Delega dell'identità per Servizi di integrazione applicativa (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo scenario viene configurata l'applicazione del servizio di integrazione applicativa dei dati per l'utilizzo della delega vincolata Kerberos per l'autenticazione in SQL Server. Dopo aver eseguito la configurazione, viene creato un nuovo tipo di contenuto esterno e un nuovo elenco esterno per testare l'autenticazione e leggere le operazioni in un sito di SharePoint.

In questo scenario la farm di SharePoint Server e l'origine dati BCS si trovano nello stesso dominio. Viene pertanto configurata la delega vincolata Kerberos per consentire la delega dell'identità all'origine dati back-end. Se è richiesta l'autenticazione nelle origini dati di altri domini della stessa foresta, è necessario configurare la delega Kerberos di base (non vincolata). Poiché BCS non utilizza Attestazioni per il servizio token Windows, è possibile utilizzare la delega di base.

NotaNote
Se si esegue l'installazione in Windows Server 2008, potrebbe essere necessario installare l'hotfix seguente per l'autenticazione Kerberos:
Un'autenticazione Kerberos ha esito negativo con codice errore 0X80090302 oppure 0x8009030f in un computer in cui è in esecuzione Windows Server 2008 o Windows Vista quando viene utilizzato l'algoritmo AES (https://support.microsoft.com/kb/969083/it)

Per completare questo scenario è necessario eseguire le operazioni seguenti:

 

Area di configurazione Descrizione

Configurazione di Active Directory

Creare l'account di servizio dell'applicazione BCS

Convalidare i nomi delle entità servizio

Configurare la delega

Configurazione di SharePoint Server

Avviare l'istanza del servizio BCS

Creare l'applicazione del servizio BCS

Verifica

Creare un tipo di contenuto esterno BCS

Configurare la sicurezza di BCS

Creare un elenco esterno BCS

Aprire l'elenco esterno nel browser

Come procedura consigliata, Servizi di integrazione applicativa (BCS, Business Connectivity Services) deve essere eseguito con la propria identità di dominio. Per configurare l'applicazione BCS è necessario creare un account di Active Directory. In questo esempio sono stati creati gli account seguenti:

 

Servizio SharePoint Server Identità del pool di applicazioni IIS

Servizi di integrazione applicativa

vmlab\svcBDC

I tipi di contenuto esterno BCS vengono eseguiti nel contesto del pool di applicazioni IIS con il tipo di contenuto esterno quando vengono utilizzati i dati BCS nei siti di SharePoint. Per la connessione e l'autenticazione di BCS nelle origini dati esterne tramite l'autenticazione Kerberos, è necessario che l'account di servizio del pool di applicazioni IIS e l'account di servizio dell'origine dati esterna dispongano di nomi delle entità servizio (SPN, Service Principal Name) configurati. Fare riferimento agli scenari 1 e 2 in questo documento per configurare e convalidare gli SPN necessari nelle applicazioni Web e negli account di servizio di SQL Server.

Per consentire a BCS di delegare l'identità del client, è necessario configurare la delega Kerberos. Benché la delega vincolata non sia tecnicamente obbligatoria come Excel Services e sebbene sia possibile utilizzare la delega non vincolata per BCS, è consigliabile limitare l'ambito della delega consentito per il servizio. In questo esempio pertanto verrà configurata la delega vincolata.

Ogni account di servizio del pool di applicazioni IIS che ospita il sito che esegue il tipo di contenuto esterno deve essere configurato per consentire la delega ai servizi back-end.

In questo esempio sono necessari i percorsi di delega seguenti:

 

Tipo entità Nome entità Delega al servizio

Utente

svcPortal10App

MSSQLSVC/MySqlCluster.vmlab.local:1433

Utente

svcTeams10App

MSSQLSVC/MySqlCluster.vmlab.local:1433

Per configurare la delega vincolata
  1. Aprire le proprietà dell'oggetto Active Directory in Utenti e computer di Active Directory.

  2. Passare alla scheda Delega.

    SP2010 Kerberos Guide228.gif

  3. Selezionare Utente attendibile per la delega solo ai servizi specificati.

    NotaNote
    Se si desidera che BCS esegua l'autenticazione nelle origini dati nella stessa foresta, ma all'esterno del dominio in cui si trova SharePoint Server, selezionare Computer attendibile per la delega a qualsiasi servizio per configurare la delega di base anziché la delega vincolata. Il tipo di contenuto esterno BCS verrà eseguito nel processo di lavoro IIS dell'applicazione Web e non utilizzerà Attestazioni per il servizio token Windows. Ricordare che la delega Kerberos tra foreste non è consentita.
  4. Fare clic sul pulsante Aggiungi per selezionare l'entità servizio consentita per la delega.

  5. Selezionare Utenti e computer.

  6. Selezionare l'account di servizio con cui viene eseguito il servizio di destinazione della delega. In questo esempio corrisponde all'account di servizio per il servizio SQL Server.

    NotaNote
    All'account di servizio selezionato deve essere applicato un SPN. In questo esempio l'SPN dell'account è stato configurato in uno scenario precedente.
  7. Fare clic su OK.

  8. Selezionare gli SPN di destinazione della delega e quindi fare clic su OK.

  9. Selezionare i servizi per il cluster di SQL Server e fare clic su OK.

    A questo punto gli SPN selezionati dovrebbero essere visibili nell'elenco Servizi ai quali l'account può presentare credenziali delegate.

  10. Ripetere questi passaggi per ogni percorso di delega identificato più indietro in questa sezione.

Verificare l'esistenza dell'SPN per l'account di servizio di Analysis Services (vmlab\svcSQL) con il comando SetSPN seguente:

SetSPN -L vmlab\svcSQL

Dovrebbe visualizzarsi quanto segue:

MSSQLSVC/MySqlCluster

MSSQLSVC/MySqlCluster.vmlab.local:1433

Prima di creare un'applicazione del servizio BCS, avviare il servizio BCS nei server della farm designata.

  1. Aprire Amministrazione centrale.

  2. In Servizi selezionare Gestisci servizi nel server.

  3. Nella casella di selezione dei server nell'angolo in alto a destra selezionare uno o più server in cui è in esecuzione Excel Services, in questo caso VMSP10APP01.

  4. Avviare Servizio di integrazione applicativa dei dati.

Configurare quindi una nuova applicazione del servizio BDC e un proxy di applicazione del servizio BDC per consentire alle applicazioni Web di utilizzare i servizi BDC:

  1. Aprire Amministrazione centrale.

  2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.

  3. Selezionare Nuovo e quindi Servizio di integrazione applicativa dei dati.

  4. Configurare la nuova applicazione di servizio. Selezionare l'account di servizio corretto (creare un nuovo account gestito se l'account di servizio di BDC non è visibile nell'elenco).

Per accedere ai dati esterni tramite BDC, è necessario creare un tipo di contenuto esterno BDC. In questo esempio verrà utilizzato SharePoint Designer 2010 per creare il tipo di contenuto esterno nell'applicazione Web portal (http://portal):

  1. Aprire SharePoint Designer 2010.

  2. Aprire la raccolta siti di prova in http://portal.

  3. Nel riquadro di spostamento sulla sinistra fare clic su Tipi di contenuto esterno.

  4. Selezionare Tipo di contenuto esterno nella sezione Nuovo sulla barra multifunzione nell'angolo in alto a sinistra della pagina.

  5. Assegnare un nome visualizzato al tipo di contenuto esterno.

  6. Selezionare Fare clic qui per individuare origini dati esterne e definire operazioni.

  7. Fare clic su Aggiungi connessione.

  8. Selezionare SQL Server nell'elenco a discesa Tipo di origine dati e aggiungere le informazioni per la connessione al database di prova. Selezionare Connetti con identità utente per testare la delega.

  9. Espandere la nuova connessione. Fare clic con il pulsante destro del mouse sulla tabella di prova (Sales) e scegliere Crea tutte le operazioni.

  10. Dovrebbe visualizzarsi un errore in cui viene indicato che non è stato definito un identificatore univoco. Selezionare la colonna dell'identificatore e la casella di controllo Mapping a identificatore. Fare clic su Fine per accettare le opzioni predefinite e creare le operazioni di tipo di contenuto esterno.

  11. Fare clic su Salva (CTRL+S). Il tipo di contenuto esterno verrà pubblicato nell'archivio dei metadati dell'applicazione del servizio BDC.

Affinché i client possano utilizzare il tipo di contenuto esterno BCS nell'applicazione Web portal, è necessario configurare le autorizzazioni BCS. BCS supporta un modello di autorizzazioni dettagliate, ma per lo scopo di questa dimostrazione verrà configurata la sicurezza a livello dell'archivio dei metadati e le modifiche della sicurezza verranno propagate a tutti gli oggetti nell'archivio.

  1. Aprire Amministrazione centrale.

  2. Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.

  3. Fare clic sul collegamento relativo alla nuova applicazione di servizio, Servizio di integrazione applicativa dei dati in questo esempio.

  4. Selezionare Imposta autorizzazioni archivio metadati.

  5. In questo esempio sono stati configurati Enterprise Admins con tutte le autorizzazioni e Tutti gli utenti autenticati con tutte le autorizzazioni ad eccezione di Impostazione autorizzazioni.

  6. Verificare che la casella di controllo Propaga autorizzazioni sia selezionata e fare clic su OK per salvare le modifiche.

Per testare il tipo di contenuto esterno verrà configurato un elenco esterno per la visualizzazione dei dati esterni nell'applicazione portal:

  1. Aprire SharePoint Designer 2010.

  2. Aprire la raccolta siti di prova in http://portal.

  3. Selezionare Tipi di contenuto esterno sul lato sinistro.

  4. Fare clic sul tipo di contenuto creato precedentemente.

  5. Sulla barra multifunzione fare clic su Crea elenchi e moduli.

  6. Se viene chiesto se si desidera salvare il tipo di contenuto esterno, fare clic su .

  7. Nella finestra di dialogo Crea elenchi e moduli digitare un nome di elenco nella casella di testo Nome elenco e quindi fare clic su OK.

  1. Aprire SharePoint Designer 2010.

  2. Aprire la raccolta siti di prova in http://portal.

  3. Fare clic su "Elenchi e raccolte" nel riquadro di spostamento sulla sinistra.

  4. Selezionare l'elenco esterno nella parte inferiore dell'elenco Elenchi e raccolte.

  5. Fare clic sul pulsante Visualizza anteprima nel browser.

    Verrà aperto Internet Explorer con il sito e l'elenco esterno selezionati.

  6. Verificare che i dati esterni vengano visualizzati correttamente. Per convalidare ulteriormente la connessione, modificare i dati di origine in SQL Server Management Studio e aggiornare la pagina del browser. Le modifiche apportate ai dati dovrebbero riflettersi nel browser.

Mostra: