Come configurare AD FS 2.0 in SharePoint Foundation 2010

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

Nelle procedure illustrate in questo articolo viene descritto come configurare Active Directory Federation Services versione 2.0 (AD FS) in Microsoft SharePoint Foundation 2010.

È possibile utilizzare Active Directory Federation Services (AD FS) 2.0 con il sistema operativo Windows Server 2008 per realizzare una soluzione di gestione delle identità federata che estende i servizi di identificazione, autenticazione e autorizzazione distribuiti alle applicazioni Web oltre i limiti dell'organizzazione e delle singole piattaforme. La distribuzione di AD FS 2.0 consente di estendere a Internet le funzionalità di gestione delle identità esistenti dell'organizzazione.

In questo articolo AD FS v2 è il provider di identità, noto anche come servizio token di sicurezza di provider di identità. AD FS fornirà l'autenticazione basata sulle attestazioni. È innanzitutto necessario configurare AD FS con le informazioni relative al relying party, in questo caso SharePoint Foundation 2010. Dal punto di vista di Prodotti Microsoft SharePoint 2013, è necessario configurare AD FS per considerare attendibile il servizio token di sicurezza di provider di identità che invia un mapping basato sulle attestazioni. Infine, vengono create un'applicazione Web e la raccolta siti che utilizzeranno il livello di autenticazione basata sulle attestazioni.

Nel video seguente viene mostrato il processo dettagliato per configurare Active Directory Federation Services (ADFS) versione 2.0 in Microsoft SharePoint Foundation 2010.

Tempo di esecuzione: 9 minuti e 43 secondi

Guardare il video sulla configurazione di SharePoint Server 2010 con attestazioni attendibili di ADFS (le informazioni potrebbero essere in lingua inglese)  Per una visualizzazione ottimale, scaricare il video sulla configurazione di SharePoint Server 2010 con attestazioni attendibili di ADFS (le informazioni potrebbero essere in lingua inglese). Fare clic con il pulsante destro del mouse sul collegamento e quindi scegliere Salva oggetto con nome per scaricare una copia. Facendo clic sul collegamento verrà aperto un file con estensione wmv nel visualizzatore video predefinito per una visualizzazione ad alta risoluzione.

Contenuto dell'articolo:

• Configurare un relying party

• Configurare la regola attestazioni

• Esportare il certificato per la firma di token

• Esportare più certificati padre

• Importare un certificato per la firma di token utilizzando Windows PowerShell

• Definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

• Creare un nuovo provider di autenticazione

• Associare un'applicazione Web a un provider di identità attendibile

• Creare una raccolta siti

Configurare un relying party

Eseguire la procedura illustrata in questa sezione per configurare un relying party. Il relying party definisce il modo in cui AD FS riconosce il relying party e invia attestazioni ad esso.

Per configurare un relying party

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenza a gruppi, vedere Local and Domain Default Groups.

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro a sinistra espandere Trust Relationships e quindi fare doppio clic sulla cartella Relying Party Trusts.

4. Nel riquadro a destra fare clic su Add Relying Party. Verrà avviata la configurazione guidata di Active Directory Federation Services (AD FS) 2.0.

5. Nella pagina iniziale della procedura guidata Add Relying Party Trust Wizard fare clic su Start.

6. Selezionare Enter data about the relying party manually e quindi fare clic su Next.

7. Digitare il nome di una relying party e fare clic su Next.

8. Verificare che sia selezionata l'opzione Active Directory Federation Services (AD FS) 2.0 Profile e quindi fare clic su Next.

9. Non utilizzare un certificato di crittografia. Fare clic su Next.

10. Selezionare la casella di controllo Enable support for the WS-Federation Passive protocol.

11. Nel campo WS-Federation Passive protocol URL digitare il nome dell'URL dell'applicazione Web e aggiungere /_trust/, ad esempio https://WebAppName/_trust/. Fare clic su Next.

    Nota

    Il nome dell'URL deve utilizzare Secure Socket Layer (SSL).

12. Digitare il nome dell'identificatore di attendibilità del relying party, ad esempio urn:sharepoint:WebAppName, fare clic su Add e quindi su Next.

13. Selezionare Permit all users to access this relying party. Fare clic su Next.

14. Nella pagina Ready to Add Trust non è necessario eseguire alcuna operazione. Fare clic su Next.

15. Nella pagina conclusiva fare clic su Close. Verrà aperta la console di gestione dell'editor regole. Utilizzare questa console per configurare il mapping delle attestazioni tra un'applicazione Web LDAP e SharePoint Foundation 2010.

Configurare la regola attestazioni

La procedura descritta in questo passaggio consente di inviare i valori di un attributo LDAP (Lightweight Directory Access Protocol) come attestazioni e specificare la modalità di mapping degli attributi al tipo di attestazione in uscita.

Per configurazione una regola attestazioni

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenza a gruppi, vedere Local and Domain Default Groups.

2. Nella pagina Issuance Transform Rules fare clic su Add Rule.

3. Nella pagina Select Rule Template selezionare Send LDAP Attributes as Claims. Fare clic su Next.

4. Nella pagina Configure Rule digitare il nome della regola attestazioni nel campo Claim rule name.

5. Nell'elenco a discesa Attribute Store selezionare Active Directory.

6. Nella sezione Mapping of LDAP attributes to outgoing claim types in LDAP Attribute selezionare E-Mail Addresses.

7. In Outgoing Claim Type selezionare E-Mail Address.

8. In LDAP Attribute selezionare Token Groups-Unqualified Names.

9. In Outgoing Claim Type selezionare Role.

10. Fare clic su Finish e quindi su OK.

Esportare il certificato per la firma di token

Eseguire la procedura illustrata in questa sezione per esportare il certificato per la firma di token del server AD FS con cui si desidera stabilire una relazione di trust e quindi copiarlo in un percorso accessibile da SharePoint Foundation 2010.

Per esportare un certificato per la firma di token

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenza a gruppi, vedere Local and Domain Default Groups.

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro a sinistra espandere Service e quindi fare clic sulla cartella Certificates.

4. In Token signing fare clic sul certificato di token principale indicato nella colonna Primary.

5. Nel riquadro a destra fare clic sul collegamento View Certificate. Verranno visualizzate le proprietà del certificato.

6. Fare clic sulla scheda Details.

7. Fare clic su Copy to File. Verrà avviata l'Esportazione guidata certificati.

8. Nella pagina Esportazione guidata certificati fare clic su Avanti.

9. Nella pagina Esportazione della chiave privata con il certificato, fare clic su Non esportare la chiave privata e quindi su Avanti.

10. Nella pagina Formato file di esportazione selezionare X.509 binario codificato DER (.CER) e quindi fare clic su Avanti.

11. Nella pagina File da esportare digitare il nome e il percorso del file da esportare e quindi fare clic su Avanti. Immettere, ad esempio, C:\ADFS.cer.

12. Nella pagina Completamento dell'Esportazione guidata certificati fare clic su Avanti.

Esportazione di più certificati padre

Per completare la configurazione del server AD FS, copiare il file con estensione cer nel computer che esegue AD FS.

Il certificato per la firma di token può avere uno o più certificati padre nella relativa catena. In questo caso, ogni certificato in tale catena verrà aggiunto all'elenco di autorità radice attendibili di SharePoint Foundation.

Per stabilire se sono presenti uno o più certificati padre, eseguire la procedura seguente.

Per esportare più certificati padre

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenza a gruppi, vedere Local and Domain Default Groups.

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro a sinistra espandere Service e quindi fare clic sulla cartella Certificates.

4. In Token signing fare clic sul certificato di token principale indicato nella colonna Primary.

5. Nel riquadro a destra fare clic sul collegamento View Certificate. Verranno visualizzate le proprietà del certificato.

6. Fare clic sulla scheda Certification.

   Verranno visualizzati tutti gli altri certificati nella catena.

7. Fare clic sulla scheda Details.

8. Fare clic su Copy to File. Verrà avviata l'Esportazione guidata certificati.

9. Nella pagina Esportazione guidata certificati fare clic su Avanti.

10. Nella pagina Esportazione della chiave privata con il certificato, fare clic su Non esportare la chiave privata e quindi su Avanti.

11. Nella pagina Formato file di esportazione selezionare X.509 binario codificato DER (.CER) e quindi fare clic su Avanti.

12. Nella pagina File da esportare digitare il nome e il percorso del file da esportare e quindi fare clic su Avanti. Immettere, ad esempio, C:\ADFS.cer.

13. Nella pagina Completamento dell'Esportazione guidata certificati fare clic su Avanti.

Importare un certificato per la firma di token utilizzando Windows PowerShell

Utilizzare questa sezione per importare i certificati per la firma di token nell'elenco di autorità radice attendibili presente sul server di SharePoint. Questo passaggio deve essere ripetuto per tutti i certificati per la firma di token nella catena fino a raggiungere il certificato autorità radice.

Per importare un certificato per la firma di token utilizzando Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Al prompt dei comandi di Windows PowerShell importare il certificato padre del certificato per la firma di token, ovvero il certificato autorità radice, come mostrato nella sintassi seguente:

   $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")
   
   New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
   

6. Al prompt dei comandi di Windows PowerShell importare il certificato per la firma di token copiato dal server AD FS, come mostrato nella sintassi seguente:

   $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")
   
   New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
   

Per ulteriori informazioni sul cmdlet New-SPTrustedRootAuthority, vedere New-SPTrustedRootAuthority

Definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

Utilizzare la procedura in questa sezione per definire un identificatore univoco per il mapping delle attestazioni. Queste informazioni corrispondono generalmente a un indirizzo di posta elettronica e l'amministratore del servizio token di sicurezza attendibile dovrà fornire tali informazioni poiché solo il proprietario del servizio token di sicurezza sa quale tipo di attestazione sarà sempre univoco per ogni utente.

Per definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Al prompt dei comandi di Windows PowerShell creare un mapping di attestazioni di identità, come mostrato nella sintassi seguente:

   $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

6. Al prompt dei comandi di Windows PowerShell creare un mapping di attestazioni di ruolo, come mostrato nella sintassi seguente:

   $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
   

Per ulteriori informazioni sul cmdlet New-SPClaimTypeMapping, vedere New-SPClaimTypeMapping

Creare un nuovo provider di autenticazione

Eseguire la procedura illustrata in questa sezione per creare un nuovo SPTrustedIdentityTokenIssuer.

Per creare un nuovo provider di autenticazione tramite Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Al prompt dei comandi di Windows PowerShell creare un nuovo provider di autenticazione, come mostrato nella sintassi seguente.

   Nota

   La variabile $realm definisce il servizio token di sicurezza che identifica una specifica farm di SharePoint e la variabile $cert è quella che è stata utilizzata nella sezione Importare un certificato per la firma di token utilizzando Windows PowerShell. Il parametro SignInUrl è per il server AD FS.

   $realm = "urn:sharepoint:WebAppName"
   
   $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
   

Per ulteriori informazioni sul cmdlet New-SPTrustedIdentityTokenIssuer, vedere New-SPTrustedIdentityTokenIssuer

Associare un'applicazione Web a un provider di identità attendibile

Per configurare un'applicazione Web esistente per l'utilizzo dell'accesso SAML, è necessario che venga modificato il provider di identità attendibile nella sezione relativa ai tipi di autenticazione delle attestazioni.

Per configurare un'applicazione Web esistente per l'utilizzo del provider SAML

1. Verificare che l'account utente che esegue questa procedura sia membro del gruppo di SharePoint Amministratori farm.

2. Nella home page di Amministrazione centrale fare clic su Gestione applicazioni.

3. Nella sezione Applicazioni Web della pagina Gestione applicazioni fare clic su Gestisci applicazioni Web.

4. Selezionare l'applicazione Web appropriata.

5. Fare clic su Provider di autenticazione sulla barra multifunzione.

6. In Area fare clic sul nome dell'area, ad esempio Predefinita.

7. Nella pagina Modifica autenticazione nella sezione Tipi di autenticazione delle attestazioni selezionare la casella di controllo relativa al nome del nuovo provider di identità attendibile.

Se è necessario creare un'applicazione Web e configurarla per l'utilizzo dell'accesso SAML, vedere Creare una nuova applicazione Web di SharePoint e configurarla per l'utilizzo dell'accesso SAML.

Creare una raccolta siti

L'ultimo passaggio consiste nel creare una raccolta siti di SharePoint e assegnarle un proprietario. Tenere presente che quando si aggiunge un amministratore della raccolta siti, è necessario immettere il nome nel formato dell'attestazione di identità. In questo articolo, ad esempio, l'attestazione di identità è un indirizzo di posta elettronica. Per ulteriori informazioni, vedere Creare una raccolta siti (SharePoint Foundation 2010).