Autenticazione basata sulle attestazioni con Microsoft UAG 2010 (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Microsoft Unified Access Gateway (UAG) 2010 con Service Pack 1 (SP1) aggiunge supporto per Active Directory Federation Services versione 2.0 (ADFS 2.0) e UAG è un relying party in grado di riconoscere attestazioni che supporta ora la pubblicazione di applicazioni di Microsoft SharePoint Server 2010 con autenticazione basata sulle attestazioni. Viene ancora supportato l'accesso partner che utilizza Single Sign-on per applicazioni o server che eseguono SharePoint Server 2010 e non sono in grado di riconoscere attestazioni.

I passaggi seguenti illustrano in modo dettagliato il flusso del processo per l'autenticazione di utenti da un'organizzazione partner attraverso un server che esegue UAG in un server che esegue SharePoint Server 2010:

  1. Gli utenti partner tentano di accedere all'applicazione di SharePoint Server pubblicata utilizzando l'autenticazione basata sulle attestazioni in uno dei due modi seguenti: tramite accesso al portale Forefront UAG e la selezione dell'applicazione di SharePoint Server pubblicata oppure tramite l'accesso diretto all'applicazione di SharePoint Server pubblicata mediante il nome di mapping di accesso alternativo di SharePoint Server.

  2. Forefront UAG reindirizza la richiesta del Web browser al server federativo di risorsa per l'autenticazione dell'utente.

  3. Il server federativo di risorsa mostra agli utenti la home page di individuazione dell'area di autenticazione, in cui gli utenti devono scegliere l'organizzazione di appartenenza, ovvero, in questo caso, l'organizzazione partner.

  4. Il server federativo di risorsa reindirizza il Web browser al server federativo di account, in cui gli utenti eseguono l'autenticazione utilizzando le proprie credenziali. Dopo l'autenticazione, gli utenti ricevono un token di sicurezza. Alcuni schemi di autenticazione richiedono credenziali.

  5. Senza che vengano visualizzati avvisi, gli utenti vengono reindirizzati più volte e vengono autenticati automaticamente mediante il token di sicurezza creato dal server federativo di account verso il server federativo di risorsa e quindi verso Forefront UAG. Se gli utenti hanno tentato di accedere direttamente all'applicazione di SharePoint Server pubblicata, verranno reindirizzati al sito SharePoint Server senza che vengano visualizzati avvisi. Il sito SharePoint Server verrà visualizzato successivamente. Se si tratta del primo accesso al portale di Forefront UAG, gli utenti devono fare clic sull'applicazione di SharePoint Server per visualizzare il sito SharePoint Server.

  6. Dopo la prima connessione riuscita al sito SharePoint Server, il server federativo di risorsa archivia un cookie nel computer dell'utente. Per impostazione predefinita, il cookie viene archiviato per 30 giorni. La durata è configurabile nel file web.config nel server federativo di risorsa. Durante questo periodo gli utenti non devono rispondere a domande di identificazione nella home page di individuazione dell'area di autenticazione, ovvero non devono scegliere l'organizzazione di appartenenza.

immagine
AvvisoWarning
L'integrazione con i prodotti della famiglia Office avrà esito negativo in questo scenario in caso di scadenza della sessione di un client remoto nel server UAG.
NotaNote
Per ulteriori informazioni sull'accesso utente remoto tramite attestazioni e Microsoft UAG, vedere Plan employee access using claims.

UAG con SP1 aggiunge inoltre l'autorizzazione basata su attestazioni. Ad esempio, se un utente dispone di un'attestazione per un ruolo, UAG può consentire o rifiutare l'accesso all'utente in base al valore dell'attestazione. Tali regole vengono configurate tramite i criteri in UAG e vengono mappate a ruoli in ADFS.

NotaNote
Queste regole di autorizzazioni basate su attestazioni possono essere utilizzate solo quando UAG è un relying party di ADFS.

UAG con SP1 aggiunge inoltre la funzionalità Single Sign-out. Gli utenti che si disconnettono vengono disconnessi anche da tutte le applicazioni che si basano sul server federativo di autenticazione. Un client può eseguire la connessione o può essere disconnesso nei modi seguenti:

  • Un utente può eseguire la disconnessione dal portale UAG.

  • Un utente può venire disconnesso dopo un determinato intervallo di inattività.

  • Un utente può venire disconnesso in base a orari di disconnessione pianificati di UAG.

Per ulteriori informazioni su Single Sign-out, vedere Panoramica di AD FS 2.0 con Forefront UAG (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207207&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

UAG può offrire l'accesso di tipo Single Sign-on (SSO) se un'applicazione utilizza l'autenticazione NTLM o Kerberos e UAG esegue la conversione Kerberos per i client. Per ulteriori informazioni, vedere Configurazione di Single Sign-on con delega vincolata Kerberos per applicazioni che non sono in grado di riconoscere attestazioni (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?linkid=207208&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Mostra: