Implementazione di un provider di attestazioni personalizzato da parte di Microsoft IT (case study)

  • Articolo

 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Microsoft IT (MSIT) ha progettato e implementato un modello di protezione basato su attestazioni utilizzando Microsoft SharePoint Server 2010 per il portale delle risorse umane interno.

Contenuto dell'articolo

  • Un modello di protezione flessibile

  • Attestazioni di SharePoint

  • Componenti del modello di protezione del portale delle risorse umane

  • Risorse aggiuntive

Un modello di protezione flessibile

Il portale delle risorse umane supporta circa 90.000 identità univoche utilizzando un provider di attestazioni personalizzato per implementare attestazioni composte e l'aggiunta di attestazioni. Per impostazione predefinita, SharePoint Server 2010 supporta attestazioni disgiuntive semplici in grado di utilizzare solo l'operatore OR tra le asserzioni. Per utilizzare attestazioni composte che siano congiuntive e disgiuntive, ovvero in grado di supportare l'utilizzo degli operatori OR e AND tra le asserzioni, è necessario un provider di attestazioni personalizzato. Altro requisito era l'aggiunta di attestazioni per consentire la combinazione di dati degli utenti presenti in un archivio di dati accessibile internamente (Servizi di dominio Active Directory) con informazioni presenti in archivi di dati esterni, ad esempio SAP. Il provider di attestazioni personalizzato è stato progettato in modo da proteggere e assegnare esplicitamente contenuto specifico a ogni utente identificato in modo univoco. Il provider di attestazioni personalizzato era inoltre necessario per supportare una funzionalità per la visualizzazione del portale con un'altra identità. Questa funzionalità consente di delegare temporaneamente l'identità di un utente a un altro utente. In questo modo, l'utente con l'identità delegata può visualizzare il portale delle risorse umane utilizzando l'identità di un altro utente. L'accesso a questa funzionalità è riservato a un sottoinsieme di amministratori che lavorano sul portale delle risorse umane e non è consentito alla maggior parte degli utenti che accedono al portale.

Attestazioni di SharePoint

SharePoint Server 2010 offre i vantaggi dell'autenticazione basata su attestazioni semplici, tra cui un sistema di gestione delle identità sicuro che consente la configurazione e la gestione dell'autenticazione, dell'autorizzazione e del controllo degli utenti. Le attestazioni sono costituite da asserzioni di identità incapsulate in token di sicurezza concessi agli utenti autenticati, grazie ai quali gli utenti possono accedere a risorse contenute in applicazioni Web di SharePoint Server 2010. Le asserzioni di identità sono attributi associati a utenti. Possono includere un nome utente, un ruolo, un ID dipendente e vari altri attributi che determinano i livelli di autorizzazioni per l'accesso alle risorse di applicazioni Web di SharePoint Server 2010. I token di sicurezza vengono creati e gestiti da un servizio token di sicurezza che funge da provider di identità. Il servizio token di sicurezza incapsula un insieme di asserzioni, sulla base di attributi specificati da criteri, in un token di sicurezza che può quindi essere utilizzato per autenticare e autorizzare un utente. Per creare un token di sicurezza, il servizio token di sicurezza deve essere in grado di individuare credenziali valide per un utente in un archivio di attributi. Come archivio di attributi per un servizio token di sicurezza è possibile utilizzare Servizi di dominio Active Directory.

Componenti del modello di protezione del portale delle risorse umane

Per garantire un accesso gestibile, sicuro e in grado di supportare la ricerca per circa 90.000 utenti, la progettazione del portale delle risorse umane prevede l'implementazione dei componenti seguenti:

  • Gruppi di SharePoint

  • Assegnazione di gruppi di destinatari

  • Ricerca FAST

Gruppi di SharePoint

Per gestire una distribuzione che include circa 90.000 utenti e un'implementazione in grado di supportare centinaia di attestazioni composte, la progettazione del modello di protezione del portale delle risorse umane include gruppi di SharePoint. Un gruppo di SharePoint è un contenitore logico per utenti di SharePoint Server 2010. Implementando gruppi di SharePoint, gli amministratori possono creare nomi di gruppo significativi per identificare insiemi di valori delle attestazioni. La funzionalità Selezione utenti supporta inoltre la risoluzione dei nomi per gruppi di SharePoint. Altro motivo per implementare gruppi di SharePoint è la possibilità per gli amministratori di gestire dinamicamente l'autenticazione e di utilizzare l'operatore OR per combinare più attestazioni a livello di un gruppo di SharePoint.

Assegnazione di gruppi di destinatari

La possibilità per gli amministratori di filtrare e assegnare contenuto per gruppi specificati di utenti è un aspetto importante in una distribuzione che supporta circa 90.000 utenti. Il team addetto alla progettazione del portale delle risorse umane ha utilizzato l'applicazione di servizio dei profili utente per implementare gruppi di SharePoint per l'assegnazione di gruppi di destinatari. Durante la creazione di un gruppo di SharePoint contenente attestazioni di un provider di attestazioni personalizzato, il team addetto alla progettazione non ha tuttavia assegnato un livello di autorizzazioni predefinito a tale gruppo. Quando si creano gruppi di SharePoint da utilizzare per la sicurezza senza assegnare un livello di autorizzazioni, ai gruppi viene assegnato automaticamente il livello di autorizzazioni Accesso limitato. I gruppi di SharePoint creati in questo modo vengono ignorati dal sistema di elaborazione dei gruppi di destinatari. Per risolvere questo problema, il team addetto alla progettazione ha constatato che assegnando l'autorizzazione di lettura a un gruppo di SharePoint contenente attestazioni di un provider di attestazioni personalizzato e successivamente rimuovendo tale autorizzazione, il sistema di elaborazione dei gruppi di destinatari elaborava correttamente il gruppo di SharePoint. Questa procedura può essere eseguita su un solo gruppo di SharePoint nell'albero di ereditarietà e non deve necessariamente essere ripetuta su ogni gruppo di SharePoint contenente un'attestazione di un provider di attestazioni personalizzato.

Ricerca FAST

Per garantire l'individuabilità del contenuto e un alto livello di prestazioni di ricerca in una distribuzione con un ingente numero di utenti e risorse di rete, il team addetto alla progettazione del portale ha utilizzato Microsoft FAST Search Server 2010 for SharePoint ospitato in un ambiente federato. La distribuzione di FAST Search Server 2010 for SharePoint prevede i componenti seguenti:

  • Applicazioni del servizio di ricerca tramite query

  • Un'applicazione del servizio di ricerca del contenuto

  • Un'origine di contenuto

Il team addetto alla progettazione ha constatato che i mapping dei tipi di attestazioni personalizzati devono essere registrati nella farm di FAST Search Server 2010 for SharePoint per supportare limitazioni per motivi di protezione della ricerca e che qualsiasi provider di attestazioni personalizzato utilizzato nel portale delle risorse umane deve essere distribuito anche nella farm di FAST Search Server 2010 for SharePoint. Ha inoltre constatato che è necessario verificare che i mapping dei tipi di attestazione siano registrati e che tutti gli ID di attestazione siano gli stessi in tutte le farm di SharePoint Server 2010 per una stessa coppia di valori dei tipi di attestazione. Il team addetto alla progettazione ha infine constatato che affinché il portale delle risorse umane supporti la ricerca da altri portali Intranet dell'organizzazione è necessario che vengano soddisfatte le condizioni seguenti:

  • Tutti gli altri portali Intranet in cui viene eseguito il rendering di contenuto del portale delle risorse umane devono essere basati su SharePoint Server 2010 e utilizzare applicazioni Web basate su attestazioni nonché il metodo di autenticazione di Windows.

  • Tutti gli altri portali Intranet in cui viene eseguito il rendering di contenuto del portale delle risorse umane devono eseguire query sullo stesso indice della ricerca FAST.

  • Tutti gli altri portali Intranet in cui viene eseguito il rendering di contenuto del portale delle risorse umane devono installare il provider di attestazioni personalizzato per il portale delle risorse umane. Il provider di attestazioni personalizzato deve inoltre essere installato in base alla stessa sequenza seguita per il portale delle risorse umane.

Nel diagramma seguente è illustrata l'architettura fisica del portale delle risorse umane MSIT basato su SharePoint Server 2010 e FAST Search Server 2010 for SharePoint con un provider di attestazioni personalizzato.

Diagramma reticolare delle attestazioni SharePoint MSIT

Risorse aggiuntive

Per informazioni più dettagliate sull'implementazione di questo scenario di distribuzione, vedere Sicurezza basata sulle attestazioni personalizzate in SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=232558&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

L'autenticazione basata sulle attestazioni di SharePoint Server 2010 utilizza Windows Identity Foundation (WIF), che è un set di classi di .NET Framework. È basata su standard quali WS-Federation e WS-Trust. Per ulteriori informazioni su WIF, vedere Windows Identity Foundation semplifica l'accesso degli utenti per gli sviluppatori (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Per informazioni aggiuntive su come implementare un provider di attestazioni personalizzato, vedere gli articoli di TechNet e MSDN seguenti: