Provider di attestazioni personalizzate per Selezione utenti (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

Un'attestazione è costituita da informazioni relative all'identità di un utente, tra cui il nome, l'indirizzo di posta elettronica o l'appartenenza a gruppi. Un provider di attestazioni in Microsoft SharePoint Foundation 2010 emette attestazioni che SharePoint Foundation 2010 quindi inserisce come pacchetto nei token di sicurezza per gli utenti. Quando un utente esegue l'accesso a SharePoint Foundation 2010, il relativo token viene convalidato e quindi utilizzato per l'accesso a SharePoint Foundation 2010. I provider di attestazioni vengono visualizzati nell'interfaccia utente della finestra di dialogo Seleziona utenti e gruppi nel controllo Selezione utenti. Essi forniscono la funzionalità che consente di trovare e selezionare utenti, gruppi e attestazioni quando vengono assegnate autorizzazioni a elementi quali elenchi, raccolte e siti in SharePoint Foundation 2010. Per informazioni sul controllo Selezione utenti, vedere Panoramica di Selezione utenti (SharePoint Foundation 2010).

In questo articolo vengono illustrati l'utilizzo e i vantaggi dei provider di attestazioni, la relativa architettura, alcune considerazioni speciali per i provider di attestazioni personalizzate e le modalità di pianificazione. Non viene invece spiegato come creare o configurare provider di attestazioni personalizzate. Per informazioni su come creare un provider di attestazioni personalizzate, vedere Procedure relative alle attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207578&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Creazione di provider di attestazioni personalizzate in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=211324&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Prima di leggere questo articolo, è consigliabile comprendere i concetti spiegati in Pianificare i metodi di autenticazione (SharePoint Foundation 2010) e Ruolo delle attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=208326&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per ulteriori informazioni sull'autenticazione basata sulle attestazioni, vedere Identità basata sulle attestazioni di SharePoint (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=196647&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Guida all'identità basata sulle attestazioni e al controllo di accesso (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=187911&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Contenuto dell'articolo:

Un provider di attestazioni in SharePoint Foundation 2010 viene utilizzato principalmente per due motivi:

  • Per aggiungere attestazioni

  • Per garantire la risoluzione dei nomi

Svolgendo il ruolo di aggiunta, un provider di attestazioni incrementa un token utente con ulteriori attestazioni durante l'accesso. Per ulteriori informazioni sull'aggiunta di attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Svolgendo il ruolo di selezione, un provider di attestazioni elenca, risolve, ricerca e determina la visualizzazione più adatta di utenti, gruppi e attestazioni nel controllo Selezione utenti. La selezione delle attestazioni consente a un'applicazione di esporre le attestazioni in Selezione utenti, ad esempio durante la configurazione della sicurezza di un sito o di un servizio di SharePoint. Per ulteriori informazioni su Selezione utenti, vedere Panoramica di Selezione utenti (SharePoint Foundation 2010).

È possibile utilizzare i provider di attestazioni forniti con SharePoint Foundation 2010 oppure creare provider di attestazioni personalizzate per offrire ulteriori attestazioni nel token di sicurezza per un utente o per effettuare la connessione a origini aggiuntive di attestazioni. Se ad esempio si dispone di un'applicazione CRM contente ruoli non trovati nell'archivio degli utenti in Active Directory, sarà possibile creare un provider di attestazioni personalizzate per connettersi a tale database e aggiungere i dati dei ruoli CRM al token delle attestazioni originale di un utente. Per ulteriori informazioni sugli scenari di utilizzo dei provider di attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Quando un'applicazione Web è configurata per l'utilizzo dell'autenticazione basata sulle attestazioni, SharePoint Foundation 2010 si avvale automaticamente di due provider di attestazioni predefiniti:

A seconda del metodo di autenticazione selezionato per un'area di un'applicazione Web, SharePoint Foundation 2010 inoltre utilizza uno o più provider di attestazioni predefiniti elencati nella tabella riportata di seguito.

 

Metodo di autenticazione Provider di attestazioni

Autenticazione di Windows

SPActiveDirectoryClaimProvider (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=208325&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)

Autenticazione basata su moduli

SPFormsClaimProvider (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=210013&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)

Autenticazione basata su token SAML (Security Assertion Markup Language)

SPTrustedClaimProvider (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=210014&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)

Questi provider di attestazioni vengono visualizzati nella finestra di dialogo Seleziona utenti e gruppi per Selezione utenti. È possibile visualizzare un elenco dei provider di attestazioni per una farm mediante il cmdlet Get-SPClaimProvider di Windows PowerShell.

NotaNote
Quando un'applicazione Web è configurata per l'utilizzo dell'autenticazione basata su token SAML, la classe SPTrustedClaimProvider non fornisce la funzionalità di ricerca al controllo Selezione utenti. Qualsiasi testo immesso in tale controllo verrà visualizzato automaticamente come se fosse stato risolto, indipendentemente dal fatto che si tratti di un utente, di un gruppo o di un'attestazione valida. Se la soluzione di SharePoint Foundation 2010 utilizzerà l'autenticazione basata su token SAML, è consigliabile pianificare la creazione di un provider di attestazioni personalizzate per implementare la risoluzione dei nomi e la ricerca personalizzata.

I provider di attestazioni vengono registrati in una server farm come funzionalità distribuite nella farm e hanno come ambito la farm stessa. Ogni oggetto provider di attestazioni utilizza la classe SPClaimProviderDefinition per includere informazioni sul provider, ad esempio il nome visualizzato, la descrizione, l'assembly e il tipo. Due proprietà importanti della classe SPClaimProviderDefinition sono IsEnabled e IsUsedByDefault. Tali proprietà determinano se un provider di attestazioni registrato è abilitato per l'utilizzo nella farm e se viene utilizzato per impostazione predefinita in un'area specifica. Per impostazione predefinita, tutti i provider di attestazioni sono abilitati quando vengono distribuiti in una server farm. Per informazioni sulla classe SPClaimProviderDefinition, vedere Classe SPClaimProviderDefinition (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207595&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Per ulteriori informazioni sulle aree e sull'autenticazione, vedere Pianificare i metodi di autenticazione (SharePoint Foundation 2010).

Per informazioni su come scrivere un provider di attestazioni personalizzate, vedere Creazione di provider di attestazioni personalizzate in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=211324&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Procedura dettagliata per le attestazioni: scrittura di provider di attestazioni per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207589&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni su come ignorare il provider di attestazioni predefinito, vedere Come ignorare la risoluzione dei nomi e il provider di attestazioni predefiniti per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207591&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Per impostazione predefinita, le informazioni risolte in Selezione utenti quando viene eseguita una query dipendono dalle informazioni fornite dal provider di attestazioni. Quando si utilizza un provider di attestazioni predefinito, non è possibile cambiare le informazioni fornite e la relativa modalità di visualizzazione. Per fare ciò, è necessario chiedere a uno sviluppatore di creare un provider di attestazioni personalizzate che soddisfi le esigenze della soluzione per la ricerca e la selezione di utenti, gruppi e attestazioni quando un utente assegna autorizzazioni a elementi come un sito, un elenco o una raccolta.

Se ad esempio l'applicazione Web utilizza l'autenticazione SAML e si desidera inoltre risolvere gli utenti da Active Directory, sarà necessario creare un provider di attestazioni personalizzate. Per ulteriori esempi di scenari di utilizzo dei provider di attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Quando si crea un provider di attestazioni personalizzate, è possibile decidere quali informazioni vengono visualizzate e quali risultati vengono restituiti in risposta a una query dal controllo Selezione utenti. Per impostazione predefinita, è necessario configurare l'applicazione Web per l'utilizzo dell'autenticazione basata sulle attestazioni e quindi registrare il provider di attestazioni nel server.

NotaNote
Non è possibile definire l'ordine in cui i provider di attestazioni vengono visualizzati nella finestra di dialogo Seleziona utenti e gruppi in Selezione utenti.

Per informazioni su come scrivere un provider di attestazioni personalizzate, vedere Procedura: creare un provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207588&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Procedura dettagliata per le attestazioni: scrittura di provider di attestazioni per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207589&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni su come ignorare il provider di attestazioni predefinito, vedere Come ignorare la risoluzione dei nomi e il provider di attestazioni predefiniti per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207591&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Per impostazione predefinita, quando si registra nella farm un provider di attestazioni personalizzate, le proprietà IsEnabled e IsUsedByDefault vengono entrambe impostate su True. A meno che la proprietà IsUsedByDefault non sia impostata su False, il provider di attestazioni personalizzate viene visualizzato nella finestra di dialogo Seleziona utenti e gruppi in Selezione utenti per tutte le aree. A seconda del numero di aree necessarie per la soluzione di SharePoint Foundation 2010, dei metodi di autenticazione utilizzati da ogni area e degli utenti per ogni area, è possibile limitare le aree in cui il provider di attestazioni personalizzate viene visualizzato in Selezione utenti.

Poiché i provider di attestazioni hanno come ambito la farm e sono abilitati a livello di area, è necessario pianificare attentamente le aree in cui si desidera che il provider di attestazioni personalizzate venga visualizzato. Verificare in generale che la proprietà IsUsedByDefault sia impostata su False e quindi configurare la classe SPIisSettings per ogni area in cui si intende utilizzare il provider di attestazioni personalizzate. Per configurare un provider di attestazioni personalizzate per determinate aree, è possibile creare uno script di Windows PowerShell che imposti il provider per un'area mediante la proprietà SPIisSettings.ClaimsProviders oppure è possibile creare un'applicazione personalizzata che consenta di abilitare un provider di attestazioni personalizzate per determinate aree. Per informazioni sulla proprietà SPIisSettings.ClaimsProvider, vedere Proprietà SPIisSettings.ClaimsProvider (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207597&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni su come creare un'applicazione personalizzata per configurare provider di attestazioni per determinate aree, vedere il post di blog di TechNet Configurazione di un provider di attestazioni personalizzate da utilizzare solo in determinate aree in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207592&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Si consideri ad esempio uno scenario con due applicazioni Web. La prima (PartnerWeb) dispone di due aree (un'area Intranet in cui viene utilizzata l'autenticazione basata sulle attestazioni di Windows e un'area Extranet in cui viene utilizzata l'autenticazione basata su moduli) e viene utilizzata per la collaborazione tra dipendenti e partner. La seconda applicazione Web (PublishingWeb) dispone di una sola area (in cui viene utilizzata l'autenticazione basata su moduli) ed è un sito di pubblicazione Internet per dipendenti, partner aziendali e partner clienti. Si supponga ora che per l'area Extranet di PartnerWeb si desideri che i dipendenti possano collaborare con i partner aziendali ma non con i partner clienti. A tale scopo, si scrive un provider di attestazioni personalizzate che determina se l'utente corrente è un partner aziendale o un partner cliente in base alla relativa identità. In questo esempio gli utenti di fabrikam.com sono partner aziendali, mentre gli utenti di contoso.com sono partner clienti. Quando un utente che è un partner aziendale viene autenticato nell'applicazione Web PartnerWeb, al token delle attestazioni viene aggiunta un'attestazione per un ruolo BusinessPartner. Quando viene autenticato un partner cliente, al token viene aggiunta un'attestazione per un ruolo CustomerPartner. Per essere certi che i partner clienti non vengano mai aggiunti al sito di collaborazione Extranet, si aggiunge nell'applicazione Web PartnerWeb per l'area Extranet un criterio che nega esplicitamente l'accesso a qualsiasi utente dotato di un'attestazione per un ruolo CustomerPartner. Il provider di attestazioni personalizzate deve inoltre implementare il supporto della ricerca e dell'immissione per il criterio di applicazione Web per risolvere l'attestazione di ruolo CustomerPartner, in modo che possa essere aggiunta al criterio. Per abilitare infine tale funzionalità nell'area Extranet, si configura la classe SPIisSettings in modo che l'area utilizzi il provider di attestazioni personalizzate. Nel diagramma seguente vengono illustrati i metodi di autenticazione e le impostazioni dei provider di attestazioni per ogni applicazione Web e area.

Diagramma SPIisSettings
NotaNote
Nel sito Web Amministrazione centrale tutti i provider di attestazioni vengono visualizzati nella finestra di dialogo Seleziona utenti e gruppi in Selezione utenti, indipendentemente dal fatto che la proprietà IsUsedByDefault sia o meno impostata su True.

È possibile impostare la proprietà IsUsedByDefault configurandola in un ricevente di caratteristica creato per il provider di attestazioni personalizzate. Per informazioni su come utilizzare un ricevente di caratteristica per distribuire un provider di attestazioni personalizzate, vedere Esempio: ricevente di caratteristica per distribuire un provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207590&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

È inoltre possibile ignorare le impostazioni delle proprietà IsEnabled e IsUsedByDefault mediante il cmdlet Set-SPClaimProvider di Windows PowerShell.

ImportanteImportant
Impostando la proprietà IsEnabled su False, si disabilita il provider di attestazioni per l'intera server farm. Questa operazione può essere utile se si ha necessità di risolvere i problemi che potrebbero essere causati da un provider di attestazioni personalizzate. La proprietà IsEnabled tuttavia dovrebbe in generale essere impostata su True.

I valori delle attestazioni sono costituiti da una combinazione dell'attestazione stessa, del nome del provider di attestazioni e dell'ordine in cui il provider è stato installato nel server. Se pertanto si desidera utilizzare un'attestazione in più farm o ambienti, sarà necessario installare i provider di attestazioni nello stesso ordine in ogni farm in cui deve essere utilizzata l'attestazione. Eseguire i passaggi seguenti se, dopo aver installato in una farm un provider di attestazioni personalizzate, si intende utilizzare la stessa attestazione in ulteriori farm:

  1. Registrare i provider di attestazioni nelle altre farm nello stesso ordine in cui sono stati registrati nella prima farm.

  2. Eseguire un backup della prima farm. Per informazioni su come eseguire il backup di una farm, vedere Back up a farm (SharePoint Foundation 2010).

  3. Utilizzare il backup della prima farm per ripristinare le altre farm. Per informazioni su come ripristinare una farm, vedere Restore a farm (SharePoint Foundation 2010).

Quando si pianificano i provider di attestazioni personalizzate per l'utilizzo con Selezione utenti nella soluzione di SharePoint, porsi i quesiti seguenti:

  • Di quali aree dispone l'applicazione Web e quali metodi di autenticazione vengono utilizzati in ogni area?

  • Vi sono attestazioni personalizzate da aggiungere agli utenti per implementare scenari di sicurezza più avanzati?

  • Verrà utilizzata l'autenticazione SAML con un provider di identità attendibile?

  • Quale sarà l'origine dei valori per gli utenti e i ruoli che verranno visualizzati nei risultati delle query di Selezione utenti?

  • Quali dati delle attestazioni si desidera risolvere nella finestra di dialogo Seleziona utenti e gruppi?

Il team responsabile della pubblicazione del contenuto relativo a SharePoint Foundation 2010 desidera ringraziare Steve Peschka per avere contribuito alla stesura di questo articolo. Per accedere al suo blog, fare clic qui (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=210274&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Mostra: