Come configurare AD FS v 2.0 in SharePoint Server 2010

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-12-08

Le procedure disponibili in questo articolo illustrano come configurare Active Directory Federation Services versione 2.0 (AD FS) in Microsoft SharePoint Server 2010.

È possibile utilizzare Active Directory Federation Services (AD FS) 2.0 con il sistema operativo Windows Server 2008 per creare una soluzione di gestione di identità federata, autenticazione e servizi di autorizzazione per applicazioni basate su Web in organizzazioni e limiti di piattaforma. La distribuzione di AD FS 2.0 consente di estendere a Internet le capacità di gestione delle identità esistenti dell'organizzazione.

In questo articolo AD FS versione 2 è il provider di identità, definito anche servizio token di sicurezza (IP-STS, Security Token Service. AD FS renderà disponibile l'autenticazione basata su attestazioni. È innanzitutto necessario configurare AD FS con le informazioni relative alla relying party, in questo caso SharePoint Server 2010. Dal punto di vista di Prodotti Microsoft SharePoint 2013, è necessario configurare AD FS in modo che consideri attendibile il servizio token di sicurezza che invia un mapping basato su attestazioni. Vengono infine create un'applicazione Web e una raccolta siti che utilizzeranno il livello di autenticazione basato su attestazioni.

Nel video seguente viene illustrato il processo dettagliato per configurare Active Directory Federation Services (ADFS) versione 2.0 in Microsoft SharePoint Server 2010.

Tempo di esecuzione: 9 minuti e 43 secondi

Guardare il video sulla configurazione di SharePoint Server 2010 con attestazioni attendibili di ADFS (le informazioni potrebbero essere in lingua inglese)  Per una visualizzazione ottimale, scaricare il video sulla configurazione di SharePoint Server 2010 con attestazioni attendibili di ADFS (le informazioni potrebbero essere in lingua inglese). Fare clic con il pulsante destro del mouse sul collegamento e quindi scegliere Salva oggetto con nome per scaricare una copia. Facendo clic sul collegamento verrà aperto un file con estensione wmv nel visualizzatore video predefinito per una visualizzazione ad alta risoluzione.

Contenuto dell'articolo:

• Configurare una relying party

• Configurare la regola delle attestazioni

• Esportare il certificato per la firma di token

• Esportazione di più certificati padre

• Importare un certificato per la firma di token mediante Windows PowerShell

• Definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

• Creare un nuovo provider di autenticazione

• Associare un'applicazione Web a un provider di identità attendibile

• Creare una raccolta siti

Configurare una relying party

Utilizzare la procedura disponibile in questa sezione per configurare una relying party. La relying party definisce il modo in cui AD FS riconosce la relying party ed emette attestazioni per tale relying party.

Per configurare una relying party

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenze a gruppi, vedere Local and Domain Default Groups

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro di sinistra espandere Trust Relationships e quindi fare doppio clic sulla cartella Relying Party Trusts.

4. Nel riquadro di destra fare clic su Add Relying Party Trust. Verrà aperta la configurazione guidata di Active Directory Federation Services (AD FS) 2.0.

5. Nella pagina iniziale della procedura guidata per l'aggiunta di un trust di relying party fare clic su Start.

6. Selezionare Enter data about the relying party manually e quindi fare clic su Next.

7. Digitare il nome di una relying party e fare clic su Next.

8. Verificare che Active Directory Federation Services (AD FS) 2.0 Profile sia selezionato e quindi fare clic su Next.

9. Non utilizzare un certificato di crittografia. Fare clic su Next.

10. Fare clic per selezionare la casella di controllo Enable support for the WS-Federation Passive protocol.

11. Nel campo WS-Federation Passive protocol URL immettere il nome dell'URL dell'applicazione Web e quindi aggiungere /_trust/, ad esempio, https://NomeAppWeb/_trust/. Fare clic su Next.

    Nota

    Il nome dell'URL deve utilizzare Secure Socket Layer (SSL).

12. Digitare il nome dell'identificatore di trust della relying party, ad esempio, urn:sharepoint:NomeAppWeb, e quindi fare clic su Add. Fare clic su Next.

13. Selezionare Permit all users to access this relying party. Fare clic su Next.

14. Nella pagina Ready to Add Trust non è necessario eseguire alcuna operazione. Fare pertanto clic su Next.

15. Nella pagina Finish fare clic su Close. Verrà aperta la console di gestione dell'editor regole. Utilizzare tale console per configurare il mapping di attestazioni da un'applicazione Web LDAP a SharePoint Server 2010.

Configurare la regola delle attestazioni

Utilizzare la procedura disponibile in questo passaggio per inviare i valori di un attributo LDAP (Lightweight Directory Access Protocol) come attestazioni e per specificare il modo in cui gli attributi verranno mappati al tipo di attestazione in uscita.

Per configurare una regola delle attestazioni

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenze a gruppi, vedere Local and Domain Default Groups

2. Nella scheda Issuance Transform Rules fare clic su Add Rule.

3. Nella pagina di selezione del modello di regola selezionare Send LDAP Attributes as Claims. Fare clic su Next.

4. Nella pagina di configurazione della regola digitare il nome della regola di attestazione nel campo Claim rule name.

5. Dall'elenco a discesa Attribute Store selezionare Active Directory.

6. Nella sezione Mapping of LDAP attributes to outgoing claim types in LDAP Attribute selezionare E-Mail Addresses.

7. In Outgoing Claim Type selezionare E-Mail Address.

8. In LDAP Attribute selezionare Token Groups-Unqualified Names.

9. In Outgoing Claim Type selezionare Role.

10. Fare clic su Finish e quindi su OK.

Esportare il certificato per la firma di token

Utilizzare la procedura disponibile in questa sezione per esportare il certificato per la firma di token del server AD FS con cui si desidera stabilire una relazione di trust e quindi copiare il certificato in una posizione accessibile a SharePoint Server 2010.

Per esportare certificato per la firma di token

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenze a gruppi, vedere Local and Domain Default Groups

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro di sinistra espandere Service e quindi fare clic sulla cartella Certificates.

4. In Token signing fare clic sul certificato principale per la firma di token come indicato nella colonna Primary.

5. Nel riquadro di destra fare clic su View Certificate link. Verranno visualizzate le proprietà del certificato.

6. Fare clic sulla scheda Details.

7. Fare clic su Copy to File. Verrà avviata l'esportazione guidata dei certificati.

8. Nella pagina di esportazione guidata dei certificati fare clic su Next.

9. Nella pagina di esportazione della chiave privata con il certificato fare clic su No, do not export the private key e quindi su Next.

10. Nella pagina Formato file di esportazione selezionare DER encoded binary X.509 (.CER) e quindi fare clic su Next.

11. Nella pagina relativa ai file da esportare digitare il nome e il percorso del file da esportare e quindi fare clic su Next. Ad esempio, immettere C:\ADFS.cer.

12. Nella pagina di completamento dell'esportazione guidata dei certificati fare clic su Next.

Esportazione di più certificati padre

Per completare la configurazione del server AD FS, copiare il file con estensione CER nel computer che esegue AD FS.

È possibile che nella catena del certificato per la firma di token siano presenti uno o più certificati padre. In tale caso, è necessario aggiungere ogni certificato in tale catena all'elenco SharePoint Server di autorità principali attendibili.

Per verificare se esistono uno o più certificati padre, utilizzare i passaggi seguenti.

Per esportare più certificati padre

1. Verificare che l'account utente che esegue la procedura sia membro del gruppo Administrators nel computer locale. Per ulteriori informazioni su account e appartenenze a gruppi, vedere Local and Domain Default Groups

2. Aprire la console di gestione di Active Directory Federation Services (ADFS) 2.0.

3. Nel riquadro di sinistra fare clic per espandere Service e quindi fare clic sulla cartella Certificates.

4. In Token signing fare clic sul certificato principale per la firma di token come indicato nella colonna Primary.

5. Nel riquadro di destra fare clic su View Certificate link. Verranno visualizzate le proprietà del certificato

6. Fare clic sulla scheda Certification.

   Verranno visualizzati eventuali altri certificati presenti nella catena.

7. Fare clic sulla scheda Details.

8. Fare clic su Copy to File. Verrà avviata l'esportazione guidata dei certificati.

9. Nella pagina di esportazione guidata dei certificati fare clic su Next.

10. Nella pagina di esportazione della chiave privata con il certificato fare clic su No, do not export the private key e quindi su Next.

11. Nella pagina Formato file di esportazione selezionare DER encoded binary X.509 (.CER) e quindi fare clic su Next.

12. Nella pagina relativa al file da esportare digitare il nome e il percorso del file da esportare e quindi fare clic su Next. Ad esempio, immettere C:\ADFS.cer.

13. Nella pagina di completamento dell'esportazione guidata dei certificati fare clic su Next.

Importare un certificato per la firma di token mediante Windows PowerShell

Utilizzare questa sezione per importare certificati per la firma di token nell'elenco di autorità principali attendibili disponibile nel server SharePoint. Questo passaggio deve essere ripetuto per ogni certificato per la firma di token presente nella catena, fino al raggiungimento dell'autorità di certificazione principale.

Per importare un certificato per la firma di token mediante Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Nel prompt dei comandi di Windows PowerShell importare il certificato padre del certificato per la firma di token, ovvero il certificato dell'autorità principale, come illustrato nella sintassi seguente:

   $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")
   
   New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root
   

6. Nel prompt dei comandi di Windows PowerShell importare il certificato per la firma di token copiato dal server AD FS, come illustrato nella sintassi seguente:

   $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")
   
   New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert
   

Per ulteriori informazioni sul cmdlet New-SPTrustedRootAuthority, vedere New-SPTrustedRootAuthority

Definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

Utilizzare la procedura disponibile in questa sezione per definire un identificatore univoco per il mapping delle attestazioni. In genere, queste informazioni hanno il formato di un indirizzo di posta elettronica e l'amministratore del servizio token di sicurezza dovrà specificare tali informazioni, poiché solo il proprietario del servizio token di sicurezza sa quale tipo di attestazione sarà sempre univoco per ogni utente.

Per definire un identificatore univoco per il mapping delle attestazioni tramite Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Nel prompt dei comandi di Windows PowerShell creare un mapping di attestazioni di identità, come illustrato nella sintassi seguente:

   $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

6. Nel prompt dei comandi di Windows PowerShell creare un mapping di attestazioni di ruolo, come illustrato nella sintassi seguente:

   $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming
   

Per ulteriori informazioni sul cmdlet New-SPClaimTypeMapping, vedere New-SPClaimTypeMapping

Creare un nuovo provider di autenticazione

Utilizzare la procedura disponibile in questa sezione per creare un nuovo SPTrustedIdentityTokenIssuer.

Per creare un nuovo provider di autenticazione tramite Windows PowerShell

1. Verificare che vengano soddisfatti i requisiti minimi seguenti: vedere Add-SPShellAdmin.

2. Fare clic sul pulsante Start e scegliere Tutti i programmi.

3. Fare clic su Prodotti Microsoft SharePoint 2010.

4. Fare clic su SharePoint 2010 Management Shell.

5. Nel prompt dei comandi di Windows PowerShell creare un nuovo provider di autenticazione, come illustrato nella sintassi seguente.

   Nota

   La variabile $realm definisce il servizio token di sicurezza attendibile che identifica una farm di SharePoint specifica e la variabile $cert è quella utilizzata dalla sezione Importare un certificato per la firma di token mediante Windows PowerShell. Il parametro SignInUrl è per il server AD FS.

   $realm = "urn:sharepoint:WebAppName"
   
   $ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
   

Per ulteriori informazioni sul cmdlet New-SPTrustedIdentityTokenIssuer, vedere New-SPTrustedIdentityTokenIssuer

Associare un'applicazione Web a un provider di identità attendibile

Per configurare un'applicazione Web esistente per l'utilizzo dell'accesso SAML, è necessario modificare il provider di identità attendibile nella sezione relativa al tipo di autenticazione delle attestazioni.

Per configurare un'applicazione Web esistente per l'utilizzo del provider SAML

1. Verificare che l'account utente che esegue questa procedura sia membro del gruppo di SharePoint Amministratori farm.

2. Nella home page di Amministrazione centrale fare clic su Gestione applicazioni.

3. Nella pagina Gestione applicazione fare clic su Gestisci applicazioni Web nella sezione Applicazioni Web.

4. Fare clic per selezionare l'applicazione Web appropriata.

5. Nella barra multifunzione fare clic su Provider di autenticazione.

6. In Area fare clic sul nome dell'area, ad esempio Predefinito.

7. Nella sezione Tipi di autenticazione delle attestazioni della pagina Modifica autenticazione fare clic per selezionare la casella di controllo relativa al nome del nuovo provider di identità attendibile.

Se è necessario creare un'applicazione Web e configurarla per l'utilizzo dell'accesso SAML, vedere Creare una nuova applicazione Web di SharePoint e configurarla per l'utilizzo dell'accesso SAML.

Creare una raccolta siti

Come passaggio finale, creare una raccolta siti di SharePoint e assegnare un proprietario. È necessario ricordare che quando si aggiunge un amministratore di raccolta siti è necessario inserire il nome nel formato dell'attestazione di identità. Ad esempio, in questo articolo l'attestazione di identità è un indirizzo di posta elettronica. Per ulteriori informazioni, vedere Creare una raccolta siti (SharePoint Server 2010).