Considerazioni su trust e insiemi di strutture per Team Foundation Server
Aggiornamento: novembre 2007
Team Foundation Server rappresenta una base per la collaborazione tra gruppi in diversi domini o perfino in insieme di strutture differenti. Al fine di garantire la sicurezza e la stabilità del server e del dominio, è necessario attenersi ad alcune linee guida importanti. In una situazione ottimale il livello applicazione e i livelli dati di Team Foundation devono essere nello stesso dominio, ma i client che si connettono possono trovarsi in diversi percorsi di dominio.
Team Foundation Server è supportato nelle modalità di Active Directory e i livelli funzionali seguenti:
Active Directory di Windows 2000 in modalità nativa.
Windows Server 2003 Active Directory di Windows 2000 in modalità nativa.
Windows Server 2003 Active Directory nel livello funzionale di Windows Server 2003.
.gif "Nota") Nota: |
|---|
Team Foundation Server non supporta tutte le modalità di autenticazione di dominio o i livelli funzionali supportati da Windows NT Server 4.0. |
Trust di dominio
In Team Foundation Server non esistono requisiti specifici in termini di trust di dominio supportati. I tipi di trust che è possibile utilizzare dipendono dall'insieme di strutture e dai tipi di dominio distribuiti nella rete della società. Team Foundation Server potrebbe richiedere relazioni di trust specifiche in base alla modalità di distribuzione dei componenti di Team Foundation nella rete della società.
In genere gli utenti e i servizi di Team Foundation Server devono essere autenticati per poter accedere ai componenti server. Da un punto di vista della relazione di trust, è necessario che Team Foundation Server ritenga attendibile il dominio in cui viene definito l'account utente o di servizio.
Requisiti relativi alle relazioni di trust tra componenti di Team Foundation Server
In questa sezione vengono descritte le relazioni di trust minime richieste tra i vari componenti di Team Foundation Server. Vengono inoltre descritte le speciali implicazioni che la relazione di trust potrebbe comportare per la configurazione della distribuzione. Quando si determina se una relazione di trust è sufficiente tra i componenti Team Foundation, ad esempio se si desidera verificare una relazione di trust tra un computer client Team Foundation potenziale e un sistema Team Foundation Server, è possibile utilizzare un browser Web per controllare che il client specificato possa accedere a una cartella o condivisione sul server che include i componenti di livello applicazione Team Foundation logici. Se il client non può accedere alla condivisione, la configurazione non sarà valida per Team Foundation Server.
In Team Foundation Server la gestione delle appartenenze ai gruppi e delle autorizzazioni per l'accesso (autorizzazione) al server e alle relative risorse può essere configurata in Team Explorer o tramite le utilità da riga di comando TFSSecurity e TF. L'utente specificato viene controllato nel server di livello applicazione per verificare che sia un membro di un dominio trusted.
Trust tra client e il server di livello applicazione Team Foundation
Quando le applicazioni client, ad esempio Team Explorer, si connettono al server di livello applicazione Team Foundation, il server tenta di autenticare l'identità utente che esegue l'applicazione client. Se il dominio a cui appartiene l'utente è ritenuto attendibile dal server di livello applicazione Team Foundation, l'utente viene automaticamente autenticato come parte dell'autenticazione integrata di Windows. Se il trust non esiste, nell'applicazione client viene visualizzata una finestra di dialogo per l'immissione di nome utente e password in modo che l'utente possa immettere credenziali alternative per connettersi al server. Dopo l'autenticazione, Team Foundation Server verifica che l'utente autenticato sia autorizzato ad accedere al server. A tale scopo, l'utente deve essere un membro del gruppo Valid Users di Team Foundation. L'utente verrà aggiunto automaticamente al gruppo specificato quando la relativa identità viene aggiunta a un gruppo di Team Foundation Server esistente o a un server o progetto. Per ulteriori informazioni, vedere Gestione di utenti e gruppi.
I servizi del server di livello applicazione Team Foundation vengono eseguiti con l'account TFSService. Il dominio del server di livello applicazione Team Foundation, deve ritenere ritenere attendibile il dominio a cui appartiene l'account TFSService. Nella maggior parte dei casi, il server di livello applicazione Team Foundation e l'account TFSService apparterranno allo stesso dominio.
Dominio componente |
Sì |
Dominio componente |
|---|---|---|
Dominio del server di livello applicazione Team Foundation |
Trust unidirezionale con |
Dominio dell'utente Team Foundation |
Dominio del server di livello applicazione Team Foundation |
Trust unidirezionale con |
Dominio dell'account TFSService |
Per evitare di dover digitare un nome utente e una password ogni volta che un'applicazione client di Team Foundation si connette a Team Foundation Server, il dominio del client Team Foundation deve ritenere attendibile il dominio del server di livello applicazione Team Foundation.
Trust tra client e Team Foundation Server Proxy
Ai fini del funzionamento del proxy, il dominio del computer Team Foundation Server Proxy deve ritenere attendibile un dominio dell'utente.
Dominio componente |
Sì |
Dominio componente |
|---|---|---|
Dominio del computer Team Foundation Server Proxy |
Trust unidirezionale con |
Dominio dell'utente Team Foundation |
Trust tra Team Foundation Server Proxy e il server di livello applicazione Team Foundation
Nel contesto di Active Directory, Team Foundation Server Proxy è un altro client per Team Foundation Server.
Dominio componente |
Sì |
Dominio componente |
|---|---|---|
Dominio del server di livello applicazione Team Foundation |
Trust unidirezionale con |
Dominio dell'account del servizio di Team Foundation Server Proxy |
Dominio del computer Team Foundation Server Proxy |
Trust unidirezionale con |
Dominio dell'account utente di Team Foundation Server Proxy |
Per evitare di dover digitare un nome utente e una password ogni volta che un'applicazione client di Team Foundation si connette a Team Foundation Server, il dominio del client Team Foundation deve ritenere attendibile il dominio del server di livello applicazione Team Foundation.
Trust tra il server di livello applicazione Team Foundation e il server di livello dati Team Foundation
Il server di livello applicazione Team Foundation si connette al server di livello dati Team Foundation utilizzando un account del servizio, in genere indicato come account TFSService. Anche i servizi Web di Team Foundation Server vengono eseguiti con questo account. Il dominio del server di livello dati Team Foundation, pertanto deve ritenere attendibile il dominio dell'account TFSService. Ogni dominio all'interno della distribuzione diTeam Foundation Server deve ritenere attendibile l'account TFSService stesso, tramite una relazione del trust di dominio o l'esplicita concessione delle autorizzazioni. Il dominio del server di livello dati Team Foundation deve inoltre ritenere attendibile il dominio dell'account TFSReports. L'account TFSReport viene utilizzato per accedere alle origini dati Reporting Services di Team Foundation Server.
Reporting Services, inoltre, viene eseguito nel server di livello applicazione Team Foundation utilizzando l'account del servizio di rete. Il dominio del server di livello dati Team Foundation, pertanto deve ritenere attendibile il dominio del server di livello applicazione Team Foundation. Se non si desidera una relazione di trust tra i livelli di Team Foundation nell'organizzazione, è possibile riconfigurare il sistema in modo che Reporting Services venga eseguito con un account del servizio non anonimo appartenente a un dominio diverso rispetto al server di livello applicazione Team Foundation. Si tratta tuttavia di una configurazione piuttosto complessa che richiede la migrazione da distribuzioni a server singolo a distribuzioni a server doppio e la riconfigurazione manuale di Server report per l'esecuzione tramite un account del servizio non anonimo.
Dominio componente |
Sì |
Dominio componente |
|---|---|---|
Dominio del server di livello dati Team Foundation |
Trust unidirezionale con |
Dominio dell'account TFSService |
Dominio del server di livello dati Team Foundation |
Trust unidirezionale con |
Dominio dell'account TFSReport |
Dominio del server di livello dati Team Foundation |
Trust unidirezionale con |
Dominio del server di livello applicazione Team Foundation |
Trust tra Team Foundation Build e il server di livello applicazione Team Foundation
Team Foundation Build viene eseguito con un account del servizio Windows. Il dominio del computer Team Foundation Build, pertanto, deve ritenere attendibile il dominio di questo account del servizio. In genere questo account del servizio è l'account TFSService, ma può essere configurato manualmente per l'esecuzione con un altro account. Se Team Foundation Build non viene eseguito con l'account TFSService, è necessario aggiungere il nome del servizio al gruppo di applicazioni [Progetto]\Build Services.
| Nota: |
|---|
Quando viene creata una generazione, la nuova generazione viene inserita nella cartella condivisa Build Drop. È necessario verificare che questa cartella sia condivisa con tutti gli utenti e che l'account TFSService disponga del controllo completo sulla cartella. È necessario che la porta "Condivisione file e stampanti" sia aperta in Windows Firewall nel computer Team Foundation Build per consentire la condivisione dei file. |
Dominio componente |
Sì |
Dominio componente |
|---|---|---|
Dominio del computer Team Foundation Build |
Trust unidirezionale con |
Dominio dell'account del servizio, in genere TFSService |
Dominio del server di livello applicazione Team Foundation |
Trust unidirezionale con |
Dominio dell'account del servizio, in genere TFSService |
Altre configurazioni e considerazioni relative ai domini
Tutte le altre configurazioni di dominio di Active Directory non sono supportate e non devono quindi essere utilizzate. Assicurarsi che il dominio in cui si installa Team Foundation Server supporti Team Foundation Server e che i singoli computer in cui è installato Team Foundation Server siano installati in ambienti di dominio appropriati. Se Team Foundation Server supporta la collaborazione tra più insiemi di strutture, devono essere disponibili trust appropriati tra gli insiemi di strutture.
Ai fini della sicurezza, installare Team Foundation Server in un ambiente di dominio Windows Server 2003. Per evitare attacchi di rappresentazione utente, non consentire l'uso di nomi duplicati e proteggere i nomi dei computer mediante autore. Per ulteriori informazioni, vedere Windows Server 2003 Active Directory sul sito Web Microsoft all'indirizzo: https://go.microsoft.com/fwlink/?linkid=47541.
Vedere anche
Concetti
Configurazioni di dominio non supportate
Gestione di Team Foundation Server in un gruppo di lavoro
Altre risorse
Gestione di Team Foundation Server in un dominio Active Directory