L'autenticazione basata sulle attestazioni non convalida l'utente in SharePoint Server

  • Articolo

 

**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-09-20

**Sintesi:**poiché SharePoint Server 2016SharePoint 2013 consigliano l'autenticazione basata sulle attestazioni per l'accesso utente alle applicazioni Web, questo articolo descrive gli strumenti e le tecniche che si possono usare per la risoluzione dei problemi relativi tentativi non riusciti di autenticazione basata sulle attestazioni.

Quando gli utenti provano a connettersi a un'applicazione Web, nei registri vengono registrati gli eventi di autenticazione non riusciti. Se si usano gli strumenti forniti da Microsoft e si usa un approccio sistematico per l'esame degli errori, sarà possibile ottenere informazioni sui problemi comuni relativi all'autenticazione basata sulle attestazioni e quindi risolverli.

Per completare correttamente l'accesso a una risorsa di SharePoint sono necessarie sia l'autenticazione che l'autorizzazione. Quando si usano le attestazioni, l'autenticazione verifica la validità del token di sicurezza. L'autorizzazione verifica che l'accesso alla risorsa sia consentito, in base all'insieme di attestazioni nel token di sicurezza e alle autorizzazioni configurate per la risorsa.

Per determinare se l'autenticazione o l'autorizzazione provocano un problema di accesso, esaminare attentamente il messaggio di errore nella finestra del browser.

  • Se il messaggio di errore indica che l'utente non dispone di accesso al sito, l'autenticazione ha avuto esito positivo ma l'autorizzazione non è riuscita. Per risolvere i problemi dell'autorizzazione, provare le soluzioni seguenti:

    • Il motivo più comune per gli errori di autorizzazioni quando si usa l'autenticazione basata sulle attestazioni SAML (Security Assertion Markup Language) è costituito dall'assegnazione delle autorizzazioni a un account utente basato su Windows (dominio\utente) invece che all'attestazione di identità SAML dell'utente.

    • Verificare che l'utente o il gruppo a cui appartiene l'utente sia stato configurato per l'uso delle autorizzazioni appropriate. Per altre informazioni, vedere Autorizzazioni utente e livelli di autorizzazione in SharePoint Server.

    • Usare gli strumenti e le tecniche descritti in questo articolo per determinare l'insieme di attestazioni disponibili nel token di sicurezza dell'utente, per poterlo confrontare con le autorizzazioni configurate.

  • Se il messaggio indica che l'autenticazione non è riuscita, si è verificato un problema di autenticazione. Se la risorsa si trova in un'applicazione Web di SharePoint che usa l'autenticazione basata sulle attestazioni, usare le informazioni disponibili in questo articolo per avviare la risoluzione dei problemi.

Strumenti per la risoluzione dei problemi

Di seguito sono indicati gli strumenti principali per la risoluzione dei problemi forniti da Microsoft per raccogliere informazioni sull'autenticazione basata sulle attestazioni in SharePoint Server:

  • Usare i registri ULS (Unified Logging System) per ottenere informazioni dettagliate sulle transazioni di autenticazione.

  • Usare Amministrazione centrale per verificare i dettagli delle impostazioni e delle aree di autenticazione utente per le applicazioni Web di SharePoint e configurare i livelli di registrazione ULS.

  • Se si usa Active Directory Federation Services 2.0 (AD FS) come provider di federazione per l'autenticazione basata sulle attestazioni SAML (Security Assertion Markup Language), sarà possibile usare la registrazione AD FS per determinare le attestazioni disponibili nei token di sicurezza rilasciati da AD FS ai computer client Web.

  • Usare Network Monitor 3.4 per acquisire ed esaminare le informazioni dettagliate sul traffico di rete dell'autenticazione utente.

Impostazione del livello di registrazione ULS per l'autenticazione utente

La procedura seguente configura SharePoint Server per la registrazione della quantità massima di informazioni relative ai tentativi di autenticazione basata sulle attestazioni.

Per configurare SharePoint Server per il livello massimo di registrazione dell'autenticazione utente

  1. Da Amministrazione centrale fare clic su Monitoraggio sulla barra di avvio veloce, quindi fare clic su Configura registrazione diagnostica.

  2. Nell'elenco di categorie espandere SharePoint Foundation, quindi selezionare Autorizzazione autenticazione e Autenticazione attestazioni.

  3. In Evento meno critico da includere nel registro eventi selezionare Livello di traccia dettagliato.

  4. In Evento meno critico da includere nel registro di traccia selezionare Livello di traccia dettagliato.

  5. Fare clic su OK.

Per ottimizzare le prestazioni quando non si esegue la risoluzione dei problemi dell'autenticazione basata sulle attestazioni, eseguire la procedura seguente per impostare la registrazione dell'autenticazione utente sui valori predefiniti.

Per configurare SharePoint Server per il livello predefinito di registrazione dell'autenticazione utente

  1. Da Amministrazione centrale fare clic su Monitoraggio sulla barra di avvio veloce, quindi fare clic su Configura registrazione diagnostica.

  2. Nell'elenco di categorie espandere SharePoint Foundation, quindi selezionare Autorizzazione autenticazione e Autenticazione attestazioni.

  3. In Evento meno critico da includere nel registro eventi selezionare Informazioni.

  4. In Evento meno critico da includere nel registro di traccia selezionare Medio.

  5. Fare clic su OK.

Configurazione della registrazione AD FS

Anche se si abilita il livello massimo di registrazione ULS, SharePoint Server non registra l'insieme di attestazioni nel token di sicurezza ricevuto. Se si usa AD FS per l'autenticazione basata sulle attestazioni SAML, sarà possibile abilitare la registrazione AD FS e usare il Visualizzatore eventi per esaminare le attestazioni per i token di sicurezza emessi da SharePoint Server.

Per abilitare la registrazione AD FS

  1. Nel server AD FS, dal Visualizzatore eventi fare clic su Visualizza, quindi su Visualizza registri analitici e di debug.

  2. Nell'albero della console del Visualizzatore eventi espandere Registri applicazioni e servizi/Traccia AD FS 2.0.

  3. Fare clic con il pulsante destro del mouse su Debug, quindi scegliere Attiva registrazione.

  4. Aprire la cartella %ProgramFiles%\Active Directory Federation Services 2.0.

  5. Usare Blocco note per aprire il file Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Fare clic su Modifica, scegliere Trova, digitare <source name=“Microsoft.IdentityModel“ switchValue="Off">, quindi fare clic su OK.

  7. Modificare switchValue="Off" in switchValue="Verbose".

  8. Fare clic su File, scegliere Salva, quindi chiudere Blocco note.

  9. Dallo snap-in Services fare clic con il pulsante destro del mouse su AD FS 2.0 Service, quindi scegliere Riavvia.

È ora possibile usare il Visualizzatore eventi sul server AD FS per esaminare le informazioni dettagliate sulle attestazioni dal nodo Registri applicazioni e servizi/Traccia AD FS 2.0/Debug. Cercare eventi don ID evento 1001.

È anche possibile enumerare le attestazione con HttpModule o una web part oppure tramite OperationContext. Per altre informazioni, vedere Come ottenere tutte le attestazioni utente al momento dell'estensione delle attestazioni in SharePoint 2010. Queste informazioni su SharePoint 2010 sono applicabili anche a SharePoint 2013.

Metodologia di risoluzione dei problemi per l'autenticazione utente basata sulle attestazioni

I passaggi seguenti possono aiutare a determinare la causa dei tentativi non riusciti di autenticazione basata sulle attestazioni.

Passaggio 1: Determinare i dettagli del tentativo di autenticazione non riuscito

Per ottenere informazioni dettagliate e definitive su un tentativo di autenticazione non riuscito, sarà necessario trovarle nei registri ULS di SharePoint. Questi file di registro sono archiviati nella cartella %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

È possibile trovare il tentativo di autenticazione non riuscito nei file di registro ULS manualmente oppure è possibile usare il Visualizzatore log di ULS.

Per trovare manualmente il tentativo di autenticazione non riuscito

  1. Ottenere il nome dell'account utente che produce il tentativo di autenticazione non riuscito dall'utente.

  2. Nel server che esegue SharePoint Server o SharePoint Foundation, trovare la cartella %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\16\LOGS o %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

  3. Nella cartella LOGS fare clic su Data ultima modifica per ordinare la cartella in base alla data, a partire dalla data più recente.

  4. Provare a eseguire di nuovo il task di autenticazione

  5. Nella finestra della cartella LOGS fare doppio clic sul file di registro all'inizio dell'elenco per aprire il file in Blocco note.

  6. In Blocco note fare clic su Modifica,, scegliere Trova, digitare Autorizzazione autenticazione o Autenticazione attestazioni, quindi fare clic su Trova successivo.

  7. Fare clic su Annulla, quindi leggere i contenuti della colonna Messaggio.

Per usare il visualizzatore ULS, scaricarlo dalla pagina relativa al visualizzatore ULS e salvarlo in una cartella sul server che esegue SharePoint Server or SharePoint Foundation. Dopo l'installazione, seguire questi passaggi per individuare il tentativo di autenticazione non riuscito.

Per trovare il tentativo di autenticazione non riuscito con il visualizzatore ULS

  1. Sul server che esegue SharePoint Server o SharePoint Foundation fare doppio clic su Ulsviewer dalla cartella in cui è archiviato.

  2. In ULS Viewer fare clic su File, scegliere Open From, quindi su ULS.

  3. Nella finestra di dialogo Setup the ULS Runtime feed verificare che la cartella %CommonProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\16\LOGS o \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS sia specificata in Use ULS feed from default log-file directory. In caso contrario, fare clic su Use directory location for real-time feeds e specificare la cartella \Microsoft Shared\Web Server Extensions\16\LOGS o \Microsoft Shared\Web Server Extensions\15\LOGS in Log file location.

    Per %CommonProgramFiles%, sostituire il valore della variabile di ambiente CommonProgramFiles del server che esegue SharePoint Server o SharePoint Foundation. Ad esempio, se il percorso è l'unità C, %CommonProgramFiles% è impostato su C:\Programmi\File comuni.

  4. Fare clic su OK.

  5. Fare clic su Modifica, quindi scegliere Modifica filtro.

  6. Nella finestra di dialogo Filtro in base a fare clic su Categoria in Campo.

  7. In Valore digitare Autorizzazione autenticazione o Autenticazione attestazioni, quindi fare clic su OK.

  8. Ripetere il tentativo di autenticazione.

  9. Nella finestra di ULS Viewer fare doppio clic sulle righe visualizzate per visualizzare la sezione Messaggio.

Nella parte relativa alla codifica delle attestazione della sezione Messaggio per richieste non OAuth è possibile determinare il metodo di autenticazione e l'identità utente codificata tramite la stringa codificata in base alle attestazioni (ad esempio: i:0#.w|contoso\chris). Per altre informazioni, vedere Codifica delle attestazioni in SharePoint 2013 e SharePoint 2010.

Passaggio 2: Verificare i requisiti di configurazione

Per determinare il modo in cui un'applicazione Web o un'area è configurata per supportare uno o più metodi di autenticazione basata sulle attestazioni, usare il sito Web Amministrazione centrale SharePoint.

Per verificare la configurazione dell'autenticazione per un'applicazione Web o un'area

  1. Da Amministrazione centrale fare clic su Gestione applicazioni sulla barra di avvio veloce, quindi scegliere Gestisci applicazioni Web.

  2. Fare clic sul nome dell'applicazione Web a cui l'utente sta cercando di accedere, quindi nel gruppo Sicurezza della barra multifunzione fare clic su Provider di autenticazione.

  3. Nell'elenco di provider di autenticazione fare clic sull'area appropriata, ad esempio Predefinita.

  4. Nella finestra di dialogo Modifica autenticazione verificare nella sezione Tipi di autenticazione delle attestazioni le impostazioni per l'autenticazione basata sulle attestazioni.

    • Per l'autenticazione basata sulle attestazioni Windows verificare che le opzioni Abilita autenticazione di Windows e Autenticazione integrata di Windows siano selezionate e che sia selezionata l'opzione NTLM o Negozia (Kerberos), in base alla necessità. Selezionare Autenticazione di base, se necessario.

    • Per l'autenticazione basata su moduli, verificare che l'opzione Abilita autenticazione basata su moduli sia selezionata. Verificare i valori in Nome provider di appartenenze ASP.NET e Nome manager ruoli ASP.NET. Questi valori devono corrispondere ai valori del provider di appartenenze e di ruolo configurati nei file web.config per il sito Web Amministrazione centrale SharePoint, per l'applicazione Web e Servizi Web di SharePoint\SecurityTokenServiceApplication. Per altre informazioni, vedere Configurare l'autenticazione basata su moduli per un'applicazione Web basata sulle attestazioni in SharePoint 2013.

    • Per l'autenticazione basata sulle attestazioni SAML verificare che siano selezionati l'opzione Provider di identità attendibile e il nome corretto del provider attendibile. Per altre informazioni, vedere Configurare l'autenticazione delle attestazioni basata su SAML con ADFS in SharePoint 2013.

    • Nella sezione URL pagina di accesso verificare l'opzione per la pagina di accesso. Per una pagina di accesso predefinita, deve essere selezionata l'opzione Pagina di accesso predefinita. Per una pagina di accesso personalizzata, verificare l'URL specificato della pagina di accesso personalizzata. Per verificarlo, copiare l'URL, quindi tentare l'accesso usando un Web browser.

  5. Fare clic su Salva per salvare le modifiche alle impostazioni di autenticazione.

  6. Ripetere il tentativo di autenticazione. Per l'autenticazione basata su moduli o su SAML, verificare se la pagina di accesso prevista viene visualizzata con le opzioni di accesso corrette.

  7. Se si verifica ancora un errore di autenticazione, verificare i registri ULS per determinare se sono presenti differenze tra il tentativo di autenticazione precedente alla modifica della configurazione di autenticazione e il tentativo successivo alla modifica.

Passaggio 3: Elementi aggiuntivi da verificare

Dopo la verifica dei file di registro e della configurazione dell'applicazione Web, verificare gli elementi seguenti:

  • Il Web browser nel computer client Web supporta le attestazioni. Per ulteriori informazioni, vedere Pianificare il supporto dei browser in SharePoint Server 2016.

  • Per l'autenticazione basata sulle attestazioni Windows, verificare gli elementi seguenti:

    • Il computer da cui l'utente esegue il tentativo di autenticazione è membro dello stesso dominio a cui appartiene il server che ospita l'applicazione Web di SharePoint o è membro di un dominio considerato attendibile dal server di hosting.

    • Il computer da cui l'utente esegue il tentativo di autenticazione viene registrato nel rispettivo dominio di Servizi di dominio Active Directory (AD DS). Digitare nltest /dsgetdc: /force a un prompt dei comandi o SharePoint Management Shell sul computer client Web per verificare che sia in grado di accedere a un controller di dominio. Se non è elencato alcun controller di dominio, risolvere i problemi relativi alla mancanza di esposizione al rilevamento e di connettività tra il computer client Web e un dominio AD DS.

    • Il server che esegue SharePoint Server o SharePoint Foundation è connesso al rispettivo dominio AD DS. Digitare nltest /dsgetdc: /force a un prompt dei comandi o SharePoint Management Shell sul server che esegue SharePoint Server o SharePoint Foundation per verificare che sia in grado di accedere a un controller di dominio. Se non è elencato alcun controller di dominio, risolvere i problemi relativi alla mancanza di esposizione al rilevamento e di connettività tra il server che esegue SharePoint Server o SharePoint Foundation e un controller di dominio AD DS.

  • Per l'autenticazione basata su moduli, verificare gli elementi seguenti:

    • Correttezza delle credenziali utente per l'appartenenza ASP.NET configurata e del provider di ruoli.

    • Disponibilità in rete dei sistemi che ospitano l'appartenenza ASP.NET e del provider di ruoli.

    • Assicurarsi che le pagine di accesso raccolgano e trasmettano correttamente le credenziali dell'utente. Per testarlo, configurare l'applicazione Web per usare temporaneamente la pagina di accesso predefinita e verificarne il funzionamento.

  • Per l'autenticazione basata sulle attestazioni SAML, verificare gli elementi seguenti:

    • Correttezza delle credenziali utenti per il provider di identità configurato.

    • Disponibilità in rete dei sistemi che fungono da provider di federazione (ad esempio AD FS) e del provider di identità (ad esempio AD DS o un provider di identità di terze parti).

    • Assicurarsi che le pagine di accesso raccolgano e trasmettano correttamente le credenziali dell'utente. Per testarlo, configurare l'applicazione Web per usare temporaneamente la pagina di accesso predefinita e verificarne il funzionamento.

Passaggio 4: Usare uno strumento di debug Web per monitorare e analizzare il traffico Web

Usare uno strumento quale HttpWatch o Fiddler per analizzare i tipi seguenti del traffico HTTP:

  • Tra il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

    Ad esempio, è possibile monitorare i messaggi di reindirizzamento HTTP inviati dal server che esegue SharePoint Server o SharePoint Foundation per informare il computer client Web in merito alla posizione di un server federativo (ad esempio AD FS).

  • Tra il computer client Web e il server federativo (ad esempio AD FS)

    Ad esempio, è possibile monitorare i messaggi HTTP inviati dal computer client Web e le risposte del server federativo, che potrebbero includere token di sicurezza e le rispettive attestazioni.

Nota

Se si usa Fiddler, è possibile che il tentativo di autenticazione non riesca dopo tre richieste di autenticazione. Per evitare questo comportamento, vedere Utilizzo di Fiddler con SAML e SharePoint per superare le tre richieste di autenticazione.

Passaggio 5: Acquisire e analizzare il traffico di rete di autenticazione

Usare uno strumento per il traffico di rete, ad esempio Network Monitor 3.4, per acquisire e analizzare il traffico tra il computer client Web, il server che esegue SharePoint Server o SharePoint Foundation e i sistemi su cui SharePoint Server o SharePoint Foundation si basa per l'autenticazione basata sulle attestazioni.

Nota

In molti casi, l'autenticazione basata sulle attestazioni usa connessioni basate su HTTPS (Hypertext Transfer Protocol Secure), che crittografano i messaggi inviati tra computer. Non è possibile visualizzare i contenuti di messaggi crittografati con uno strumento per il traffico di rete senza usare un componente aggiuntivo o un'estensione. Ad esempio, per Network Monitor è necessario installare e configurare Network Monitor Decryption Expert. Per un'alternativa più semplice per tentare di decrittografare i messaggi HTTPS, usare uno strumento quale Fiddler sul server che ospita SharePoint Server o SharePoint Foundation, che può segnalare i messaggi HTTP non crittografati.

Un'analisi del traffico di rete può rivelare quanto segue:

  • Il set esatto di protocolli e messaggi inviati tra i computer coinvolti nel processo di autenticazione basata sulle attestazioni. I messaggi di risposta possono contenere informazioni sulla condizione di errore, che possono essere usate per determinare passaggi aggiuntivi per la risoluzione dei problemi.

  • Eventuale presenza di risposte corrispondenti ai messaggi di richiesta. Più messaggi di richiesta inviati che non ricevono risposta potrebbero indicare che il traffico di rete non raggiunge la destinazione prevista. In tale caso, verificare la presenza di problemi di indirizzamento dei pacchetti, di dispositivi di filtraggio dei pacchetti nel percorso (ad esempio un firewall) o del filtraggio di pacchetti sulla destinazione (ad esempio un firewall locale).

  • Eventuali tentativi di metodi multipli basati sulle attestazioni e determinazione dei metodi non riusciti.

Per l'autenticazione basata sulle attestazioni Windows è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il server che esegue SharePoint Server o SharePoint Foundation e il rispettivo controller di dominio

Per l'autenticazione basata su moduli è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il server che esegue SharePoint Server o SharePoint Foundation e il provider di appartenenze ASP.NET e il provider di ruoli

Per l'autenticazione basata sulle attestazioni SAML è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il computer client Web e il rispettivo provider di identità (ad esempio un controller di dominio AD DS)

  • Il computer client Web e il provider di federazione (ad esempio AD FS)

See also

Configurare l'autenticazione basata su moduli per un'applicazione Web basata sulle attestazioni in SharePoint 2013
Configurare l'autenticazione delle attestazioni basata su SAML con ADFS in SharePoint 2013