come account di servizio, generalmente l'account del pool di applicazioni, negli scenari seguenti:

  • Flussi di lavoro di Visual Studio.

  • Flussi di lavoro dichiarativi che interagiscono con elenchi esterni e vengono avviati automaticamente. Ciò accade anche quando si utilizza un passaggio di rappresentazione nel flusso di lavoro.

In questo caso, è necessario assegnare all'account di servizio l'autorizzazione Esecuzione per il tipo di contenuto esterno a cui è associato l'elenco esterno e verificare che l'account di servizio disponga delle autorizzazioni richieste per accedere al sistema esterno.

Per supportare le attività dei flussi di lavoro, il tipo di contenuto esterno a cui è associato l'elenco esterno deve utilizzare RevertToSelf o il servizio di archiviazione sicura per l'autenticazione.

NotaNote
Queste restrizioni relative alla modalità di autenticazione non si applicano se si utilizza un .NET Assembly Connector o un connettore personalizzato.
  • Eseguire l'autenticazione con RevertToSelf

    La modalità di autenticazione RevertToSelf (nota anche come modalità di autenticazione Identità BDC) esegue l'autenticazione nel sistema esterno utilizzando l'account del pool di applicazioni del server Web front-end in cui si trova l'elenco esterno. Questo significa che l'account del pool di applicazioni deve disporre dell'autorizzazione per accedere al sistema esterno. Per impostazione predefinita, l'autenticazione RevertToSelf non è attivata. È necessario attivare tale modalità prima di poter creare o importare modelli in cui venga utilizzata l'autenticazione RevertToSelf.

    Nota sulla sicurezzaSecurity Note
    L'autenticazione RevertToSelf non è consigliata per gli ambienti di produzione.

    Per ulteriori informazioni sull'autenticazione RevertToSelf, vedere Modalità di autenticazione RevertToSelf.

  • Eseguire l'autenticazione con il servizio di archiviazione sicura

    Il servizio di archiviazione sicura consente di proteggere i dati che forniscono le credenziali necessarie per la connessione ai sistemi esterni e per l'associazione di tali credenziali a un'identità o a un gruppo di identità specifico. È necessario verificare che il tipo di contenuto esterno utilizzi una delle modalità di autenticazione del servizio di archiviazione sicura.

    Nota sulla sicurezzaSecurity Note
    Se il flusso di lavoro viene eseguito come account di servizio, è consigliabile mappare tale account a un account con privilegi di livello meno elevato. È ad esempio possibile creare un ID applicazione di destinazione dell'archiviazione sicura per il mapping dell'account di servizio a un account che disponga delle autorizzazioni minime e possa accedere solo al sistema esterno necessario.

Per ulteriori informazioni sulle modalità di autenticazione, vedere Panoramica dell'autenticazione di Servizi di integrazione applicativa in "Panoramica della sicurezza di Servizi di integrazione applicativa (SharePoint Server 2010)".

L'applicazione del servizio di integrazione applicativa dei dati può essere condivisa tra server farm. La farm che contiene l'applicazione del servizio di integrazione applicativa dei dati e pubblica l'applicazione del servizio di integrazione applicativa dei dati è detta farm di pubblicazione. La farm di utilizzo è invece la farm che si connette a un percorso remoto per utilizzare l'applicazione del servizio di integrazione applicativa dei dati.

Quando un utente agisce su un elenco esterno in modalità offline, l'account del pool di applicazioni utilizzato dal server Web front-end in cui si trova l'elenco esterno genera un pacchetto di distribuzione che viene quindi installato nel computer client. Nella farm di pubblicazione l'account del pool di applicazioni del server front-end dispone delle autorizzazioni complete per l'archivio dei metadati e quindi può generare il pacchetto di distribuzione. Se si desidera che la farm di utilizzo possa generare pacchetti di distribuzione, è necessario assegnare l'autorizzazione di modifica e quella di impostazione delle autorizzazioni per l'archivio dei metadati all'account del pool di applicazioni utilizzato dal server front-end nella farm di utilizzo. Non assegnando tali autorizzazioni aggiuntive all'account del pool di applicazioni, non sarà possibile utilizzare in modalità offline gli elenchi esterni residenti nella farm di utilizzo.

Nota sulla sicurezzaSecurity Note
Assegnando all'account del pool di applicazioni della farm di utilizzo le autorizzazioni di modifica e di impostazione delle autorizzazioni per l'archivio dei metadati, tale account diventa un amministratore della farm di pubblicazione.
NotaNote
Le informazioni di questa sezione si applicano solo alle distribuzioni locali di SharePoint Server.

Per ulteriori informazioni sulle distribuzioni di elenchi esterni, vedere Pianificare l'integrazione con i client di Servizi di integrazione applicativa (SharePoint Server 2010).

Per assegnare autorizzazioni all'account del pool di applicazioni della farm di utilizzo
  1. Verificare di disporre di una delle credenziali amministrative seguenti:

    • È necessario essere amministratori della farm di pubblicazione.

    • È necessario essere amministratori dell'applicazione del servizio di integrazione applicativa dei dati e disporre dell'autorizzazione Impostazione autorizzazioni per l'archivio dei metadati.

  2. Nella sezione Gestione applicazioni del sito Web Amministrazione centrale della farm di pubblicazione fare clic su Gestisci applicazioni di servizio.

  3. Fare clic su un'istanza di un'applicazione del servizio di integrazione applicativa dei dati.

  4. Nel gruppo Autorizzazioni della scheda Modifica fare clic su Imposta autorizzazioni archivio metadati.

  5. Nella casella di testo digitare l'account del pool di applicazioni utilizzato dal server Web front-end nella farm di utilizzo e quindi fare clic su Aggiungi.

  6. Nella casella Autorizzazioni fare clic su Modifica e quindi su Impostazione autorizzazioni.

  7. Fare clic su OK.

Per ulteriori informazioni sulle applicazioni di servizio condivise, vedere Share service applications across farms (SharePoint Server 2010).

Mostra: