Autenticazione basata sulle attestazioni con Microsoft UAG 2010 (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

Microsoft Unified Access Gateway (UAG) 2010 con Service Pack 1 (SP1) aggiunge il supporto per Active Directory Federated Services Versione 2.0 (ADFS 2.0) ed è un relying party basato su attestazioni che ora supporta la pubblicazione di applicazioni Microsoft SharePoint Foundation 2010 con l'autenticazione basata sulle attestazioni. È ancora supportato l'accesso partner mediante Single Sign-on alle applicazioni o ai server che eseguono SharePoint Foundation 2010 e che non sono basati sulle attestazioni.

Nella procedura seguente viene illustrato in dettaglio il flusso di processo per l'autenticazione degli utenti da un'organizzazione partner tramite un server che esegue UAG a un server che esegue SharePoint Foundation 2010:

  1. Gli utenti partner tentano di accedere all'applicazione SharePoint Foundation pubblicata utilizzando l'autenticazione basata sulle attestazioni in due modi: accedendo al portale Forefront UAG e quindi facendo clic sull'applicazione SharePoint Foundation pubblicata oppure accedendo all'applicazione SharePoint Foundation pubblicata direttamente tramite il nome del mapping di accesso alternativo di SharePoint Foundation.

  2. Forefront UAG reindirizza la richiesta del Web browser al server federativo di risorsa per autenticare l'utente.

  3. Il server federativo di risorsa mostra agli utenti la pagina di rilevamento dell'area home in cui devono scegliere l'organizzazione a cui appartengono, in questo caso l'organizzazione partner.

  4. Il server federativo di risorsa reindirizza il Web browser al server federativo di account in cui gli utenti eseguono l'autenticazione mediante le proprie credenziali e successivamente ricevono un token di sicurezza.

  5. Gli utenti vengono reindirizzati più volte e autenticati automaticamente utilizzando il token di sicurezza creato dal server federativo di account sul server federativo di risorsa e quindi su Forefront UAG. Se tentano di accedere direttamente all'applicazione di SharePoint Foundation pubblicata, vengono reindirizzati automaticamente al sito di SharePoint Foundation e successivamente viene visualizzato il sito di SharePoint Foundation. Se eseguissero prima l'accesso al portale Forefront UAG, dovrebbero fare clic sull'applicazione di SharePoint Foundation per visualizzare il sito di SharePoint Foundation.

  6. Dopo la prima connessione al sito di SharePoint Foundation, il server federativo di risorsa memorizza un cookie nel computer dell'utente. Per impostazione predefinita, il cookie resta memorizzato per 30 giorni, ma la durata può essere configurata nel file web.config sul server federativo di risorsa. Durante questo periodo, agli utenti non viene richiesto di rispondere a domande di identificazione sulla pagina di rilevamento del'area home, ovvero scegliendo l'organizzazione a cui appartengono.

immagine
AvvisoWarning
L'integrazione di Office avrà esito negativo in questo scenario in caso di scadenza di una sessione del client remoto sul server UAG.
NotaNote
Per ulteriori informazioni sull'accesso utente remoto utilizzando le attestazioni e Microsoft UAG, vedere Plan employee access using claims.

UAG con SP1 aggiunge anche l'autorizzazione basata sulle attestazioni. Ad esempio, se un utente dispone di un'attestazione di ruolo, UAG può consentire o negare l'accesso dell'utente in base al valore dell'attestazione. Queste regole vengono impostate mediante criteri in UAG e mappate ai ruoli in ADFS.

NotaNote
Queste regole di autorizzazione basate su attestazioni possono essere utilizzate solo quando UAG è un relying party di ADFS.

UAG con SP1 aggiunge anche la funzionalità Single Sign-Out: gli utenti che eseguono la disconnessione, vengono disconnessi anche da tutte le applicazioni che si basano sul server federativo di autenticazione. Un client può eseguire la disconnessione o venire disconnesso in diversi modi:

  • Disconnessione da parte di un utente dal portale UAG.

  • Disconnessione dell'utente dopo un intervallo di inattività.

  • Disconnessione dell'utente in base a orari di disconnessione pianificati di UAG.

Per ulteriori informazioni su Single Sign-Out, vedere Panoramica di AD FS 2.0 con Forefront UAG (http://go.microsoft.com/fwlink/?linkid=207207&clcid=0x410).

UAG fornisce ancora l'accesso Single Sign-On (SSO) se un'applicazione utilizza l'autenticazione NTLM o Kerberos e UAG esegue la conversione Kerberos per i client. Per ulteriori informazioni, vedere Configurazione di Single Sign-On con la delega vincolata Kerberos su applicazioni non basate su attestazioni (http://go.microsoft.com/fwlink/?linkid=207208&clcid=0x410).

Mostra: