Configurare l'autenticazione SSO Web mediante ADFS (Office SharePoint Server)

Contenuto dell'articolo:

• Informazioni sui sistemi di autenticazione federativa

• Prima di iniziare

• Configurazione dell'applicazione Web Extranet per utilizzare l'autenticazione SSO Web

• Concessione agli utenti dell'accesso al sito Web Extranet

• Utilizzo di Selezione utenti

• Utilizzo di attestazioni UPN e tramite posta elettronica

• Utilizzo di gruppi e di attestazioni di organizzazione basate su gruppo

Informazioni sui sistemi di autenticazione federativa

Microsoft Office SharePoint Server 2007 garantisce il supporto per scenari di autenticazione federata in cui il sistema di autenticazione non è locale per il computer che ospita Microsoft Office SharePoint Server 2007. I sistemi di autenticazione federata sono anche noti come sistemi Single Sign-on (SSO) Web. Grazie a Active Directory Federation Services (ADFS), gli utenti di una società possono accedere ai server ospitati da una società diversa utilizzando i relativi account di Active Directory esistenti. ADFS stabilisce inoltre una relazione di trust tra le due società e garantisce un singolo facile accesso per gli utenti finali. ADFS si basa sui reindirizzamenti 302 per autenticare gli utenti finali. Dopo l'autenticazione, viene emesso un token di autenticazione (cookie) per gli utenti.

Prima di iniziare

Prima di utilizzare ADFS per configurare l'autenticazione SSO Web per l'applicazione Web Extranet, è importante acquisire familiarità con le risorse seguenti:

• Post del blog del team Microsoft SharePoint relativo alla configurazione di più provider di autenticazione (https://blogs.msdn.com/sharepoint/archive/2006/08/16/configuring-multiple-authentication-providers-for-sharepoint-2007.aspx) (informazioni in lingua inglese) .

• Guida dettagliata di Active Directory Federation Services (https://go.microsoft.com/fwlink/?linkid=145396&clcid=0x410). I nomi dei server e gli esempi utilizzati in questo articolo si basano su tale guida dettagliata, in cui viene descritto come configurare ADFS in un ambiente di lavoro di piccole dimensioni. In questo ambiente alla foresta Trey Research viene aggiunto un nuovo server denominato Trey-SharePoint. Eseguire la procedura descritta nella guida per configurare l'infrastruttura ADFS. Poiché in questo articolo viene descritto come configurare Microsoft Office SharePoint Server 2007 in modalità applicazione in grado di riconoscere attestazioni, non è tuttavia necessario eseguire l'intera procedura per la creazione di applicazioni agente basate su token di Windows NT illustrata nella guida dettagliata.

Nota

Quando si utilizza Selezione utenti per aggiungere utenti a Microsoft Windows SharePoint Services 3.0, Microsoft Windows SharePoint Services 3.0 convalida gli utenti con il provider, che in questo esempio è ADFS. È pertanto necessario configurare il server federativo prima di configurare Microsoft Windows SharePoint Services 3.0.

Importante

Il processo di configurazione è incluso in un file VBScript che è possibile utilizzare per configurare Microsoft Office SharePoint Server 2007 per l'autenticazione tramite ADFS. Questo file di script è incluso nel file SetupSharePointADFS.zip disponibile nella sezione Attachments del blog Microsoft SharePoint Products and Technologies. Per ulteriori informazioni sulla configurazione di SharePoint per l'autenticazione tramite ADFS mediante uno script, vedere la pagina del blog A script to configure SharePoint to use ADFS for authentication (informazioni in lingua inglese).

Configurazione dell'applicazione Web Extranet per utilizzare l'autenticazione SSO Web

1. Installare l'agente Web per applicazioni in grado di riconoscere attestazioni.

2. Scaricare e installare l'hotfix per ADFS descritto in Il provider di ruoli e il provider di appartenenza non possono essere chiamati da Windows SharePoint Services 3.0 su un computer Windows Server 2003 R2 di base che esegue ADFS e Microsoft Windows SharePoint Services 3.0 (http https://go.microsoft.com/fwlink/?linkid=145397&clcid=0x410). Questo hotfix verrà incluso in Windows Server 2003 Service Pack 2 (SP2).

3. Installare Microsoft Office SharePoint Server 2007, configurare tutti i servizi e i server nella farm e quindi creare una nuova applicazione Web. Per impostazione predefinita questa applicazione Web viene configurata per l'utilizzo dell'autenticazione di Windows ed è il punto di ingresso per gli utenti della rete Intranet che accedono al sito. Nell'esempio utilizzato in questo articolo il sito è denominato http://trey-moss.

4. Estendere l'applicazione Web creata al passaggio 2 in un'altra area. Nella pagina Gestione applicazioni del sito Web Amministrazione centrale SharePoint fare clic suCrea o estendi applicazione Web, su Estendi applicazione Web esistente e quindi eseguire le operazioni seguenti:

   1. Aggiungere un'intestazione host. Questo è il nome DNS con cui il sito sarà noto agli utenti della rete Extranet. In questo esempio il nome è extranet.treyresearch.net .

   2. Cambiare area passando a Extranet.

   3. Assegnare al sito un nome di intestazione host da configurare in DNS per la risoluzione degli utenti della rete Extranet.

   4. Fare clic su Utilizza SSL (Secure Sockets Layer) e modificare il numero di porta su 443. Con ADFS è necessario che i siti siano configurati per l'utilizzo di SSL.

   5. Nella casella URL con bilanciamento del carico eliminare la stringa di testo :443 . In Internet Information Services (IIS) verrà utilizzata automaticamente la porta 443 perché il numero di porta è stato specificato nel passaggio precedente.

   6. Eseguire i passaggi restanti nella pagina per completare l'estensione dell'applicazione Web.

5. Nella pagina Mapping di accesso alternativo verificare che gli URL siano simili a quelli inclusi nella tabella seguente.

   URL interno	Area	URL pubblico per l'area
   http://trey-moss	Predefinito	http://trey-moss
   https://extranet.treyresearch.net	Extranet	https://extranet.treyresearch.net

6. Aggiungere un certificato SSL al sito Web Extranet in IIS. Assicurarsi che il certificato sia emesso per extranet.treyresearch.net, perché questo è il nome utilizzato dai client per accedere ai siti.

7. Eseguire la procedura seguente per configurare il provider di autenticazione per l'area Extranet nell'applicazione Web per l'utilizzo di SSO Web:

   1. Nella pagina Gestione applicazione del sito Amministrazione centrale della farm fare clic su Provider di autenticazione.

   2. Fare clic su Cambia nell'angolo in alto a destra della pagina e quindi selezionare l'applicazione Web in cui si desidera attivare SSO Web.

   3. Nell'elenco delle due aree mappate per questa applicazione Web (entrambe devono essere associate a Windows) fare clic sul collegamento Windows per l'area Extranet.

   4. Nella sezione Tipo di autenticazione fare clic su Single Sign-On Web.

   5. Nella casella Nome provider di appartenenze digitare

      SingleSignOnMembershipProvider2

      Prendere nota di questo valore, perché sarà necessario aggiungerlo all'elemento nome della sezione <membership> nei file web.config che verranno modificati più avanti in questa procedura.

   6. Nella casella Nome manager ruoli digitare

      SingleSignOnRoleProvider2

      Prendere nota di questo valore, perché sarà necessario aggiungerlo all'elemento nome della sezione <roleManager> nei file web.config che verranno modificati più avanti in questa procedura.

   7. Verificare che l'impostazione Attiva integrazione client sia impostata su No.

   8. Fare clic su Salva.

L'applicazione Web Extranet è ora configurata per l'utilizzo di SSO Web. A questo punto, però, gli utenti non possono accedere al sito perché non dispongono delle autorizzazioni appropriate. Nel passaggio successivo verranno assegnate agli utenti le autorizzazioni necessarie per accedere al sito.

Nota

Dopo aver selezionato Single Sign-on Web come provider di autenticazione, per il sito di SharePoint verrà attivata automaticamente l'autenticazione anonima in IIS (non è necessario alcun intervento da parte dell'utente). Questa impostazione è necessaria per il sito per consentire l'accesso solo mediante attestazioni.

Concessione agli utenti dell'accesso al sito Web Extranet

1. In un editor di testo aprire il file web.config del sito Web nell'area predefinita che utilizza l'autenticazione di Windows.

2. Aggiungere la voce seguente in qualsiasi punto nel nodo <system.web>.

   <membership>

   <providers>

   <add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />

   </providers>

   </membership>

   <roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider">

   <providers>

   <remove name="AspNetSqlRoleProvider" />

   <add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />

   </providers>

   </roleManager>

3. Modificare il valore di fs-server in modo che corrisponda al server federativo di risorsa (adfsresource.treyresearch.net). Verificare di aver specificato i nomi corretti per il provider di appartenenze e il manager ruoli nella pagina Provider di autenticazione in Amministrazione centrale. Dopo aver aggiunto questa voce al file web.config, la funzionalità Selezione utenti nel sito dell'area predefinita che utilizza l'autenticazione di Windows sarà in grado di riconoscere i provider ADFS e, di conseguenza, risolvere le attestazioni ADFS. In questo modo è possibile concedere autorizzazioni alle attestazioni ADFS nel sito Web.

4. Per concedere alle attestazioni ADFS l'accesso al sito, eseguire la procedura seguente:

   1. Passare al sito Web nell'area predefinita che utilizza l'autenticazione di Windows come amministratore del sito.

   2. Scegliere Impostazioni sito dal menu Azioni sito e quindi Autorizzazioni avanzate.

   3. Fare clic su Nuovo e quindi su Aggiungi utenti.

   4. Per aggiungere un'attestazione utente, specificare l'indirizzo di posta elettronica o il nome principale dell'utente nella sezione Utenti/Gruppi. Se dal server federativo vengono inviate attestazioni UPN e tramite posta elettronica, SharePoint utilizza UPN per eseguire la verifica nel provider di appartenenze. Di conseguenza, se si desidera utilizzare la posta elettronica, è necessario disattivare l'attestazione UPN nel server federativo. Per ulteriori informazioni, vedere “Utilizzo di attestazioni UPN e tramite posta elettronica”.

   5. Per aggiungere un'attestazione di gruppo, digitare il nome dell'attestazione che si desidera venga utilizzata dal sito di SharePoint nella sezione Utenti/Gruppi. Creare ad esempio un'attestazione di gruppo organizzativo denominata Adatum Contributers nel server federativo. Aggiungere il nome di attestazione Adatum Contributers al sito di SharePoint come se fosse un utente o un gruppo di Windows. È possibile assegnare l'attestazione al gruppo Membri di Home page [Collaborazione]. In questo modo, gli utenti che accedono al sito di SharePoint mediante questa attestazione di gruppo dispongono di accesso in collaborazione al sito.

   6. Selezionare il livello di autorizzazione o il gruppo di SharePoint appropriato.

   7. Fare clic su OK.

5. In un editor di testo aprire il file web.config per il sito Extranet e aggiungere la voce seguente nel nodo <configSections>.

   <sectionGroup name="system.web">

   <section name="websso" type="System.Web.Security.SingleSignOn.WebSsoConfigurationHandler, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, Custom=null" />

   </sectionGroup>

6. Aggiungere la voce seguente nel nodo <httpModules>.

   <add name="Identity Federation Services Application Authentication Module" type="System.Web.Security.SingleSignOn.WebSsoAuthenticationModule, System.Web.Security.SingleSignOn, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, Custom=null" />

   Nota

   Il modulo di autenticazione ADFS deve essere sempre specificato dopo il modulo SPRequest di SharePoint nel nodo <httpModules> del file web.config. È consigliabile aggiungerlo come ultima voce in tale sezione.

7. Aggiungere la voce seguente in qualsiasi punto nel nodo <system.web>.

   <membership defaultProvider="SingleSignOnMembershipProvider2">

   <providers>

   <add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />

   </providers>

   </membership>

   <roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider2">

   <providers>

   <add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 />

   </providers>

   </roleManager>

   <websso>

   <authenticationrequired />

   <auditlevel>55</auditlevel>

   <urls>

   <returnurl>https://your_application</returnurl>

   </urls>

   <fs>https://fs-server/adfs/fs/federationserverservice.asmx</fs>

   <isSharePoint />

   </websso>

   Nota

   Modificare il valore di fs-server sul computer del server federativo e modificare il valore di your_application in modo che corrisponda all'URL dell'applicazione Web Extranet.

8. Accedere al sito Web https://extranet.treyresearch.net come utente ADFS che dispone delle autorizzazioni necessarie per il sito Web Extranet.

Informazioni sull'utilizzo di Amministrazione centrale

È inoltre possibile utilizzare i criteri di Amministrazione centrale per concedere diritti agli utenti di ADFS, ma è consigliabile non avvalersi di questa opportunità a causa delle ragioni seguenti:

• Concedere diritti mediante criteri non garantisce la massima precisione. Si consente infatti all'utente o al gruppo di avere gli stessi diritti in ogni sito Web e in ogni raccolta siti nell'intera applicazione Web. È una procedura da utilizzare con cognizione di causa. In questo scenario è possibile concedere l'accesso agli utenti di ADFS senza utilizzare questa modalità.

• Se i siti vengono utilizzati in un ambiente Extranet, è possibile che gli utenti interni siano responsabili della concessione dell'accesso per siti e contenuto. Poiché solo gli amministratori di farm hanno accesso al sito Amministrazione centrale, è più logico che gli utenti interni possano aggiungere attestazioni ADFS dal sito dell'area predefinita che utilizza l'autenticazione di Windows.

• Dopo aver esteso le applicazioni Web utilizzando diversi provider, è possibile configurare una o più applicazioni per poter cercare utenti e gruppi dai diversi provider utilizzati nell'applicazione Web. In questo scenario il sito che utilizza l'autenticazione di Windows è stato configurato in modo tale da consentire agli utenti del sito di selezionare altri utenti e gruppi di Windows, nonché attestazioni ADFS, il tutto da un singolo sito.

Utilizzo di Selezione utenti

Selezione utenti non consente la ricerca di ruoli con caratteri jolly. Se si dispone di un ruolo provider di ruoli SSO Web denominato Lettori e si digita Letto nella finestra di dialogo di ricerca di Selezione utenti, l'attestazione non verrà trovata. Se si digita invece Lettori, l'attestazione verrà trovata. Non si tratta di un errore. Semplicemente, non è possibile eseguire ricerche con caratteri jolly mediante il provider di ruoli.

Per impostazione predefinita non è possibile risolvere le attestazioni ADFS utilizzando file eseguibili dalla riga di comando quale stsadm.exe. Si supponga ad esempio di voler aggiungere un nuovo utente al sito Extranet utilizzando il comando stsadm.exe –o adduser. Per abilitare Stsadm (o un altro file eseguibile) alla risoluzione di utenti, creare un nuovo file di configurazione eseguendo la procedura seguente:

• Creare un nuovo file denominato stsadm.exe.config nella stessa directory in cui si trova stsadm.exe (%programmi%\File comuni\Microsoft Shared Debug\Web Server Extensions\12\BIN). Aggiungere la voce seguente nel file stsadm.exe.config:

  <configuration>

  <system.web>

  <membership defaultProvider="SingleSignOnMembershipProvider2">

  <providers>

  <add name="SingleSignOnMembershipProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnMembershipProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />

  </providers>

  </membership>

  <roleManager enabled="true" defaultProvider="SingleSignOnRoleProvider2">

  <providers>

  <add name="SingleSignOnRoleProvider2" type="System.Web.Security.SingleSignOn.SingleSignOnRoleProvider2, System.Web.Security.SingleSignOn.PartialTrust, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" fs="https://fs-server/adfs/fs/federationserverservice.asmx" />

  </providers>

  </roleManager>

  </system.web>

  </configuration>

  Nota

  Modificare il valore di fs-server in modo che corrisponda al server federativo di risorsa (adfsresource.treyresearch.net).

Utilizzo di attestazioni UPN e tramite posta elettronica

Per configurare l'invio di attestazioni UPN o tramite posta elettronica dal server federativo a Microsoft Office SharePoint Server 2007, eseguire la procedura seguente.

1. Aprire lo snap-in ADFS da Strumenti di amministrazione nel server federativo.

   Nota

   È inoltre possibile aprire lo snap-in ADFS digitando ADFS.MSC nella finestra di dialogo Esegui.

2. Selezionare il nodo dell'applicazione Microsoft Office SharePoint Server 2007 (l'applicazione dovrebbe essere già inclusa nell'elenco dei nodi).

3. Nell'elenco delle attestazioni a destra fare clic con il pulsante destro del mouse su Posta elettronicae quindi scegliere Attiva o Disattiva.

4. Nell'elenco delle attestazioni a destra fare clic con il pulsante destro del mouse su UPNe quindi scegliere Attiva o Disattiva.

   Nota

   Se sono attivati sia UPN sia Posta elettronica, Microsoft Office SharePoint Server 2007 utilizzerà UPN per eseguire la verifica delle attestazioni utente. Di conseguenza, quando si configura Microsoft Office SharePoint Server 2007, prestare particolare attenzione all'attestazione utente che si immette. Si noti inoltre che l'attestazione UPN funziona in modo coerente solo se i suffissi UPN e i suffissi di posta elettronica accettati dal server federativo sono identici. Questo avviene perché il provider di appartenenze si basa sulla posta elettronica. A causa di questa complessità di configurazione delle attestazioni UPN, Posta elettronica è l'impostazione di attestazione utente consigliata per l'autenticazione dell'appartenenza.

Utilizzo di gruppi e attestazioni di organizzazione basate su gruppo

In Microsoft Office SharePoint Server 2007 è possibile assegnare diritti ai gruppi di Active Directory aggiungendoli a un gruppo di SharePoint o direttamente a un livello di autorizzazione. Il livello di autorizzazione di un utente specifico per un sito è calcolato in base ai gruppi di Active Directory di cui l'utente è membro, ai gruppi di SharePoint a cui appartiene l'utente e agli eventuali livelli di autorizzazione a cui l'utente è stato aggiunto direttamente.

Se si utilizza ADFS come provider di ruoli in Microsoft Office SharePoint Server 2007, il processo è diverso. Il provider SSO Web non è in grado di risolvere direttamente un gruppo di Active Directory. I gruppi vengono infatti risolti mediante attestazioni di organizzazione basate su gruppo. Quando si utilizza ADFS con Microsoft Office SharePoint Server 2007, è necessario creare un insieme di attestazioni di organizzazione basate su gruppo in ADFS. Sarà quindi possibile associare più gruppi di Active Directory con un'attestazione di organizzazione basata su gruppo di ADFS.

Affinché le attestazioni di gruppo possano essere utilizzate con la versione più recente di ADFS, è necessario modificare il file web.config per l'applicazione ADFS in IIS nel server ADFS.

Aprire il file web.config e aggiungere <getGroupClaims /> al nodo <FederationServerConfiguration> all'interno del nodo <System.Web>, come illustrato nell'esempio seguente.

<configuration>
     <system.web>
          <FederationServerConfiguration>
               <getGroupClaims />
          </FederationServerConfiguration>
     </system.web>
</configuration>

In Adatum (Account Forest) eseguire le operazioni seguenti:

1. Creare un gruppo di Active Directory denominato Trey SharePoint Readers.

2. Creare un gruppo di Active Directory denominato Trey SharePoint Contributors.

3. Aggiungere Alansh al gruppo Readers e Adamcar al gruppo Contributors.

4. Creare un'attestazione di organizzazione basata su gruppo denominata Trey SharePoint Readers.

5. Creare un'attestazione di organizzazione basata su gruppo denominata Trey SharePoint Contributors.

6. Fare clic con il pulsante destro del mouse sull'archivio account di Active Directory e quindi scegliere Crea nuova estrazione di attestazione basata su gruppo.

   1. Selezionare l'attestazione di organizzazione basata su gruppo Trey SharePoint Readers e quindi associarla al gruppo di Active Directory Trey SharePoint Readers.

   2. Ripetere il passaggio 6 e quindi associare l'attestazione di organizzazione basata su gruppo Trey SharePoint Contributors al gruppo di Active Directory Trey SharePoint Contributors.

7. Fare clic con il pulsante destro del mouse su Trey Research Account Partner e quindi creare i mapping di attestazione in uscita:

   1. Selezionare l'attestazione Trey SharePoint Reader e quindi mapparla all'attestazione in uscita adatum-trey-readers.

   2. Selezionare l'attestazione Trey SharePoint Contributor e quindi mapparla all'attestazione in uscita adatum-trey-contributors.

Nota

I nomi dei mapping delle attestazioni devono essere concordati tra le organizzazioni e devono corrispondere esattamente.

Sul lato Trey Research avviare ADFS.MSC e quindi eseguire le operazioni seguenti:

1. Creare un'attestazione di organizzazione basata su gruppo denominata Adatum SharePoint Readers.

2. Creare un'attestazione di organizzazione basata su gruppo denominata Adatum SharePoint Contributors.

3. Creare mapping di gruppo in ingresso per le attestazioni:

   1. Fare clic con il pulsante destro del mouse sul partner account Adatum e quindi scegliere Mapping attestazione basata su gruppo in ingresso.

   2. Selezionare Adatum SharePoint Readers e quindi mapparla al nome di attestazione in ingresso adatum-trey-readers.

   3. Selezionare Adatum SharePoint Contributors e quindi mapparla al nome di attestazione in ingresso adatum-trey-contributors.

4. Fare clic con il pulsante destro del mouse sull'applicazione Web Microsoft Office SharePoint Server 2007 e quindi scegliere Attiva per entrambe le attestazioni Reader e Contributor.

Accedere al sito http://trey-moss sul lato Trey Research come amministratore del sito e quindi eseguire le operazioni seguenti:

1. Scegliere Impostazioni sito dal menu Azioni sito e quindi Utenti e gruppi.

2. Se non è ancora stato selezionato, selezionare il gruppo Membri per il sito.

3. Fare clic su Nuovo e quindi su Aggiungi utenti sulla barra degli strumenti.

4. Fare clic sull'icona della rubrica accanto alla casella Utenti/Gruppi.

5. Nella casella Trova della finestra di dialogo Selezione utenti digitare

   Adatum SharePoint Readers

   Nella sezione Assegnazione autorizzazioni selezionare Visitatori di Home page gruppo di SharePoint [Lettura].

6. Nella casella Trova digitare

   Adatum SharePoint Contributors

   Nella sezione Assegnazione autorizzazioni selezionare Membri di Home page gruppo di SharePoint [Collaborazione].

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Distribuzione di Office SharePoint Server 2007 (informazioni in lingua inglese)

Per un elenco completo dei manuali disponibili, vedere la Raccolta di documentazione tecnica su Office SharePoint Server (informazioni in lingua inglese).