Panoramica dell'autenticazione per SharePoint Server

SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

SharePoint Server richiede l'autenticazione per i seguenti tipi di interazioni:

• Utenti che accedono a risorse di SharePoint locali

• App che accedono a risorse di SharePoint locali

• Server locali che accedono a risorse di SharePoint locali o viceversa

Informazioni sull'autenticazione di SharePoint in Microsoft 365.

Nota

In SharePoint Server Subscription Edition è ora supportata l'autenticazione OIDC 1.0. Per altre informazioni su come usare questo nuovo tipo di autenticazione, vedere Autenticazione di OpenID Connect 1.0.

Autenticazione utente in SharePoint Server

L'autenticazione utente è la convalida dell'identità di un utente tramite un provider di autenticazione, ovvero una directory o un database contenente le credenziali dell'utente e in grado di verificare se tali credenziali sono state inviate correttamente dall'utente. L'autenticazione utente avviene quando un utente tenta di accedere a una risorsa di SharePoint.

SharePoint Server supporta l'autenticazione basata sulle attestazioni.

Il risultato dell'autenticazione basata sulle attestazioni è un token di sicurezza basato sulle attestazioni, generato dal servizio token di sicurezza di SharePoint.

SharePoint Server supporta l'autenticazione delle attestazioni basata su Windows, basata su form, SAML (Security Assertion Markup Language) e Open ID Connect (OIDC). Per informazioni sul funzionamento dei metodi di autenticazione windows, basata su form e SAML, vedere i video seguenti. Per informazioni sul funzionamento dell'autenticazione OIDC, vedere la guida alla configurazione di OIDC.

Nota

Queste informazioni nei video si applicano a SharePoint Server 2013, SharePoint Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition.

Video sull'autenticazione delle attestazioni di Windows in SharePoint Server 2013 e 2016

Video sull'autenticazione delle attestazioni basata su moduli in SharePoint Server 2013 e 2016

Video sull'autenticazione delle attestazioni basata su SAML in SharePoint Server 2013 e 2016

Per ulteriori informazioni, vedere Pianificare i metodi di autenticazione degli utenti in SharePoint Server

Autenticazione app in SharePoint Server

L'autenticazione delle app è la convalida dell'identità di un'app di SharePoint remota e l'autorizzazione dell'app e di un utente associato per la richiesta di una risorsa di SharePoint protetta. L'autenticazione di un'app avviene quando un componente esterno di un'app di SharePoint Store o un'app del Catalogo app, ad esempio un server Web nella rete Intranet o in Internet, tenta di accedere a una risorsa di SharePoint protetta.

Si supponga, ad esempio, che un utente apra una pagina di SharePoint contenente un elemento IFRAME di un'app di SharePoint e che per l'elemento IFRAME sia necessario un componente esterno, ad esempio un server nella rete Intranet o in Internet, per l'accesso a una risorsa di SharePoint protetta al fine di eseguire il rendering della pagina. Il componente esterno dell'app di SharePoint deve essere autenticato e autorizzato affinché tramite SharePoint vengano fornite le informazioni richieste e tramite l'app possa essere eseguito il rendering della pagina per l'utente.

Se l'app SharePoint non richiede una risorsa protetta di SharePoint per eseguire il rendering della pagina per l'utente, l'autenticazione dell'app non è necessaria. Ad esempio, un'app SharePoint che fornisce informazioni sulle previsioni meteo e deve accedere solo a un server informazioni meteo su Internet non deve usare l'autenticazione dell'app.

L'autenticazione delle app è una combinazione di due processi:

• Autenticazione

  Verifica della corretta registrazione dell'applicazione con un broker di identità comunemente ritenuto attendibile

• Autorizzazione

  Verifica del fatto che l'applicazione e l'utente associato per la richiesta dispongano delle autorizzazioni appropriate per l'esecuzione dell'operazione, ad esempio l'accesso a una cartella o a un elenco o l'esecuzione di una query

Per eseguire l'autenticazione delle app, l'applicazione ottiene un token di accesso dal servizio di controllo di accesso di Microsoft Azure oppure un token di accesso autofirmato utilizzando un certificato considerato attendibile in SharePoint Server. Il token di accesso indica una richiesta di accesso a una risorsa di SharePoint specifica e contiene informazioni che identificano l'app e l'utente associato, anziché la convalida delle credenziali dell'utente. Il token di accesso non è un token di accesso.

Di seguito è illustrato un esempio di processo di autenticazione per le app di SharePoint Store:

1. Un utente apre una pagina Web di SharePoint contenente un elemento IFRAME di cui deve essere eseguito il rendering tramite un'app di SharePoint Store ospitata in Internet e che utilizza il servizio di controllo di accesso come broker di attendibilità. Per eseguire il rendering dell'elemento IFRAME per l'utente, è necessario l'accesso a una risorsa di SharePoint da parte dell'app di SharePoint Store.

2. Il servizio token di sicurezza di SharePoint richiede e riceve un token di contesto dal servizio di controllo di accesso.

3. La pagina Web richiesta viene inviata da SharePoint insieme al token di contesto al Web browser dell'utente.

4. Il Web browser dell'utente invia una richiesta per il contenuto dell'elemento IFRAME e il token di contesto al server applicazioni di SharePoint Store in Internet.

5. Il server applicazioni di SharePoint Store richiede e riceve un token di accesso dal servizio di controllo di accesso.

6. Il server applicazioni del SharePoint Store invia la richiesta della risorsa di SharePoint e il token di accesso al server di SharePoint.

7. Il server di SharePoint autorizza l'accesso, controllando le autorizzazioni dell'app, specificate al momento dell'installazione dell'app, e le autorizzazioni dell'utente associato.

8. Se le autorizzazioni lo consentono, i dati richiesti vengono inviati da SharePoint al server applicazioni di SharePoint Store in Internet.

9. Il server applicazioni di SharePoint Store in Internet invia i risultati IFRAME al Web browser, in cui viene eseguito il rendering della parte IFRAME della pagina per l'utente.

Si noti la modalità di accesso alle risorse del server di SharePoint da parte dell'app di SharePoint Store senza necessità di ottenere le credenziali dell'utente. L'accesso è stato autenticato tramite il servizio di controllo di accesso, considerato attendibile dal server che esegue SharePoint Server, e autorizzato tramite il set di autorizzazioni utente e dell'app.

Di seguito è illustrato un esempio di processo di autenticazione per le app del Catalogo app di SharePoint:

1. Un utente apre una pagina Web di SharePoint contenente un elemento IFRAME di cui deve essere eseguito il rendering tramite un'app del Catalogo app ospitata nella rete Intranet e che utilizza un certificato autofirmato per i token di accesso. Per eseguire il rendering dell'elemento IFRAME per l'utente, è necessario l'accesso a una risorsa di SharePoint da parte dell'app del Catalogo app.

2. La pagina richiesta viene inviata da SharePoint insieme all'elemento IFRAME al Web browser dell'utente.

3. Il Web browser dell'utente invia una richiesta per il contenuto dell'elemento IFRAME al server applicazioni del Catalogo app nella rete Intranet.

4. Il server applicazioni del Catalogo app autentica l'utente e genera un token di accesso, firmato con il certificato autofirmato.

5. Il server applicazioni del Catalogo app invia la richiesta della risorsa di SharePoint e il token di accesso al server di SharePoint.

6. Il server di SharePoint autorizza l'accesso, controllando le autorizzazioni dell'app, specificate al momento dell'installazione dell'app, e le autorizzazioni dell'utente associato.

7. Se le autorizzazioni lo consentono, i dati richiesti vengono inviati dal server di SharePoint al server applicazioni del Catalogo app nella rete Intranet.

8. Il server applicazioni del Catalogo app invia i risultati IFRAME al Web browser, in cui viene eseguito il rendering della parte IFRAME della pagina per l'utente.

Nota

Le app del Catalogo app consentono l'utilizzo sia del servizio di controllo di accesso che di un certificato autofirmato per i token di accesso.

Per altre informazioni, vedere Pianificare l'autenticazione delle app in SharePoint Server.

Autenticazione da server a server in SharePoint Server

L'autenticazione da server a server è la convalida della richiesta di risorse di un server basata su una relazione di trust stabilita tra il servizio token di sicurezza del server che esegue SharePoint Server e il servizio token di sicurezza di un altro server che supporta il protocollo da server a server OAuth, ad esempio in locale che esegue SharePoint Server, Exchange Server 2016, Skype for Business 2016 o Servizio flusso di lavoro di Azure, e SharePoint Server in esecuzione in Microsoft 365. In base a questa relazione di trust, un server richiedente può accedere alle risorse protette nel server SharePoint per conto di un account utente specificato, soggetto alle autorizzazioni del server e dell'utente.

Un server che esegue Exchange Server 2016 può ad esempio richiedere le risorse di un server che esegue SharePoint Server per un account utente specifico. Questo provisioning contrasta con l'autenticazione dell'app, in cui l'app non ha accesso alle informazioni sulle credenziali dell'account utente. L'utente può o meno avere effettuato l'accesso al server che esegue la richiesta della risorsa, a seconda del servizio e della richiesta.

Quando un server che esegue SharePoint Server tenta di accedere a una risorsa in un server oppure quando un server tenta di accedere a una risorsa in un server che esegue SharePoint Server, la richiesta di accesso in ingresso deve essere autenticata in modo che il server accetti tale richiesta e i dati successivi. L'autenticazione da server a server verifica che il server che esegue SharePoint Server e l'utente che rappresenta siano attendibili.

Il token usato per l'autenticazione da server a server è un token da server a server, non un token di accesso. Il token da server a server contiene informazioni sul server che richiede l'accesso e sull'account utente per conto del quale viene eseguita la richiesta dal server.

Di seguito è illustrato un esempio del processo di base per i server locali:

1. Un'utente apre una pagina Web di SharePoint che richiede informazioni da un altro server (ad esempio in caso di visualizzazione dell'elenco di attività sia da SharePoint Server che da Exchange Server 2016).

2. SharePoint Server genera un token S2S.

3. SharePoint Server invia il token S2S all'altro server.

4. L'altro server convalida il token da server a server.

5. L'altro server invia un messaggio a SharePoint Server per indicare la validità del token da server a server inviato.

6. Il servizio nel server che esegue SharePoint Server accede ai dati nel server.

7. Il servizio nel server che esegue SharePoint Server mostra la pagina dell'utente.

Di seguito è illustrato un processo di esempio quando entrambi i server sono in esecuzione in Microsoft 365:

1. Un utente apre una pagina Web di SharePoint che richiede informazioni da un altro server (ad esempio in caso di visualizzazione dell'elenco di attività sia da SharePoint che da Exchange Online).

2. SharePoint richiede e riceve un token da server a server (S2S) dal servizio di controllo di accesso.

3. SharePoint invia il token S2S al server Microsoft 365.

4. Il server Microsoft 365 verifica l'identità dell'utente nel token da server a server con il servizio di controllo di accesso.

5. Il server Microsoft 365 invia un messaggio a SharePoint per indicare la validità del token S2S inviato.

6. Il servizio in SharePoint accede ai dati nel server Microsoft 365.

7. Il servizio in SharePoint esegue il rendering della pagina per l'utente.

Per ulteriori informazioni, vedere Pianificare l'autenticazione da server a server in SharePoint Server.