Condividi tramite


Pianificare l'autenticazione da server a server in SharePoint Server

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

L'autenticazione da server a server consente ai server in grado di eseguire questo tipo di autenticazione di richiedere e accedere a risorse da uno dall'altro per conto dell'utente. Nei server in grado di eseguire l'autenticazione da server a server viene eseguito SharePoint Server, Exchange Server 2016, Skype for Business Server 2015, Azure Workflow Service o altro software che supporta il protocollo di autenticazione da server a server Microsoft. L'autenticazione da server a server consente un nuovo set di funzionalità e scenari che può essere ottenuto tramite l'accesso e la condivisione di risorse tra server.

Per fornire le risorse richieste da un altro server che può eseguire l'autenticazione da server a server, il server con SharePoint Server deve eseguire le operazioni seguenti:

  • Verificare che il server che invia le richieste sia attendibile. Per autenticare il server che invia le richieste, è necessario configurare il server che esegue SharePoint Server perché consideri attendibile il server che invia le richieste. Questa è una relazione di trust unidirezionale.

  • Verificare che il tipo di accesso richiesto dal server sia autorizzato. Per autorizzare l'accesso, è necessario configurare il server che esegue SharePoint Server per il set di autorizzazioni appropriato per le risorse richieste.

Si noti che il protocollo di autenticazione da server a server in SharePoint Server è separato dall'autenticazione utente e non viene utilizzato come protocollo di autenticazione dell'accesso dagli utenti di SharePoint. Il protocollo di autenticazione da server a server, che utilizza il protocollo Open Authorization (OAuth) 2.0, non viene aggiunto al set di protocolli di accesso utente, come ad esempio WS-Federation. Non sono disponibili nuovi protocolli di autenticazione utente in SharePoint Server. Il protocollo di autenticazione da server a server non è incluso nell'elenco dei provider di identità.

Per informazioni su come pianificare l'applicazione del servizio profili utente per l'autenticazione da server a server, vedere Autenticazione da server a server e profili utente in SharePoint Server.

Introduzione

La pianificazione dell'autenticazione da server a server è costituita dalle attività seguenti:

Importante

Le applicazioni Web che includono endpoint di autenticazione da server a server (per le richieste da server a server in ingresso) o che inviano richieste da server a server in uscita ad altri server devono essere configurate per l'utilizzo di Secure Sockets Layer (SSL).

Nota

È necessario pianificare l'autenticazione da server a server in un server che esegue SharePoint Server. solo se si configurano uno o più scenari di autenticazione da server a server che ne richiedono l'utilizzo.

Identificare il set di relazioni di trust

Dal punto di vista di un server che esegue SharePoint Server., una relazione di trust con un altro server che può eseguire l'autenticazione da server a server implica i passaggi seguenti:

  • Il server che esegue SharePoint Server. considera attendibili le richieste provenienti da un server che può eseguire l'autenticazione da server a server (in ingresso nel server che esegue SharePoint Server).

    A questo scopo, è necessario configurare il server che esegue SharePoint Server perché consideri attendibile il server che invia le richieste.

  • Il server che può eseguire l'autenticazione da server a server considera attendibili le richieste provenienti da un server che esegue SharePoint Server (in uscita dal server che esegue SharePoint Server.).

    A questo scopo, è necessario configurare il server che può eseguire l'autenticazione da server a server perché consideri attendibile il server che invia le richieste ed esegue SharePoint Server.

Per ogni farm che esegue SharePoint Server, creare un elenco dei server in grado di eseguire l'autenticazione da server a server e che riceveranno richieste in ingresso in base agli scenari di autenticazione da server a server che interessano la farm. Vi sono due casi di relazioni di autenticazione da server a server da esaminare.

Caso 1: le farm sono locali

Se la farm che può eseguire l'autenticazione da server a server è locale, è necessario configurare la farm che esegue SharePoint Server. Utilizzare il cmdlet PowerShell di New-SPTrustedSecurityTokenIssuer per aggiungere un endpoint dei metadati JSON (JavaScript Object Notation) del server che può eseguire l'autenticazione da server a server al server che esegue SharePoint Server. Se il server in grado di eseguire l'autenticazione da server a server è un altro server che esegue SharePoint Server, l'endpoint dei metadati JSON è nel formato: https://< HostName>/_layouts/15/metadata/json/1.

Caso 2: le farm fanno parte di una tenancy Microsoft 365

Se la farm che esegue SharePoint Server e l'altro server che può eseguire l'autenticazione da server a server fanno entrambi parte di un'organizzazione Microsoft 365, non è necessaria ulteriore configurazione per l'autenticazione da server a server.

Dopo avere determinato l'insieme di server che richiedono l'autenticazione da server a server, vedere Configure server-to-server authentication in SharePoint Server per configurare le relazioni di trust da server a server.

Vedere anche

Concetti

Panoramica dell'autenticazione per SharePoint Server

Autenticazione da server a server e profili utente in SharePoint Server