Panoramica dell'autenticazione per SharePoint Server
**Si applica a:**SharePoint Server 2013, SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-06-21
Sintesi: informazioni sul funzionamento dell'autenticazione utente, delle app e S2S in SharePoint Server 2013 e SharePoint Server 2016.
SharePoint Server richiede l'autenticazione per i seguenti tipi di interazioni:
Utenti che accedono a risorse di SharePoint locali
App che accedono a risorse di SharePoint locali
Server locali che accedono a risorse di SharePoint locali o viceversa
Contenuto dell'articolo:
Autenticazione utente in SharePoint Server
Autenticazione app in SharePoint Server
Autenticazione da server a server in SharePoint Server
Autenticazione utente in SharePoint Server
L'autenticazione utente è la convalida dell'identità di un utente tramite un provider di autenticazione, ovvero una directory o un database contenente le credenziali dell'utente e in grado di verificare se tali credenziali sono state inviate correttamente dall'utente. L'autenticazione utente avviene quando un utente tenta di accedere a una risorsa di SharePoint.
SharePoint Server supporta l'autenticazione basata sulle attestazioni.
Il risultato dell'autenticazione basata sulle attestazioni è un token di sicurezza basato sulle attestazioni, generato dal servizio token di sicurezza di SharePoint.
SharePoint Server supporta l'autenticazione delle attestazioni di Windows, l'autenticazione delle attestazioni basata su moduli e l'autenticazione delle attestazioni basata su SAML (Security Assertion Markup Language (SAML). Per informazioni sul funzionamento di questi tre metodi di autenticazione, vedere i video seguenti.
Nota
Le informazioni presenti nei video si applicano a SharePoint Server 2013 e SharePoint Server 2016.
Video sull'autenticazione delle attestazioni di Windows in SharePoint Server 2013 e 2016
Video sull'autenticazione delle attestazioni basata su moduli in SharePoint Server 2013 e 2016
Video sull'autenticazione delle attestazioni basata su SAML in SharePoint Server 2013 e 2016
Per ulteriori informazioni, vedere Pianificare i metodi di autenticazione degli utenti in SharePoint Server.
Autenticazione app in SharePoint Server
L'autenticazione delle app è la convalida dell'identità di un'app di SharePoint remota e l'autorizzazione dell'app e di un utente associato per la richiesta di una risorsa di SharePoint protetta. L'autenticazione di un'app avviene quando un componente esterno di un'app di SharePoint Store o un'app del Catalogo app, ad esempio un server Web nella rete Intranet o in Internet, tenta di accedere a una risorsa di SharePoint protetta.
Si supponga, ad esempio, che un utente apra una pagina di SharePoint contenente un elemento IFRAME di un'app di SharePoint e che per l'elemento IFRAME sia necessario un componente esterno, ad esempio un server nella rete Intranet o in Internet, per l'accesso a una risorsa di SharePoint protetta al fine di eseguire il rendering della pagina. Il componente esterno dell'app di SharePoint deve essere autenticato e autorizzato affinché tramite SharePoint vengano fornite le informazioni richieste e tramite l'app possa essere eseguito il rendering della pagina per l'utente.
Si noti che se l'app di SharePoint non richiede una risorsa di SharePoint protetta per l'esecuzione del rendering della pagina per l'utente, l'autenticazione dell'app non è necessaria. Per un'app di SharePoint che fornisce informazioni sulle previsioni meteo e richiede l'accesso solo a un server di informazioni meteo in Internet non è ad esempio necessaria l'autenticazione dell'app.
L'autenticazione delle app è una combinazione di due processi:
Autenticazione
Verifica della corretta registrazione dell'applicazione con un broker di identità comunemente ritenuto attendibile
Autorizzazione
Verifica del fatto che l'applicazione e l'utente associato per la richiesta dispongano delle autorizzazioni appropriate per l'esecuzione dell'operazione, ad esempio l'accesso a una cartella o a un elenco o l'esecuzione di una query
Per eseguire l'autenticazione delle app, l'applicazione ottiene un token di accesso dal servizio di controllo di accesso di Microsoft Azure oppure un token di accesso autofirmato utilizzando un certificato considerato attendibile in SharePoint Server. Il token di accesso indica una richiesta di accesso a una risorsa di SharePoint specifica e contiene informazioni che identificano l'app e l'utente associato, anziché la convalida delle credenziali dell'utente. Il token di accesso non è un token per l'esecuzione dell'accesso.
Di seguito è illustrato un esempio di processo di autenticazione per le app di SharePoint Store:
Un utente apre una pagina Web di SharePoint contenente un elemento IFRAME di cui deve essere eseguito il rendering tramite un'app di SharePoint Store ospitata in Internet e che utilizza il servizio di controllo di accesso come broker di attendibilità. Per eseguire il rendering dell'elemento IFRAME per l'utente, è necessario l'accesso a una risorsa di SharePoint da parte dell'app di SharePoint Store.
Il servizio token di sicurezza di SharePoint richiede e riceve un token di contesto dal servizio di controllo di accesso.
La pagina Web richiesta viene inviata da SharePoint insieme al token di contesto al Web browser dell'utente.
Il Web browser dell'utente invia una richiesta per il contenuto dell'elemento IFRAME e il token di contesto al server applicazioni di SharePoint Store in Internet.
Il server applicazioni di SharePoint Store richiede e riceve un token di accesso dal servizio di controllo di accesso.
Il server applicazioni del SharePoint Store invia la richiesta della risorsa di SharePoint e il token di accesso al server di SharePoint.
Il server di SharePoint autorizza l'accesso, controllando le autorizzazioni dell'app, specificate al momento dell'installazione dell'app, e le autorizzazioni dell'utente associato.
Se le autorizzazioni lo consentono, i dati richiesti vengono inviati da SharePoint al server applicazioni di SharePoint Store in Internet.
Il server applicazioni di SharePoint Store in Internet invia i risultati IFRAME al Web browser, in cui viene eseguito il rendering della parte IFRAME della pagina per l'utente.
Si noti la modalità di accesso alle risorse del server di SharePoint da parte dell'app di SharePoint Store senza necessità di ottenere le credenziali dell'utente. L'accesso è stato autenticato tramite il servizio di controllo di accesso, considerato attendibile dal server che esegue SharePoint Server, e autorizzato tramite il set di autorizzazioni utente e dell'app.
Di seguito è illustrato un esempio di processo di autenticazione per le app del Catalogo app di SharePoint:
Un utente apre una pagina Web di SharePoint contenente un elemento IFRAME di cui deve essere eseguito il rendering tramite un'app del Catalogo app ospitata nella rete Intranet e che utilizza un certificato autofirmato per i token di accesso. Per eseguire il rendering dell'elemento IFRAME per l'utente, è necessario l'accesso a una risorsa di SharePoint da parte dell'app del Catalogo app.
La pagina richiesta viene inviata da SharePoint insieme all'elemento IFRAME al Web browser dell'utente.
Il Web browser dell'utente invia una richiesta per il contenuto dell'elemento IFRAME al server applicazioni del Catalogo app nella rete Intranet.
Il server applicazioni del Catalogo app autentica l'utente e genera un token di accesso, firmato con il certificato autofirmato.
Il server applicazioni del Catalogo app invia la richiesta della risorsa di SharePoint e il token di accesso al server di SharePoint.
Il server di SharePoint autorizza l'accesso, controllando le autorizzazioni dell'app, specificate al momento dell'installazione dell'app, e le autorizzazioni dell'utente associato.
Se le autorizzazioni lo consentono, i dati richiesti vengono inviati dal server di SharePoint al server applicazioni del Catalogo app nella rete Intranet.
Il server applicazioni del Catalogo app invia i risultati IFRAME al Web browser, in cui viene eseguito il rendering della parte IFRAME della pagina per l'utente.
Nota
Le app del Catalogo app consentono l'utilizzo sia del servizio di controllo di accesso che di un certificato autofirmato per i token di accesso.
Per ulteriori informazioni, vedere Pianificare l'autenticazione delle app in SharePoint Server.
Autenticazione da server a server in SharePoint Server
L'autenticazione da server a server è la convalida di una richiesta del server per alcune risorse, basata su una relazione di trust stabilita tra il servizio token di sicurezza del server che esegue SharePoint Server e il servizio token di sicurezza di un altro server che supporta il protocollo da server a server, ad esempio SharePoint Server, Exchange Server 2016, Skype for Business 2016 o il servizio flusso di lavoro di Azure in esecuzione localmente e SharePoint Server in esecuzione in Office 365 In base a questa relazione di trust, un server richiedente può accedere a risorse protette nel server di SharePoint al posto di un account utente specificato, a condizione che ciò sia consentito dalle autorizzazioni utente e del server.
Un server che esegue Exchange Server 2016 può ad esempio richiedere le risorse di un server che esegue SharePoint Server per un account utente specifico. Ciò è in contrasto con l'autenticazione delle app, in cui non è necessario l'accesso dell'app alle informazioni sulle credenziali dell'account utente. L'utente può o meno avere effettuato l'accesso al server che esegue la richiesta della risorsa, a seconda del servizio e della richiesta.
Quando un server che esegue SharePoint Server tenta di accedere a una risorsa in un server oppure quando un server tenta di accedere a una risorsa in un server che esegue SharePoint Server, la richiesta di accesso in ingresso deve essere autenticata in modo che il server accetti tale richiesta e i dati successivi. L'autenticazione da server a server consente di verificare l'attendibilità del server che esegue SharePoint Server e dell'utente che esso rappresenta.
Il token utilizzato per l'autenticazione da server a server è un token da server a server, non un token per l'esecuzione dell'accesso. Il token da server a server contiene informazioni sul server che richiede l'accesso e sull'account utente per conto del quale viene eseguita la richiesta dal server.
Di seguito è illustrato un esempio del processo di base per i server locali:
Un'utente apre una pagina Web di SharePoint che richiede informazioni da un altro server (ad esempio in caso di visualizzazione dell'elenco di attività sia da SharePoint Server che da Exchange Server 2016).
SharePoint Server genera un token S2S.
SharePoint Server invia il token S2S all'altro server.
L'altro server convalida il token da server a server.
L'altro server invia un messaggio a SharePoint Server per indicare la validità del token da server a server inviato.
Il servizio nel server che esegue SharePoint Server accede ai dati nel server.
Il servizio nel server che esegue SharePoint Server mostra la pagina dell'utente.
Di seguito è illustrato un processo di esempio quando entrambi i server sono in esecuzione in Office 365:
Un'utente apre una pagina Web di SharePoint che richiede informazioni da un altro server (ad esempio in caso di visualizzazione dell'elenco di attività sia da SharePoint Online che da Exchange Online).
SharePoint Online richiede e riceve un token da server a server dal servizio di controllo di accesso.
Il token da server a server viene inviato da SharePoint Online al server Office 365.
Il server Office 365 verifica l'identità dell'utente nel token da server a server con il servizio di controllo di accesso.
Il server Office 365 invia un messaggio a SharePoint Online per indicare la validità del token da server a server inviato.
Il servizio in SharePoint Online accede ai dati nel server Office 365.
Il servizio in SharePoint Online esegue il rendering della pagina per l'utente.
Per ulteriori informazioni, vedere Pianificare l'autenticazione da server a server in SharePoint Server.