Configurare un dispositivo proxy inverso per un ambiente ibrido di SharePoint Server
**Si applica a:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-06-22
Sintesi: informazioni sui dispositivi proxy inverso supportati per le distribuzioni ibride di SharePoint Server.
Questo articolo fa parte di una roadmap di procedure per configurare soluzioni ibride di SharePoint. Accertarsi di seguire una roadmap quando si eseguono le procedure illustrate in questo articolo.
In questo argomento viene fornita una panoramica del ruolo dei dispositivi proxy inverso in una distribuzione ibrida di SharePoint Server, con collegamenti a istruzioni di configurazione specifiche dei singoli dispositivi.
Contenuto dell'articolo:
Ruolo di un proxy inverso in una distribuzione ibrida di SharePoint Server
Requisiti generali del proxy inverso
Dispositivi proxy inverso supportati
Ruolo di un proxy inverso in una distribuzione ibrida di SharePoint Server
SharePoint Server e SharePoint Online possono essere configurati in una soluzione ibrida per combinare in modo sicuro i risultati di ricerca e i dati esterni provenienti da Servizi di integrazione applicativa Microsoft. I dispositivi proxy inverso svolgono un ruolo importante nella configurazione sicura di una distribuzione ibrida di SharePoint Server quando il traffico in ingresso da SharePoint Online deve essere inoltrato alla farm di SharePoint Server locale. Se ad esempio un utente federato utilizza un portale di ricerca di SharePoint Online configurato per restituire risultati di ricerca ibrida, un dispositivo proxy inverso intercetta e preautentica la richiesta di contenuto di SharePoint Server locale e quindi la inoltra a SharePoint Server. Il dispositivo proxy inverso in una topologia ibrida pertanto fornisce un endpoint sicuro per il traffico in ingresso con la crittografia SSL e l'autenticazione del certificato client.
Come funziona la connettività in ingresso
I diagrammi seguenti mostrano come un dispositivo proxy inverso viene utilizzato per la connettività in ingresso.
Con una soluzione di ricerca in ingresso, solo il sito di SharePoint Online presenta risultati della ricerca da entrambi i percorsi.
Connettività in ingresso
In questo esempio, un utente federato su Internet utilizza il portale di ricerca di SharePoint Online per ricercare contenuto sia in SharePoint Online che nel server SharePoint Server locale della propria azienda.
Un utente federato su Internet ricerca contenuto presente nel server locale della propria azienda.
Nell'elenco che segue vengono descritti i passaggi illustrati nella figura precedente.
Da Internet un utente federato accede al sito di SharePoint Online.
SharePoint Online esegue query nell'indice di ricerca in SharePoint Online e invia inoltre la query di ricerca all'URL esterno della farm di SharePoint locale che si risolve nell'endpoint esterno del dispositivo proxy inverso.
Il dispositivo proxy inverso esegue la preautenticazione della richiesta con il certificato SSL di canale sicuro e la inoltra all'URL dell'applicazione Web principale.
L'account del servizio della farm di SharePoint esegue query nell'indice di ricerca locale e applica la limitazione per motivi di sicurezza ai risultati di ricerca nel contesto dell'utente che ha inviato la richiesta di ricerca.
I risultati della ricerca a cui è stata applicata la limitazione per motivi di sicurezza vengono restituiti a SharePoint Online e visualizzati nella pagina dei risultati di ricerca. Questo set di risultati include risultati di ricerca dall'indice di ricerca di SharePoint Online e dall'indice di ricerca della farm di SharePoint Server.
Nota
La connettività in ingresso consente l'accesso al contenuto e alle risorse della farm di SharePoint Server locale da Internet solo se l'utente dispone di una connessione sicura attiva alla rete Intranet su VPN o DirectAccess oppure se la farm di SharePoint Server è configurata in una topologia Extranet.
Per una descrizione più dettagliata di questo processo, con indicazioni sull'utilizzo dei certificati e sul funzionamento dell'autenticazione e dell'autorizzazione in questa topologia, vedere il poster della topologia ibrida di SharePoint 2013 sui certificati e sul flusso di autenticazione e autorizzazione.
Requisiti generali del proxy inverso
In uno scenario ibrido di SharePoint Server il proxy inverso deve essere in grado di effettuare le seguenti operazioni:
Supportare l'autenticazione del certificato client con un certificato SSL SAN o con carattere jolly.
Supportare l'autenticazione pass-through per OAuth 2.0, incluse transazioni con token portanti OAuth senza limiti.
Accettare traffico in ingresso non richiesto sulla porta TCP 443 (HTTPS).
Suggerimento
Per supportare la connettività ibrida, non devono essere aperte altre porte oltre alla porta TCP 443 nell'endpoint esterno del proxy inverso.
Associare un certificato SSL SAN o con carattere jolly a un endpoint pubblicato.
Inoltrare traffico a una farm di SharePoint Server locale o al bilanciamento del carico senza che vengano riscritte le intestazioni dei pacchetti.
Dispositivi proxy inverso supportati
Nella tabella riportata di seguito sono elencati i dispositivi proxy inverso attualmente supportati per le distribuzioni ibride di SharePoint Server. L'elenco verrà aggiornato man mano che verrà testata la supportabilità di nuovi dispositivi. Seguire i passaggi descritti nell'articolo sulla configurazione per il dispositivo proxy inverso che si desidera utilizzare. Dopo aver completato la configurazione del dispositivo proxy inverso, tornare alla propria roadmap.
Dispositivi proxy inverso supportati | Articolo sulla configurazione | Ulteriori informazioni |
---|---|---|
Windows Server 2012 R2 con Proxy applicazione Web (WA-P) |
Configurare il proxy di applicazioni Web per un ambiente ibrido |
Proxy applicazione Web (WA-P) è un servizio di accesso remoto di Windows Server 2012 R2 che pubblica applicazioni Web con cui gli utenti possono interagire da molti dispositivi. Importante Per utilizzare Proxy applicazione Web come dispositivo proxy inverso in un ambiente ibrido di SharePoint Server, è necessario inoltre distribuire ADFS in Windows Server 2012 R2. |
Forefront Threat Management Gateway (TMG) 2010 |
Forefront TMG 2010 è una soluzione gateway Web completa che offre funzionalità di proxy inverso sicure. Nota Forefront TMG 2010 non viene più venduto da Microsoft, ma sarà supportato fino al 14 aprile 2020. Per ulteriori informazioni, vedere le informazioni sul ciclo di vita del supporto Microsoft per TMG 2010. |
|
F5 BIG-IP |
Abilitazione della ricerca ibrida di SharePoint 2013 con BIG-IP |
Contenuto esterno gestito da F5 Networks. |
Citrix NetScaler |
Guida alla distribuzione ibrida di Microsoft SharePoint 2013 e di Citrix NetScaler |
Contenuto esterno gestito da Citrix. |