Provider di attestazioni personalizzati per la selezione utenti (SharePoint Server 2010)

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Un'attestazione è costituita da informazioni sull'identità di un utente, ad esempio il nome, l'indirizzo di posta elettronica o l'appartenenza a un gruppo. Un provider di attestazioni in Microsoft SharePoint Server 2010 rilascia attestazioni che successivamente SharePoint Server 2010 inserisce in token di sicurezza per gli utenti. Quando un utente accede a SharePoint Server 2010, il token dell'utente viene convalidato e quindi utilizzato per l'accesso a SharePoint Server 2010. I provider di attestazioni vengono visualizzati nell'interfaccia utente della finestra di dialogo Seleziona utenti e gruppi del controllo di selezione utenti. Tali provider garantiscono la funzionalità utilizzata per trovare e selezionare utenti, gruppi e attestazioni quando vengono assegnate autorizzazioni a elementi quali elenchi, raccolte e siti in SharePoint Server 2010. Per informazioni sul controllo di selezione utenti, vedere Panoramica del controllo Selezione utenti (SharePoint Server 2010).

In questo articolo vengono descritti la funzione e i vantaggi dei provider di attestazioni, l'architettura, considerazioni speciali per i provider di attestazioni personalizzati e la pianificazione appropriata. Non viene tuttavia spiegato come creare o configurare provider di attestazioni personalizzati. Per informazioni sulla creazione di un provider di attestazione personalizzato, vedere Attestazioni - Procedure (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207578&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Creazione di provider di attestazioni personalizzati in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Prima di leggere questo articolo, è consigliabile conoscere i concetti descritti nell'articolo Pianificare i metodi di autenticazione (SharePoint Server 2010) e Ruolo delle attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per ulteriori informazioni sull'autenticazione basata sulle attestazioni, vedere Identità basata sulle attestazioni di SharePoint (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Guida all'identità basata sulle attestazioni e al controllo dell'accesso (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=187911&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Contenuto dell'articolo:

• Utilizzi e vantaggi

• Architettura

• Informazioni sui provider di attestazioni personalizzati

• Distribuzione e configurazione di provider di attestazioni personalizzati

• Utilizzo di attestazioni personalizzate in più di una farm

• Considerazioni sui provider di attestazioni personalizzati

Utilizzi e vantaggi

Un provider di attestazioni in SharePoint Server 2010 viene utilizzato principalmente per due motivi:

• Per aumentare le attestazioni

• Per garantire la risoluzione dei nomi

Nel ruolo di aumento, un provider di attestazioni aumenta un token utente con attestazioni aggiuntive durante l'accesso. Per ulteriori informazioni sull'aumento delle attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Nel ruolo di selezione, un provider di attestazioni elenca, risolve, cerca e determina la visualizzazione intuitiva di utenti, gruppi e attestazioni nella selezione utenti. La scelta delle attestazioni consente a un'applicazione di esaminare le attestazioni nella selezione utenti, ad esempio quando si configura la sicurezza di un sito di SharePoint o di un servizio di SharePoint. Per ulteriori informazioni sulla selezione utenti, vederePanoramica del controllo Selezione utenti (SharePoint Server 2010).

È possibile utilizzare i provider di attestazioni inclusi in SharePoint Server 2010 oppure creare provider di attestazioni personalizzati per implementare attestazioni aggiuntive nel token di sicurezza per un utente oppure per connettersi ad altre origini di attestazioni. Ad esempio, se si dispone di un'applicazione CRM contenente ruoli non presenti nel repository utente in Active Directory, è possibile creare provider di attestazioni personalizzati per connettersi al database e aggiungere dati del ruolo CRM al token di attestazioni originale dell'utente. Per ulteriori informazioni sugli scenari di utilizzo dei provider di attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Architettura

Se un'applicazione Web è configurata per utilizzare l'autenticazione basata sulle attestazioni, SharePoint Server 2010 utilizza automaticamente due provider di attestazioni predefiniti:

• La classe SPSystemClaimProvider (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=210011&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) implementa informazioni di attestazione relative alla server farm in cui è installato SharePoint Server 2010.

• La classe SPAllUserClaimProvider (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=210012&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) implementa un'attestazione Tutti gli utenti visualizzata nella finestra di dialogo Seleziona utenti e gruppi per la selezione utenti.

In base al metodo di autenticazione selezionato per un'area di un'applicazione Web, SharePoint Server 2010 utilizza anche uno o più provider di attestazioni predefiniti tra quelli elencati nella tabella seguente.

Questi provider di attestazioni sono visualizzati nella finestra di dialogo Seleziona utenti e gruppi per la selezione utenti. Utilizzando il Get-SPClaimProvider di Windows PowerShell è possibile visualizzare un elenco dei provider di attestazioni per una farm.

I provider di attestazioni vengono registrati in una server farm come caratteristiche distribuite nella farm e hanno come ambito il livello della farm. Ogni oggetto provider di attestazioni utilizza la classe SPClaimProviderDefinition per includere informazioni sul provider di attestazioni, quali il nome visualizzato, la descrizione, l'assembly e il tipo. Due proprietà importanti della classe SPClaimProviderDefinition sono IsEnabled e IsUsedByDefault, le quali determinano se un provider di attestazioni registrato è abilitato per l'uso nella farm e se viene utilizzato per impostazione predefinita in un'area particolare. Per impostazione predefinita, tutti i provider di attestazioni sono abilitati quando vengono distribuiti in una server farm. Per informazioni sulla classe SPClaimProviderDefinition, vedere Classe SPClaimProviderDefinition (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207595&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Per ulteriori informazioni sulle aree e l'autenticazione, vedere Pianificare i metodi di autenticazione (SharePoint Server 2010).

Per informazioni sulla creazione di un provider di attestazioni personalizzato, vedere Creazione di provider di attestazioni personalizzati in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=211324&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Descrizione dettagliata delle attestazioni: creazione di provider di attestazioni per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni su come ignorare il provider di attestazioni predefinito, vedere Come ignorare la risoluzione dei nomi e il provider di attestazioni predefiniti per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Informazioni sui provider di attestazioni personalizzati

Per impostazione predefinita, le informazioni risolte nella selezione utenti in seguito a una query dipendono dalle informazioni ottenute dal provider di attestazioni. Non è possibile modificare le informazioni offerte e il modo in cui vengono visualizzate quando si utilizza un provider di attestazioni predefinito. Per questo scopo, è necessario che uno sviluppatore crei un provider di attestazioni personalizzato che soddisfi le esigenze della soluzione in uso per trovare e selezionare utenti, gruppi e attestazioni quando un utente assegna autorizzazioni a elementi quali un sito, un elenco o una raccolta.

Ad esempio, se l'applicazione Web utilizza l'autenticazione SAML e si desidera anche risolvere gli utenti da Active Directory, sarà necessario creare un provider di attestazioni personalizzato. Per altri esempi sugli scenari di utilizzo dei provider di attestazioni, vedere Provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207579&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Quando si crea un provider di attestazioni personalizzato, è possibile determinare quali informazioni visualizzare e quali risultati restituire in risposta a una query dal controllo di selezione utenti. Per impostazione predefinita, si configura l'applicazione Web per utilizzare l'autenticazione basata su attestazioni e quindi si registra il provider di attestazioni sul server.

Per informazioni sulla creazione di un provider di attestazioni personalizzato, vedere Procedura: creare un provider di attestazioni personalizzato (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207588&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) e Descrizione dettagliata delle attestazioni: creazione di provider di attestazioni per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207589&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni su come ignorare il provider di attestazioni predefinito, vedere Come ignorare la risoluzione dei nomi e il provider di attestazioni predefiniti per SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207591&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Distribuzione e configurazione di provider di attestazioni personalizzati

Per impostazione predefinita, quando si registra un provider di attestazioni personalizzato nella farm, le proprietà IsEnabled e IsUsedByDefault vengono entrambe impostate su True. A meno che la proprietà IsUsedByDefault non sia impostata su False, il provider di attestazioni personalizzato viene visualizzato nella finestra di dialogo Seleziona utenti e gruppi nella selezione utenti per tutte le aree. In base al numero di aree necessarie per la soluzione SharePoint Server 2010 in uso, i metodi di autenticazione utilizzati da ogni area e gli utenti per ogni area, può essere utile limitare le aree in cui il provider di attestazioni personalizzato viene visualizzato nella selezione utenti.

Poiché i provider di attestazioni hanno come ambito il livello della farm e sono abilitati a livello di area, è necessario pianificare attentamente le aree in cui si desidera visualizzare il provider di attestazioni. In generale, è consigliabile verificare che la proprietà IsUsedByDefault sia impostata su False e quindi configurare la classe SPIisSettings per ogni area in cui si desidera utilizzare il provider di attestazioni personalizzato. Per configurare un provider di attestazioni personalizzato per le aree selezionate, è possibile creare uno script di Windows PowerShell che imposti il provider di attestazioni per un'area utilizzando la proprietà SPIisSettings.ClaimsProviders oppure creare un'applicazione personalizzata che consente di abilitare un provider di attestazioni personalizzato per le aree selezionate. Per informazioni sulla proprietà SPIisSettings.ClaimsProvider, vedere Proprietà SPIisSettings.ClaimsProvider (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207597&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Per informazioni sulla creazione di un'applicazione personalizzata per configurare provider di attestazioni per le aree selezionate, vedere il post di blog TechNet Configurazione di un provider di attestazioni personalizzato da utilizzare solo nelle aree selezionate in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207592&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Si consideri ad esempio uno scenario in cui sono presenti due applicazioni Web. La prima applicazione Web, PartnerWeb, include due aree (una Intranet che utilizza l'autenticazione basata su attestazioni Windows e una Extranet che utilizza l'autenticazione basata su moduli) ed è utilizzata per la collaborazione tra dipendenti e partner. La seconda applicazione Web, PublishingWeb, include una sola area che utilizza l'autenticazione basata su moduli ed è un sito di pubblicazione Internet per dipendenti, partner aziendali e partner clienti. Si supponga quindi che per l'area Extranet di PartnerWeb si desideri che i dipendenti siano in grado di collaborare con i partner aziendali ma non con i partner cliente. Per questo scopo è necessario creare un provider di attestazioni personalizzato che determini se l'utente corrente è un partner aziendale o un partner clienti, in base all'identità dell'utente. In questo esempio, gli utenti di fabrikam.com sono partner aziendali mentre gli utenti di contoso.com sono partner clienti. Quando un utente che corrisponde a un partner aziendale viene autenticato nell'applicazione Web PartnerWeb, viene aggiunta un'attestazione per un ruolo denominato BusinessPartner al token di attestazione. Quando un partner cliente viene autenticato, viene aggiunta un'attestazione per un ruolo denominato CustomerPartner al token di attestazione. Per accertarsi che i partner clienti non vengano mai aggiunti al sito di collaborazione Extranet, aggiungere un criterio di applicazione Web all'applicazione Web PartnerWeb per l'area Extranet che impedisca in modo esplicito l'accesso a qualsiasi utente con un'attestazione per un ruolo denominato CustomerPartner. Il provider di attestazioni personalizzato deve inoltre implementare il supporto per la ricerca e l'immissione per consentire al criterio dell'applicazione Web di risolvere l'attestazione del ruolo CustomerPartner in modo da poterla aggiungere al criterio stesso. Infine, per abilitare questa funzionalità nell'area Extranet, configurare la classe SPIisSettings per tale area in modo che utilizzi il provider di attestazioni personalizzato. Nel diagramma seguente vengono illustrati i metodi di autenticazione e le impostazioni del provider di attestazioni per ogni applicazione Web e area.

È possibile impostare la proprietà IsUsedByDefault configurandola in un ricevitore della caratteristica creato per il provider di attestazioni personalizzato. Per informazioni su come utilizzare un ricevitore della caratteristica per distribuire un provider di attestazioni personalizzato, vedere Esempio: ricevitore di caratteristica per la distribuzione di un provider di attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207590&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

È anche possibile ignorare le impostazioni delle proprietà IsEnabled e IsUsedByDefault utilizzando il cmdlet Set-SPClaimProvider di Windows PowerShell.

Utilizzo di attestazioni personalizzate in più di una farm

I valori delle attestazioni sono una combinazione dell'attestazione stessa, del nome del provider di attestazioni e dell'ordine in cui il provider di attestazioni è stato installato nel server. Di conseguenza, se si desidera utilizzare un'attestazione in più farm o ambienti, è necessario installare i provider di attestazioni nello stesso ordine in ogni farm in cui si intende utilizzare l'attestazione. Utilizzare la procedura seguente quando è stato installato un provider di attestazioni personalizzato in una farm e si desidera utilizzare la stessa attestazione in altre farm.

1. Registrare i provider di attestazioni nelle farm aggiuntive nello stesso ordine in cui erano stati registrati nella prima farm.

2. Eseguire un backup della prima farm. Per informazioni sul backup di una farm, vedere Eseguire il backup di una (SharePoint Server 2010).

3. Utilizzare il backup della prima farm per ripristinare le altre farm. Per informazioni sul ripristino di una farm, vedere Ripristinare una farm (SharePoint Server 2010).

Considerazioni sui provider di attestazioni personalizzati

Quando si pianifica la creazione di provider di attestazioni personalizzati da utilizzare nella selezione utenti della soluzione SharePoint, è necessario prendere in considerazione i seguenti aspetti:

• Quali aree sono presenti nell'applicazione Web e quali metodi di autenticazione vengono utilizzati in ogni area

• Se sono presenti attestazioni personalizzate da aggiungere agli utenti per consentire scenari di sicurezza più avanzati

• Se si utilizzerà l'autenticazione SAML con un provider di identità attendibile

• Quale sarà l'origine dei valori per gli utenti e i ruoli da visualizzare nei risultati della query della selezione utenti

• Quali dati di attestazione si desidera risolvere nella finestra di dialogo Selezione utenti e gruppi

Il team che si occupa della pubblicazione di contenuti per SharePoint Server 2010 desidera ringraziare Steve Peschka per il contributo offerto per questo articolo. Il blog di Peschka è disponibile facendo clic qui (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=210274&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

See Also

Concepts

Pianificare i metodi di autenticazione (SharePoint Server 2010)