Condividi tramite

L'autenticazione delle attestazioni non convalida l'utente in SharePoint Server

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Quando gli utenti provano a connettersi a un'applicazione Web, nei registri vengono registrati gli eventi di autenticazione non riusciti. Se si usano gli strumenti forniti da Microsoft e si usa un approccio sistematico per l'esame degli errori, sarà possibile ottenere informazioni sui problemi comuni relativi all'autenticazione basata sulle attestazioni e quindi risolverli.

Per completare correttamente l'accesso a una risorsa di SharePoint sono necessarie sia l'autenticazione che l'autorizzazione. Quando si usano attestazioni, l'autenticazione verifica che il token di sicurezza sia valido. L'autorizzazione verifica che l'accesso alla risorsa sia consentito, in base all'insieme di attestazioni nel token di sicurezza e alle autorizzazioni configurate per la risorsa.

Per determinare se l'autenticazione o l'autorizzazione provocano un problema di accesso, esaminare attentamente il messaggio di errore nella finestra del browser.

  • Se il messaggio di errore indica che l'utente non ha accesso al sito, l'autenticazione ha avuto esito positivo e l'autorizzazione non è riuscita. Per risolvere i problemi dell'autorizzazione, provare le soluzioni seguenti:

    • Il motivo più comune per cui l'autorizzazione non è riuscita quando si usa l'autenticazione basata sulle attestazioni SAML (Security Assertion Markup Language) è che le autorizzazioni sono state assegnate all'account basato su Windows di un utente (dominio\utente) anziché all'attestazione di identità SAML dell'utente.

    • Verificare che l'utente o il gruppo a cui appartiene l'utente sia stato configurato per l'uso delle autorizzazioni appropriate. Per altre informazioni, vedere Autorizzazioni utente e livelli di autorizzazione in SharePoint Server.

    • Usare gli strumenti e le tecniche descritti in questo articolo per determinare l'insieme di attestazioni disponibili nel token di sicurezza dell'utente, per poterlo confrontare con le autorizzazioni configurate.

  • Se il messaggio indica che l'autenticazione non è riuscita, si è verificato un problema di autenticazione. Se la risorsa si trova in un'applicazione Web di SharePoint che usa l'autenticazione basata sulle attestazioni, usare le informazioni disponibili in questo articolo per avviare la risoluzione dei problemi.

Strumenti per la risoluzione dei problemi

Di seguito sono indicati gli strumenti principali per la risoluzione dei problemi forniti da Microsoft per raccogliere informazioni sull'autenticazione basata sulle attestazioni in SharePoint Server:

  • Usare i registri ULS (Unified Logging System) per ottenere informazioni dettagliate sulle transazioni di autenticazione.

  • Usare Amministrazione centrale per verificare i dettagli delle impostazioni e delle aree di autenticazione utente per le applicazioni Web di SharePoint e configurare i livelli di registrazione ULS.

  • Se si usa Active Directory Federation Services 2.0 (AD FS) come provider federativo per l'autenticazione delle attestazioni basata su SAML (Security Assertion Markup Language), è possibile usare la registrazione ad AD FS per determinare le attestazioni nei token di sicurezza che AD FS genera nei computer client Web.

  • Usare Network Monitor 3.4 per acquisire ed esaminare le informazioni dettagliate sul traffico di rete dell'autenticazione utente.

Impostazione del livello di registrazione ULS per l'autenticazione utente

La procedura seguente configura SharePoint Server per la registrazione della quantità massima di informazioni relative ai tentativi di autenticazione basata sulle attestazioni.

Per configurare SharePoint Server per il livello massimo di registrazione dell'autenticazione utente

  1. In Amministrazione centrale selezionare Monitoraggio sulla barra di avvio veloce e quindi selezionare Configura registrazione diagnostica.

  2. Nell'elenco di categorie espandere SharePoint Foundation, quindi selezionare Autorizzazione autenticazione e Autenticazione attestazioni.

  3. In Evento meno critico da includere nel registro eventi selezionare Livello di traccia dettagliato.

  4. In Evento meno critico da includere nel registro di traccia selezionare Livello di traccia dettagliato.

  5. Selezionare OK.

Per ottimizzare le prestazioni quando non si esegue la risoluzione dei problemi di autenticazione delle attestazioni, seguire questa procedura per impostare la registrazione dell'autenticazione utente ai valori predefiniti.

Per configurare SharePoint Server per il livello predefinito di registrazione dell'autenticazione utente

  1. In Amministrazione centrale selezionare Monitoraggio sulla barra di avvio veloce e quindi selezionare Configura registrazione diagnostica.

  2. Nell'elenco di categorie espandere SharePoint Foundation, quindi selezionare Autorizzazione autenticazione e Autenticazione attestazioni.

  3. In Evento meno critico da includere nel registro eventi selezionare Informazioni.

  4. In Evento meno critico da includere nel registro di traccia selezionare Medio.

  5. Selezionare OK.

Configurazione della registrazione AD FS

Anche se si abilita il livello massimo di registrazione ULS, SharePoint Server non registra l'insieme di attestazioni nel token di sicurezza ricevuto. Se si usa AD FS per l'autenticazione basata sulle attestazioni SAML, sarà possibile abilitare la registrazione AD FS e usare il Visualizzatore eventi per esaminare le attestazioni per i token di sicurezza emessi da SharePoint Server.

Per abilitare la registrazione AD FS

  1. Nel server AD FS selezionare Visualizza da Visualizzatore eventi e quindi mostra log analitici e di debug.

  2. Nell'albero della console del Visualizzatore eventi espandere Registri applicazioni e servizi/Traccia AD FS 2.0.

  3. Fare clic con il pulsante destro del mouse su Debug e quindi scegliere Abilita log.

  4. Aprire la cartella %ProgramFiles% \Active Directory Federation Services 2.0.

  5. Usare Blocco note per aprire il file Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Selezionare Modifica, selezionare Trova, digitare <source name="Microsoft.IdentityModel" switchValue="Off"> e quindi selezionare OK.

  7. Modificare switchValue="Off" in switchValue="Verbose".

  8. Selezionare File, selezionare Salva e quindi uscire dal Blocco note.

  9. Nello snap-in Servizi fare clic con il pulsante destro del mouse sul servizio ** AD FS 2.0 ** e quindi scegliere Riavvia.

È ora possibile usare il Visualizzatore eventi sul server AD FS per esaminare le informazioni dettagliate sulle attestazioni dal nodo Registri applicazioni e servizi/Traccia AD FS 2.0/Debug. Cercare eventi don ID evento 1001.

È anche possibile enumerare le attestazione con HttpModule o una web part oppure tramite OperationContext. Per altre informazioni, vedere Come ottenere tutte le attestazioni utente al momento dell'estensione delle attestazioni in SharePoint 2010. Queste informazioni su SharePoint 2010 sono applicabili anche a SharePoint 2013.

Metodologia di risoluzione dei problemi per l'autenticazione utente basata sulle attestazioni

I passaggi seguenti possono aiutare a determinare la causa dei tentativi non riusciti di autenticazione basata sulle attestazioni.

Passaggio 1: Determinare i dettagli del tentativo di autenticazione non riuscito

Per ottenere informazioni dettagliate e definitive su un tentativo di autenticazione non riuscito, sarà necessario trovarle nei registri ULS di SharePoint. Questi file di registro sono archiviati nella cartella %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

È possibile trovare il tentativo di autenticazione non riuscito nei file di registro ULS manualmente oppure è possibile usare il Visualizzatore log di ULS.

Per trovare manualmente il tentativo di autenticazione non riuscito

  1. Ottenere il nome dell'account utente che produce il tentativo di autenticazione non riuscito dall'utente.

  2. Nel server che esegue SharePoint Server o SharePoint Foundation, trovare la cartella %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS o %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\15\LOGS.

  3. Nella cartella LOGS selezionare Data modificata per ordinare la cartella in base alla data, con la più recente nella parte superiore.

  4. Provare di nuovo l'attività di autenticazione.

  5. Nella finestra della cartella LOGS fare doppio clic sul file di registro all'inizio dell'elenco per aprire il file in Blocco note.

  6. Nel Blocco note selezionare Modifica, selezionare Trova, digitare Autenticazione autorizzazione o Autenticazione attestazioni e quindi selezionare Trova successivo.

  7. Selezionare Annulla e quindi leggere il contenuto della colonna Messaggio .

Per usare il visualizzatore ULS, scaricarlo dalla pagina relativa al visualizzatore ULS e salvarlo in una cartella sul server che esegue SharePoint Server or SharePoint Foundation. Dopo l'installazione, seguire questa procedura per individuare il tentativo di autenticazione non riuscito.

Per trovare il tentativo di autenticazione non riuscito con il visualizzatore ULS

  1. Nel server che esegue SharePoint Server o SharePoint Foundation fare doppio clic su Ulsviewer dalla cartella in cui è archiviato.

  2. Nel visualizzatore ULS selezionare File, scegliere Apri da e quindi selezionare ULS.

  3. Nella finestra di dialogo Configura il feed di runtime ULS verificare che la cartella %CommonProgramFiles% \Common Files\Microsoft Shared\Web Server Extensions\16\LOGS o \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS sia specificata nella cartella Use ULS feed from default log-file directory(Usa feed ULS dalla directory predefinita del file di log). In caso contrario, selezionare Usa percorso directory per i feed in tempo reale e specificare la cartella %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS o \Microsoft Shared\Web Server Extensions\15\LOGS nel percorso del file di log.

    Per %CommonProgramFiles%, sostituire il valore della variabile di ambiente CommonProgramFiles del server che esegue SharePoint Server o SharePoint Foundation. Ad esempio, se il percorso è l'unità C, %CommonProgramFiles% è impostato su C:\Programmi\File comuni.

  4. Selezionare OK.

  5. Selezionare Modifica e quindi Selezionare Modifica filtro.

  6. Nella finestra di dialogo Filtra per selezionare Categoria in Campo.

  7. In Valore digitare Autenticazione autorizzazione o Autenticazione attestazioni e quindi selezionare OK.

  8. Ripetere il tentativo di autenticazione.

  9. Nella finestra di ULS Viewer fare doppio clic sulle righe visualizzate per visualizzare la sezione Messaggio.

Nella parte relativa alla codifica delle attestazione della sezione Messaggio per richieste non OAuth è possibile determinare il metodo di autenticazione e l'identità utente codificata tramite la stringa codificata in base alle attestazioni (ad esempio: i:0#.w|contoso\chris).

Passaggio 2: Verificare i requisiti di configurazione

Per determinare il modo in cui un'applicazione Web o un'area è configurata per supportare uno o più metodi di autenticazione basata sulle attestazioni, usare il sito Web Amministrazione centrale SharePoint.

Per verificare la configurazione dell'autenticazione per un'applicazione Web o un'area

  1. In Amministrazione centrale selezionare Gestione applicazioni sulla barra di avvio veloce e quindi selezionare Gestisci applicazioni Web.

  2. Selezionare il nome dell'applicazione Web a cui l'utente sta tentando di accedere e nel gruppo Sicurezza della barra multifunzione selezionare Provider di autenticazione.

  3. Nell'elenco dei provider di autenticazione selezionare la zona appropriata, ad esempio Default.

  4. Nella sezione Tipi di autenticazione attestazioni della finestra di dialogo Modifica autenticazione verificare le impostazioni per l'autenticazione delle attestazioni.

  • Per l'autenticazione basata sulle attestazioni Windows verificare che le opzioni Abilita autenticazione di Windows e Autenticazione integrata di Windows siano selezionate e che sia selezionata l'opzione NTLM o Negozia (Kerberos), in base alla necessità. Se necessario, selezionare Autenticazione di base .

  • Per l'autenticazione basata su moduli, verificare che l'opzione Abilita autenticazione basata su moduli sia selezionata. Verificare i valori in Nome provider di appartenenze ASP.NET e Nome manager ruoli ASP.NET. Questi valori devono corrispondere ai valori del provider di appartenenze e dei ruoli configurati nei file di web.config per il sito Web, l'applicazione Web e i servizi Web di SharePoint\SecurityTokenServiceApplication. Per altre informazioni, vedere Configure forms-based authentication for a claims-based web application in SharePoint Server.

  • Per l'autenticazione basata sulle attestazioni SAML verificare che siano selezionati l'opzione Provider di identità attendibile e il nome corretto del provider attendibile. Per altre informazioni, vedere Configure SAML-based claims authentication with AD FS in SharePoint Server.

  • Nella sezione URL pagina di accesso verificare l'opzione per la pagina di accesso. Per una pagina di accesso predefinita, deve essere selezionata l'opzione Pagina di accesso predefinita. Per una pagina di accesso personalizzata, verificare l'URL specificato della pagina di accesso personalizzata. Per verificarlo, copiare l'URL, quindi tentare l'accesso usando un Web browser.

  1. Selezionare Salva per salvare le modifiche apportate alle impostazioni di autenticazione.

  2. Ripetere il tentativo di autenticazione. Per l'autenticazione basata su moduli o su SAML, verificare se la pagina di accesso prevista viene visualizzata con le opzioni di accesso corrette.

  3. Se l'autenticazione continua a non riuscire, controllare i log ULS per determinare se esiste una differenza tra il tentativo di autenticazione prima della modifica della configurazione dell'autenticazione e dopo tale operazione.

Passaggio 3: Altri elementi da controllare

Dopo la verifica dei file di registro e della configurazione dell'applicazione Web, verificare gli elementi seguenti:

  • Il Web browser nel computer client Web supporta le attestazioni. Per ulteriori informazioni, vedere Pianificare il supporto dei browser in SharePoint Server 2016.

  • Per l'autenticazione basata sulle attestazioni Windows, verificare gli elementi seguenti:

    • Il computer da cui l'utente esegue il tentativo di autenticazione è membro dello stesso dominio a cui appartiene il server che ospita l'applicazione Web di SharePoint o è membro di un dominio considerato attendibile dal server di hosting.

    • Il computer da cui l'utente esegue il tentativo di autenticazione viene registrato nel rispettivo dominio di Servizi di dominio Active Directory (AD DS). Digitare nltest /dsgetdc: /force a un prompt dei comandi o SharePoint Management Shell sul computer client Web per verificare che sia in grado di accedere a un controller di dominio. Se non è elencato alcun controller di dominio, risolvere i problemi relativi alla mancanza di esposizione al rilevamento e di connettività tra il computer client Web e un dominio AD DS.

    • Il server che esegue SharePoint Server o SharePoint Foundation è connesso al rispettivo dominio AD DS. Digitare nltest /dsgetdc: /force a un prompt dei comandi o SharePoint Management Shell sul server che esegue SharePoint Server o SharePoint Foundation per verificare che sia in grado di accedere a un controller di dominio. Se non è elencato alcun controller di dominio, risolvere i problemi relativi alla mancanza di esposizione al rilevamento e di connettività tra il server che esegue SharePoint Server o SharePoint Foundation e un controller di dominio AD DS.

  • Per l'autenticazione basata su moduli, verificare gli elementi seguenti:

    • Correttezza delle credenziali utente per l'appartenenza ASP.NET configurata e del provider di ruoli.

    • Disponibilità in rete dei sistemi che ospitano l'appartenenza ASP.NET e del provider di ruoli.

    • Assicurarsi che le pagine di accesso raccolgano e trasmettano correttamente le credenziali dell'utente. Per testarlo, configurare l'applicazione Web per usare temporaneamente la pagina di accesso predefinita e verificarne il funzionamento.

  • Per l'autenticazione basata sulle attestazioni SAML, verificare gli elementi seguenti:

    • Correttezza delle credenziali utenti per il provider di identità configurato.

    • Disponibilità in rete dei sistemi che fungono da provider di federazione (ad esempio AD FS) e del provider di identità (ad esempio AD DS o un provider di identità di terze parti).

    • Assicurarsi che le pagine di accesso raccolgano e trasmettano correttamente le credenziali dell'utente. Per testarlo, configurare l'applicazione Web per usare temporaneamente la pagina di accesso predefinita e verificarne il funzionamento.

Passaggio 4: Usare uno strumento di debug Web per monitorare e analizzare il traffico Web

Usare uno strumento quale HttpWatch o Fiddler per analizzare i tipi seguenti del traffico HTTP:

  • Tra il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

    Ad esempio, è possibile monitorare i messaggi di reindirizzamento HTTP inviati dal server che esegue SharePoint Server o SharePoint Foundation per informare il computer client Web in merito alla posizione di un server federativo (ad esempio AD FS).

  • Tra il computer client Web e il server federativo (ad esempio AD FS)

    Ad esempio, è possibile monitorare i messaggi HTTP inviati dal computer client Web e le risposte del server federativo, che potrebbero includere token di sicurezza e le rispettive attestazioni.

Nota

[!NOTA] Se si usa Fiddler, è possibile che il tentativo di autenticazione non riesca dopo tre richieste di autenticazione. Per evitare questo comportamento, vedere Utilizzo di Fiddler con SAML e SharePoint per superare le tre richieste di autenticazione.

Passaggio 5: Acquisire e analizzare il traffico di rete di autenticazione

Usare uno strumento per il traffico di rete, ad esempio Network Monitor 3.4, per acquisire e analizzare il traffico tra il computer client Web, il server che esegue SharePoint Server o SharePoint Foundation e i sistemi su cui SharePoint Server o SharePoint Foundation si basa per l'autenticazione basata sulle attestazioni.

Nota

[!NOTA] In molti casi, l'autenticazione basata sulle attestazioni usa connessioni basate su HTTPS (Hypertext Transfer Protocol Secure), che crittografano i messaggi inviati tra computer. Non è possibile visualizzare i contenuti di messaggi crittografati con uno strumento per il traffico di rete senza usare un componente aggiuntivo o un'estensione. Ad esempio, per Monitoraggio rete, è necessario installare e configurare Expert in Network Monitor. Per un'alternativa più semplice per tentare di decrittografare i messaggi HTTPS, usare uno strumento quale Fiddler sul server che ospita SharePoint Server o SharePoint Foundation, che può segnalare i messaggi HTTP non crittografati.

Un'analisi del traffico di rete può rivelare quanto segue:

  • Il set esatto di protocolli e messaggi inviati tra i computer coinvolti nel processo di autenticazione basata sulle attestazioni. I messaggi di risposta possono contenere informazioni sulla condizione di errore, che è possibile usare per determinare altri passaggi di risoluzione dei problemi.

  • Eventuale presenza di risposte corrispondenti ai messaggi di richiesta. Più messaggi di richiesta inviati che non ricevono una risposta possono indicare che il traffico di rete non raggiunge la destinazione prevista. In tale caso, verificare la presenza di problemi di indirizzamento dei pacchetti, di dispositivi di filtraggio dei pacchetti nel percorso (ad esempio un firewall) o del filtraggio di pacchetti sulla destinazione (ad esempio un firewall locale).

  • Eventuali tentativi di metodi multipli basati sulle attestazioni e determinazione dei metodi non riusciti.

Per l'autenticazione basata sulle attestazioni Windows è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il server che esegue SharePoint Server o SharePoint Foundation e il rispettivo controller di dominio

Per l'autenticazione basata su moduli è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il server che esegue SharePoint Server o SharePoint Foundation e il provider di appartenenze ASP.NET e il provider di ruoli

Per l'autenticazione basata sulle attestazioni SAML è possibile acquisire e analizzare il traffico tra i computer seguenti:

  • Il computer client Web e il server che esegue SharePoint Server o SharePoint Foundation

  • Il computer client Web e il rispettivo provider di identità (ad esempio un controller di dominio AD DS)

  • Il computer client Web e il provider di federazione (ad esempio AD FS)

Vedere anche

Ulteriori risorse

Configure forms-based authentication for a claims-based web application in SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server