Pianificare l'autenticazione delle app in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
L'autenticazione di un'app è il processo di convalida dell'identità di un'app per SharePoint esterna e di autorizzazione sia dell'app che di un utente associato, quando l'app richiede l'accesso a una risorsa di SharePoint protetta. L'autenticazione dell'app si verifica quando un componente esterno di un'app di SharePoint Store o un'app del Catalogo app, come un server Web posizionato nella rete Intranet o su Internet, tenta l'accesso a una risorsa protetta di SharePoint. Un'app per SharePoint che include un componente eseguito in Microsoft Azure, ad esempio, è un'app esterna. L'autenticazione delle app rende possibile un nuovo set di funzionalità e scenari realizzabili quando si consente alle app di includere dati da risorse di SharePoint nei risultati elaborati e visualizzati per gli utenti dalle app stesse.
Per fornire le risorse richieste da un'app per SharePoint, il server che esegue SharePoint Server deve eseguire le operazioni seguenti:
Verificare che l'app richiedente sia attendibile.
Per autenticare l'app richiedente, è necessario configurare il server che esegue SharePoint Server in modo che consideri attendibile l'app che invia le richieste. Si tratta di una relazione di trust unidirezionale.
Verificare che il tipo di accesso richiesto dall'app sia autorizzato.
Per autorizzare l'accesso, SharePoint Server si basa sul set di autorizzazioni dell'app specificate nel file di manifesto dell'app al momento dell'installazione e sulle autorizzazioni associate all'utente per conto del quale opera l'app. SharePoint Server si basa anche sulle autorizzazioni concesse a SPAppPrincipal quando è stato stabilito il trust usando il cmdlet Di PowerShell Set-SPAppPrincipalPermission .
Si noti che l'autenticazione delle app in SharePoint Server è separata dall'autenticazione utente e non viene utilizzata come protocollo di autenticazione dell'accesso dagli utenti di SharePoint. L'autenticazione delle app utilizza il protocollo OAuth (Open Authorization) 2.0 e non si aggiunge al set di protocolli di autenticazione utente o di accesso, come WS-Federation. Non vi sono nuovi protocolli di autenticazione utente in SharePoint Server. L'autenticazione delle app e OAuth non compaiono nell'elenco dei provider di identità.
Introduzione
La pianificazione dell'autenticazione delle app prevede le attività seguenti:
Identificazione del set di relazioni di trust che è necessario configurare in una farm che esegue SharePoint Server, corrispondente alle app esterne che effettueranno richieste di risorse di SharePoint.
Consentire l'accesso in ingresso dalle applicazioni esterne ospitate su Internet.
Importante
Le applicazioni Web che includono endpoint di autenticazione delle app (per richieste in ingresso da app per SharePoint) devono essere configurate per l'utilizzo di SSL (Secure Sockets Layer). È possibile configurare OAuth in SharePoint Server in modo che non richieda SSL. Si consiglia tuttavia di procedere in questo modo solo per attività di valutazione, per facilitare la configurazione o per creare un ambiente di sviluppo per app.
Nota
L'autenticazione delle app in una farm di SharePoint deve essere pianificata solo se si prevede di utilizzare una o più app per SharePoint esterne che richiedono risorse della farm.
Identificare il set di relazioni di trust
È necessario configurare la farm di SharePoint in modo da considerare attendibili i token di accesso corrispondenti alle richieste di risorse inviate dai tipi di app esterne seguenti:
Le app ospitate da provider sono eseguite in server propri su Internet o nella rete Intranet, sono registrate in Microsoft Azure e utilizzano il Servizio di controllo di accesso per ottenere il token di accesso.
Per le app ospitate da provider è necessario configurare la farm di SharePoint in modo che consideri attendibile l'istanza del Servizio di controllo di accesso dell'app ospitata da provider.
Le app con livello di attendibilità elevato sono eseguite in server autonomi nella rete Intranet e utilizzano un certificato per la firma digitale dei token di accesso generati dall'app.
Le app con livello di attendibilità elevato utilizzano il protocollo S2S per richiedere risorse per conto di un utente. Per le app con livello di attendibilità elevato configurare la farm di SharePoint con l'endpoint dei metadati JSON (JavaScript Object Notation) del server che ospita l'app. In alternativa, è possibile configurare manualmente la relazione di trust. Per altre informazioni, vedere Configurare l'autenticazione delle app in SharePoint Server
Per ulteriori informazioni sulle app con livello di attendibilità elevato, vedere l'argomento relativo alla Procedura per creare app con livello di attendibilità elevato per SharePoint 2013 utilizzando il protocollo S2S.
Scegliere i metodi di autenticazione utente per le app locali
Un'app locale è un'app ospitata dal provider in un server locale o un'app ospitata da SharePoint. Nella tabella 1 vengono indicati i diversi metodi di autenticazione utente di SharePoint Server e se è possibile utilizzare tali metodi per le app locali di SharePoint Server.
Tabella 1. Metodi di autenticazione utente e supporto dalle app locali
Metodo di autenticazione | Supportato dalle app ospitate da SharePoint | Supportato dalle app ospitate da provider |
---|---|---|
NTLM |
Sì |
Sì |
Kerberos |
Sì, ma solo quando è configurato per utilizzare NTLM come metodo di autenticazione fallback. Il metodo di autenticazione solo Kerberos non è supportato. |
Sì |
Di base |
Sì |
Sì |
Anonimo |
Sì |
Sì |
Autenticazione basata su moduli tramite il provider ASP.NET predefinito |
Sì |
Sì |
Autenticazione basata su moduli tramite LDAP (Lightweight Directory Access Protocol) |
Sì |
Sì |
Autenticazione SAML (Security Assertion Markup Language) |
Sì, se il provider di identità supporta la registrazione URL (Uniform Resource Locator) restituito con caratteri jolly e rispetta il parametro wreply . . Per configurare SharePoint Server per l'utilizzo del parametro wreply, utilizzare i seguenti comandi al prompt dei comandi di Microsoft PowerShell: $p = Get-SPTrustedIdentityTokenIssuer$p.UseWReplyParameter = $true$p.Update()
> [! NOTA]> La versione di Active Directory Federation Services (AD FS) 2.0 non supporta il carattere jolly per la registrazione dell'URL restituito. |
Sì |
Per ulteriori informazioni sui metodi di autenticazione utente in SharePoint Server, vedere Pianificare i metodi di autenticazione degli utenti in SharePoint Server.
Consentire l'accesso in ingresso dalle applicazioni esterne ospitate su Internet
Se le app esterne ospitate da provider si trovano su Internet, è necessario configurare un proxy Web inverso per eseguire l'autenticazione delle app e richiedere le risorse a farm di SharePoint nella rete Intranet. Un proxy Web inverso configurato sul perimetro della rete deve consentire connessioni HTTPS (HTTP su SSL) in ingresso dalle app alle farm di SharePoint. In genere, si identificano gli URL basati su HTTPS a cui accederanno le applicazioni esterne e si configura il proxy inverso in modo da pubblicare tali URL e fornire la sicurezza appropriata.
Considerazioni relative all'applicazione del servizio profili utente
Le app con livello di attendibilità elevato generano token di accesso propri che includono un'asserzione dell'identità dell'utente per conto del quale operano. Il server che esegue SharePoint Server e gestisce le richieste di risorse in ingresso deve essere in grado di associare la richiesta a un utente di SharePoint specifico, processo noto come riattivazione dell'identità dell'utente. Si noti che questo meccanismo è diverso rispetto all'autenticazione per le app ospitate da provider, per le quali l'utente viene identificato ma non confermato tramite asserzione.
Per la reidratazione dell'identità di un utente, un server che esegue SharePoint Server estrapola le attestazioni dal token di accesso in ingresso e le risolve in un utente di SharePoint specifico. Per impostazione predefinita, SharePoint Server utilizza l'applicazione del servizio profili utente predefinita come resolver di identità.
Gli attributi degli utenti fondamentali per la reidratazione dell'identità dell'utente sono i seguenti:
ID di sicurezza (SID) di Windows
Nome dell'entità utente (UPN) di Servizi di dominio Active Directory
Indirizzo SMTP (Simple Mail Transfer Protocol)
Indirizzo SIP (Session Initiation Protocol)
L'app deve pertanto includere almeno uno di questi attributi e tale attributo deve essere aggiornato nei profili utente. È consigliabile una sincronizzazione periodica degli archivi di identità con l'applicazione del servizio profili utente.
SharePoint Server si aspetta inoltre che sia presente una sola voce nell'applicazione del servizio profili utente per una determinata query di ricerca basata su uno o più di questi quattro attributi. In caso contrario, restituisce una condizione di errore per segnalare che sono stati trovati più profili utente. Per evitare questo tipo di errore, quindi, è consigliabile eliminare periodicamente i profili utente obsoleti dall'applicazione del servizio profili utente.
Se esiste un profilo utente per un utente e le appartenenze ai gruppi rilevanti non sono sincronizzate, l'accesso potrebbe essere negato anche quando è previsto che all'utente venga consentito l'accesso a una determinata risorsa. Assicurarsi pertanto che le appartenenze ai gruppi siano sincronizzate nell'applicazione del servizio profilo utenti.