Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La gestione efficace delle autorizzazioni in SharePoint è essenziale per la sicurezza e l'accesso utente appropriato. Man mano che aumenta il numero di documenti nei siti di SharePoint, una progettazione e un'implementazione scadenti possono causare rapidamente limiti di ambito delle autorizzazioni, con effetti negativi sulle prestazioni. Questo articolo illustra gli ambiti di autorizzazione e i meccanismi di controllo di accesso, offrendo procedure consigliate per la progettazione e la gestione efficiente degli ambiti di autorizzazione all'interno di SharePoint. Prima di tutto, verranno esaminati alcuni componenti chiave correlati agli ambiti di autorizzazione.
Concetti e componenti principali
- elenco Controllo di accesso: un elenco di Controllo di accesso (ACL) è costituito da un set di voci di Controllo di accesso (ACL).
- Controllo di accesso Voce: una voce Controllo di accesso (ACE) in SharePoint è una combinazione di un'entità e una rights mask (lettura, lettura/scrittura).
- Entità: un'entità può essere un singolo utente o un gruppo. Se un gruppo è presente in un'ace all'interno di un ACL, a tutti i membri di tale gruppo viene concesso il livello di autorizzazione specificato dall'ACE.
- Ambito di autorizzazione: un ambito di autorizzazione è un oggetto protetto in modo univoco. Ciò significa che il relativo ACL può essere impostato in modo diverso rispetto all'elemento padre. I file e le cartelle possono avere le stesse autorizzazioni se fanno tutti parte dello stesso albero di directory. È possibile avere fino a 50.000 ACL univoci all'interno di una raccolta documenti, ma per ottenere prestazioni ottimali è consigliabile tenerlo sotto i 5.000.
- Ereditarietà delle autorizzazioni: per impostazione predefinita, una raccolta siti contiene più siti. Ogni sito può avere uno o più elenchi e raccolte documenti, che ereditano tutte le autorizzazioni dalla raccolta siti. Analogamente, cartelle, elenchi e documenti ereditano le autorizzazioni dall'oggetto padre che li contiene. Per altre informazioni, vedere Personalizzare le autorizzazioni per un elenco o una raccolta di SharePoint.
- Autorizzazioni univoche: per impostazione predefinita, un file o una cartella eredita le autorizzazioni della libreria o della cartella che la contiene. Quando a un file vengono assegnate "autorizzazioni univoche", smette di ereditare le autorizzazioni dal relativo padre e può impostare le autorizzazioni in modo indipendente. Ciò significa che il file o la cartella ha ora un proprio ambito di autorizzazione.
Ambito di autorizzazione ed ereditarietà delle autorizzazioni
In SharePoint gli elenchi di controllo di accesso vengono usati per gestire le autorizzazioni per gli oggetti (file e cartelle). Ogni ACL è costituito da più ACL, che specificano le autorizzazioni per un'entità.
Quando viene creata, una raccolta documenti ha un singolo ambito di autorizzazione, ovvero tutti i file e le cartelle all'interno della raccolta documenti ereditano il relativo ACL dalla radice della raccolta documenti e condividono le stesse autorizzazioni. Il conteggio iniziale dell'ambito è 1.
Interruzione dell'ereditarietà
L'ereditarietà di interruzione in un file o in una cartella crea un nuovo ambito di autorizzazione, aumentando il numero di ambiti di 1.
È possibile interrompere l'ereditarietà usando due metodi:
- È possibile interrompere manualmente l'ereditarietà passando alle impostazioni della libreria.
- Se si condivide un file o una cartella, questa azione interrompe l'ereditarietà delle autorizzazioni per il file o la cartella, consentendo al relativo ACL (e al contenuto all'interno della cartella) di differire dal relativo padre.
Questo articolo illustra le implicazioni dell'ereditarietà di interruzione usando il secondo metodo e illustra le procedure consigliate per ridurre al minimo l'aggiunta di conteggi di ambito eccessivi in una libreria.
Ad esempio, se si crea una raccolta documenti, quindi si crea una cartella, si condivide la cartella (che interrompe l'ereditarietà) e si caricano 75.000 file nella cartella, il numero di ambiti della raccolta documenti è 2. Questo perché tutti i 75.000 file nella cartella condividono l'ambito di autorizzazione della cartella e quindi il relativo ACL. Nella raccolta documenti sono presenti solo due ACL univoci: l'ACL nella radice e l'ACL nella cartella. Se si creano più file e si condividono ognuno singolarmente con un utente, si aggiunge un numero di ambiti ogni volta. Per evitare questo, inserire tutti i file nella stessa cartella e condividere invece la cartella.
Condivisione di cartelle con un numero elevato di elementi
Una cartella può interrompere l'ereditarietà solo se contiene almeno 100.000 elementi. Se una cartella supera questo limite e non è condivisa in modo univoco, non può essere condivisa in modo univoco in un secondo momento. Pertanto, condividere cartelle di grandi dimensioni prima che raggiungano 100.000 elementi. Idealmente, condividere una cartella quando contiene zero elementi se si sa che richiede una condivisione univoca.
ACL condivisi per i file con autorizzazioni ereditate
Se due file hanno l'ACL equivalente perché entrambi ereditano dalla cartella padre, condividono un ACL. Conta solo la cartella padre. Tuttavia, se due file hanno lo stesso ACL perché sono stati condivisi separatamente con le stesse entità, avranno due ambiti di autorizzazione con autorizzazioni identiche.
Impatto dell'ereditarietà di interruzione sul conteggio degli ambiti
Se una cartella contiene due file e li si condivide entrambi con un utente, saranno necessari tre ambiti: uno per la cartella padre e uno per ognuno dei file condivisi singolarmente. Non importa che i file condivisi con l'utente e gli ACL dei file siano identici. Dopo aver interrotto l'ereditarietà di un file o di una cartella dal relativo elemento padre, si crea un ambito univoco.
Condivisione efficiente per evitare di superare i limiti di ambito
Se si dispone di 10.000 file che si desidera condividere con un utente e si condivide ogni file singolarmente, il costo sarà di 10.000 ambiti, con un peggioramento delle prestazioni in quanto si è superato il limite consigliato di 5.000. Tuttavia, se si crea una cartella, si condivide la cartella con l'utente e quindi si spostano tutti i 10.000 file in tale cartella, verrà richiesto solo un ambito aggiuntivo (per la cartella). Se in precedenza si fossero condivisi ognuno di questi 10.000 file singolarmente, uno per uno, e li si spostasse in una cartella comune con un ACL identico, si sarebbe comunque superato il limite (il sistema non "pulisce" queste autorizzazioni per conto dell'utente ripristinando l'ereditarietà delle autorizzazioni).
Informazioni sul limite dell'ambito
Il limite consigliato di 5.000 ACL consente di avere fino a 5.000 ACL univoci. Non significa che è possibile avere solo 5.000 file o cartelle con ACL. Se due file ereditano lo stesso ACL dalla cartella padre, condividono tale ACL. In questo caso, solo l'elenco di controllo di accesso della cartella padre viene conteggiato per il limite. Tuttavia, se due file hanno lo stesso ACL, ma è impostato in modo esplicito, non tramite ereditarietà dalla cartella padre, l'ACL di ogni file, più l'ACL della cartella padre, viene conteggiato per il limite. Le prestazioni effettive possono variare a seconda di fattori come le dimensioni degli ACL. Se gli ACL sono di piccole dimensioni (meno di 10 ACL per ACL), è possibile superare i 5.000 ambiti senza problemi. Tuttavia, con ACL di dimensioni maggiori (fino a 5.000 ACL), potrebbero verificarsi problemi di prestazioni prima di raggiungere il limite.
Scenari di esempio
Scenario: Condivisione di file
La condivisione di due file in una cartella con un singolo utente usa tre ambiti: uno per la cartella padre e uno per ognuno dei due file. Anche se entrambi i file sono condivisi con lo stesso utente e hanno lo stesso ACL, l'ereditarietà di interruzione dalla cartella padre crea ambiti univoci. Pertanto, se si dispone di 10.000 file da condividere con l'utente e condividerli singolarmente, sono necessari 10.000 ambiti aggiuntivi. Tuttavia, se si inseriscono tutti i file in una singola cartella, si condivide la cartella con l'utente e quindi si spostano i file nella cartella, sarà necessario un solo ambito aggiuntivo per la cartella. Un punto importante da considerare è la creazione condivisa. Se un utente sta lavorando a un file in Microsoft Word e vuole creare insieme a un utente, può comunque invitarlo se il file si trova in SharePoint. In questo modo viene usato uno degli ACL rimanenti disponibili. Si tratta di un fattore aggiuntivo da considerare.
Scenario: spostamento di file
Si immagini una situazione in cui 10.000 file sono stati condivisi con un singolo utente. Se questi file vengono successivamente spostati in una singola cartella, il sistema non consolida automaticamente le voci di autorizzazione per applicare solo le autorizzazioni della cartella. Le autorizzazioni rimangono invece ingombra, a meno che l'utente non le corregga manualmente. Ciò è dovuto al fatto che il ripristino automatico della gerarchia di autorizzazioni non è implementato a causa di problemi di sicurezza. In questo scenario, prima di spostare i file, il destinatario può visualizzare ognuno dei 10.000 file condivisi singolarmente con essi. Dopo aver spostato i file in una cartella, il destinatario può comunque visualizzare i 10.000 file insieme alla cartella contenitore, che modifica la struttura di accesso. Ciò significa che senza la pulizia manuale, una condivisione completa da OneDrive potrebbe causare problemi di prestazioni o anche errori operativi una volta raggiunto il limite di 50.000 elementi. Tuttavia, un'attenta gestione, in cui i file sono organizzati in cartelle con ACL corrispondenti, può contribuire a mitigare questi problemi. È anche importante notare che l'esposizione della gerarchia di cartelle effettiva agli utenti potrebbe essere indesiderabile, soprattutto quando si usano metadati per rappresentare tutto anziché le cartelle tradizionali.
Scenario: creazione di una raccolta documenti con ambiti minimi
Si crea una raccolta documenti con un singolo ambito di autorizzazione, vale a dire che tutti gli elementi al suo interno condividono inizialmente le stesse impostazioni di controllo di accesso. Successivamente, si aggiunge una cartella a questa raccolta documenti. Per condividere questa cartella con utenti o gruppi specifici, si interrompe l'ereditarietà delle autorizzazioni dalla raccolta documenti. Questa azione crea un nuovo ambito di autorizzazione univoco per la cartella, consentendo di impostare controlli di accesso diversi rispetto a quelli applicati alla raccolta documenti. Con le autorizzazioni della cartella impostate, si procederà al caricamento di 75.000 file in questa cartella. Ognuno di questi file eredita l'ACL della cartella, assicurandosi che abbiano tutte le stesse autorizzazioni della cartella stessa. Di conseguenza, la raccolta documenti ha ora due ambiti di autorizzazione univoci: uno per la radice della raccolta documenti e un altro per la cartella. Questa configurazione consente un controllo più granulare su chi può accedere ai file all'interno della cartella, mantenendo al tempo stesso una struttura di autorizzazioni più semplice per il resto della raccolta documenti.
Scenario: gestione delle autorizzazioni per più cartelle
Per eseguire il mapping efficiente delle categorie alle cartelle, si decide di creare 20 cartelle all'interno di ogni raccolta documenti. Ognuna di queste cartelle è designata per un tipo specifico di documento, ad esempio contratti o fatture, consentendo una migliore organizzazione e un accesso più semplice. Per assicurarsi che ogni cartella disponga delle proprie autorizzazioni univoche, è necessario configurare singole impostazioni ACL per ognuna di esse. Ciò comporta un totale di 21 ambiti di autorizzazione univoci all'interno della raccolta documenti: uno per la radice della raccolta documenti e uno per ognuna delle 20 cartelle. In questo modo, è possibile controllare chi può accedere a ogni categoria di file, fornendo una struttura più sicura e organizzata. Per evitare problemi di prestazioni e rimanere entro i limiti del sistema, è possibile ridurre al minimo il numero di singoli file con autorizzazioni univoche. Ciò significa che la maggior parte dei file eredita le autorizzazioni delle rispettive cartelle, mantenendo il numero totale di voci di autorizzazione univoche entro il limite di 5.000.
Suggerimenti per la gestione degli ambiti di autorizzazione
Per gestire in modo efficace gli ambiti di autorizzazione in SharePoint, seguire queste indicazioni:
- Ridurre al minimo il numero di ambiti di autorizzazione univoci sfruttando l'ereditarietà.
- Condividere cartelle anziché singoli file per ridurre il numero di ambiti univoci.
- Assicurarsi che le cartelle che necessitano di autorizzazioni univoche vengano condivise prima che superino i 100.000 elementi.
- Per gli sviluppatori, esaminare e ridurre al minimo gli ambiti di autorizzazione univoci, usare i gruppi e monitorare le prestazioni per mantenere prestazioni ottimali di SharePoint.
- Per gli utenti finali, usare i gruppi di autorizzazioni predefiniti, esaminare le richieste di accesso ed eseguire controlli regolari per mantenere le autorizzazioni di SharePoint pulite ed efficienti.
- Usare i gruppi di SharePoint e Microsoft Entra per gestire in modo efficiente i riferimenti utente e le autorizzazioni.