Autenticazione da server a server e profili utente in SharePoint Server
**Si applica a:**SharePoint Server 2013, SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-08-24
Sintesi: informazioni su come pianificare i profili utente per l'autenticazione da server a server in SharePoint Server 2013 e SharePoint Server 2016.
L'autenticazione da server a server consente ai server in grado di eseguire questo tipo di autenticazione di richiedere e accedere reciprocamente a risorse per conto dell'utente. Pertanto, il server che esegue SharePoint Server e che serve la richiesta di risorse in ingresso deve essere in grado di completare due attività:
Risolvere la richiesta in uno specifico utente di SharePoint
Determinare il set di attestazioni di ruolo associate all'utente, un processo noto come riattivazione dell'identità dell'utente
Per riattivare l'identità di un utente, un server in grado di eseguire l'autenticazione da server a server richiede accesso alle risorse di SharePoint. SharePoint Server acquisisce le attestazioni del token di sicurezza in ingresso e le risolve in un utente di SharePoint specifico. Per impostazione predefinita, SharePoint Server utilizza l'applicazione di servizio profili utente predefinita per risolvere l'identità.
Gli attributi degli utenti essenziali per individuare il profilo utente corrispondente sono i seguenti:
ID di sicurezza (SID) di Windows
Nome dell'entità utente (UPN) di Servizi di dominio Active Directory
Indirizzo SMTP (Simple Mail Transfer Protocol)
Indirizzo SIP (Session Initiation Protocol)
Pertanto, almeno uno di questi attributi dell'utente deve essere aggiornato nei profili.
Nota
Solo per SharePoint Server 2013, è consigliabile una sincronizzazione periodica degli archivi di identità con l'applicazione del servizio profili utente. Per ulteriori informazioni, vedere Pianificare la sincronizzazione dei profili per SharePoint Server 2013.
Inoltre, SharePoint Server prevede che esista una sola voce corrispondente nell'applicazione di servizio profili utente per una determinata query di ricerca basata su questi quattro attributi. In caso contrario, viene restituita una condizione di errore indicante che sono stati trovati più profili utente. Pertanto, è necessario eliminare periodicamente i profili utente obsoleti nell'applicazione di servizio profili utente per evitare che più profili condividano i quattro attributi.
Se un profilo utente e le relative appartenenze a gruppi rilevanti non sono sincronizzate, SharePoint Server potrebbe negare per errore l'accesso a una determinata risorsa. Assicurarsi pertanto che le appartenenze a gruppi siano sincronizzate con l'applicazione di servizio profili utenti. Per le attestazioni di Windows, l'applicazione di servizio profili utente importa i quattro attributi utente chiave descritti in precedenza e le appartenenze a gruppi.
Per l'autenticazione di attestazioni basata su SAML (Security Assertion Markup Language) e quella basata su moduli, è necessario effettuare una delle operazioni seguenti:
Creare una connessione di sincronizzazione a un'origine dati supportata dall'applicazione di servizio profili utente e associare la connessione a un provider di autenticazione SAML o basato su moduli specifico. Inoltre, è necessario mappare gli attributi dell'archivio utenti ai quattro attributi descritti in precedenza oppure il numero di attributi che è possibile ottenere dall'origine dati.
Creare e distribuire un componente personalizzato per eseguire la sincronizzazione manuale. Si tratta dell'opzione più probabile per gli utenti che non utilizzano Windows. Si noti che il provider di autenticazione basato su moduli o SAML viene richiamato quando l'identità dell'utente viene riattivata per ottenere le relative attestazioni di ruolo.
Riattivazione di utenti per i server richiedenti
Se il server richiedente esegue Exchange Server 2016 o Skype for Business Server 2015, che utilizza metodi di autenticazione di Windows standard, il token di sicurezza in ingresso inviato dal server richiedente contiene l'UPN dell'utente e può includere altri attributi quali SMTP, SIP e il SID dell'identità dell'utente. SharePoint Server, il server ricevente, utilizza queste informazioni per individuare il profilo utente.
Per un server richiedente che esegue SharePoint Server, il server ricevente riattiva l'utente tramite i seguenti metodi di autenticazione basata sulle attestazioni:
Per l'autenticazione delle attestazioni di Windows, SharePoint Server utilizza attributi di Servizi di dominio Active Directory per trovare il profilo dell'utente (ad esempio, i valori UPN o SID) e le relative attestazioni di ruolo (appartenenza a gruppi).
Per l'autenticazione basata su moduli, SharePoint Server utilizza l'attributo Account per individuare il profilo dell'utente e quindi richiama il provider di ruoli e tutti gli altri provider di attestazioni personalizzati per ottenere il set di attestazioni di ruolo corrispondente. Ad esempio, SharePoint Server utilizza attributi inclusi in Servizi di dominio Active Directory, in un database ad esempio di SQL Server, o in un archivio dati LDAP (Lightweight Directory Access Protocol) per trovare il profilo che rappresenta l'utente (ad esempio i valori UPN o SID). Il componente per la sincronizzazione del provider basato su moduli deve popolare i profili utente almeno con il nome account dell'utente. È inoltre possibile creare un provider di attestazioni personalizzato per importare ulteriori attestazioni come attributi nei profili utente.
Per l'autenticazione di attestazioni basata su SharePoint Server utilizza l'attributo AccountName per individuare il profilo dell'utente e quindi richiama il provider SAML e tutti gli altri provider di attestazioni personalizzati per ottenere il set di attestazioni di ruolo corrispondente. L'attestazione dell'identità dell'utente deve essere mappata all'attributo Account nei profili utente tramite il provider di attestazioni SAML corrispondente, il quale deve essere configurato per inserire i dati nei profili utente. Analogamente, un'attestazione UPN deve essere mappata all'attributo UPN e l'attestazione SMTP all'attributo SMTP. Per duplicare il set di attestazioni che l'utente in genere ottiene dal provider di identità, è necessario aggiungere queste attestazioni, incluse quelle di ruolo, tramite l'aumento delle attestazioni. Un provider di attestazioni personalizzato deve importare tali attestazioni come attributi nei profili utente.
See also
Pianificare l'autenticazione da server a server in SharePoint Server
Panoramica dell'autenticazione per SharePoint Server