Configurazione dell'autenticazione da server a server tra Office Online Server e SharePoint Server 2016
Riepilogo: Configurazione dell'autenticazione da server a server tra Office Online Server e SharePoint 2016.
L'autenticazione da server a server tra Office Online Server e SharePoint Server 2016 crea una relazione di attendibilità tra i due server. Tale attendibilità è un prerequisito necessario per alcune funzionalità di Excel Online, come il supporto per i file Office Data Connection (ODC) e la dashboard di gestione IT, che fa parte di SQL Server PowerPivot per SharePoint. In questo articolo viene illustrata la procedura per configurare l'attendibilità.
Per configurare l'autenticazione da server a server, la farm di Office Online Server e la farm di SharePoint Server devono trovarsi nella stessa foresta di Active Directory. È necessario disporre anche di un'applicazione del servizio profili utente configurata nella farm di SharePoint Server.
Le operazioni di base necessarie per configurare l'autenticazione da server a server sono le seguenti:
- Importare il certificato in Office Online Server
- Esportare il certificato per l'utilizzo in SharePoint Server
- Configurare Office Online Server per l'utilizzo del certificato nell'autenticazione da server a server
- Configurare SharePoint Server per l'utilizzo del certificato nell'autenticazione da server a server
Si inizia con l'importazione del certificato in Office Online Server.
Importare il certificato in Office Online Server
Il primo passaggio consiste nell'importare il certificato per l'utilizzo in Office Online Server. Seguire l'autorizzazione Importa il certificato e Concedi servizio di rete per usare le procedure chiave in ogni server della farm Office Online Server.
Importare il certificato
È possibile utilizzare un certificato SSL con chiave privata o un certificato autofirmato. È consigliabile utilizzare un certificato SSL con chiave privato. Nelle sezioni riportate di seguito sono descritte le procedure per entrambi i certificati. Scegliere quello in uso.
Usare un certificato SSL con chiave privata
Installare il certificato in ogni server che esegue Office Online Server.
Per installare il certificato in Office Online Server
- Nel server che esegue Office Online Server, aprire Gestione IIS.
- Nel riquadro sinistro fare clic sul nome del server.
- Fare doppio clic su Certificati del server.
- Nel riquadro Azioni fare clic su Importa.
- Digitare il percorso e il nome file del certificato SSL che si desidera utilizzare.
- Nella casella Password digitare la password per il certificato.
- Nell'elenco a discesa Selezione archivio certificati, verificare che l'opzione Personale sia selezionata.
- Fare clic su OK.
Ripetere questa procedura in ogni server che esegue Office Online.
Usare un certificato autofirmato
Se è in uso un certificato autofirmato, è necessario aggiungerlo alle Autorità di certificazione radice disponibile nell'elenco locale.
Per importare il certificato nelle Autorità di certificazione radice disponibile nell'elenco locale
- Aprire Microsoft Management Console.
- Nel menu File, scegliere Aggiungi/Rimuovi snap-in.
- Selezionare Certificati, quindi fare clic su Aggiungi.
- Selezionare l'opzione Account del computer, fare clic su Avanti, quindi su Fine.
- Fare clic su OK.
- Espandere Certificati (computer locale), fare clic con il pulsante destro del mouse su Autorità di certificazione radice disponibile nell'elenco locale, scegliere Tutte le attività e quindi Importa.
- Fare clic su Avanti.
- Passare al percorso del certificato, selezionarlo e fare clic su Avanti.
- Digitare la password del certificato, fare clic su Avanti, quindi su Fine.
Tenere Microsoft Management Console aperto per la procedura successiva.
Concedere al servizio di rete l'autorizzazione per l'utilizzo della chiave
Utilizzare quindi Microsoft Management Console (MMC) per concedere al servizio di rete le autorizzazioni necessarie per l'utilizzo della chiave privata.
Per concedere al servizio di rete le autorizzazioni per l'utilizzo della chiave privata
- Aprire Microsoft Management Console.
- Nel menu File, scegliere Aggiungi/Rimuovi snap-in.
- Selezionare Certificati, quindi fare clic su Aggiungi.
- Selezionare l'opzione Account del computer, fare clic su Avanti, quindi su Fine.
- Fare clic su OK.
- Espandere Certificati (computer locale), quindi Personale e infine fare clic su Certificati.
- Fare clic con il pulsante destro del mouse sul certificato appena importato, fare clic su Tutte le attività, quindi su Gestisci chiavi private.
- Nella finestra di dialogo Autorizzazioni fare clic su Aggiungi.
- Digitare Servizio di rete, quindi fare clic su OK.
- Fare clic su OK.
Assicurarsi di seguire l'autorizzazione Importa il certificato e Concedi servizio di rete per usare le procedure chiave in ogni server della farm Office Online Server.
Tenere Microsoft Management Console aperto per la procedura successiva.
Esportare il certificato per l'utilizzo in SharePoint Server
Il passaggio successivo consiste nell'esportare il certificato in modo da usarlo per registrare Office Online Server come autorità emittente di token attendibile.
Per esportare il certificato per l'utilizzo con SharePoint Server 2016
- Fare clic con il pulsante destro del mouse sul certificato appena importato, fare clic su Tutte le attività, quindi su Esporta.
- Nella pagina iniziale fare clic su Avanti.
- Selezionare l'opzione No, non esportare la chiave privata, quindi fare clic su Avanti.
- Selezionare l'opzione X.509 binario codificato DER (.CER), quindi fare clic su Avanti.
- Digitare il percorso e il nome del file che si desidera esportare, quindi fare clic su Avanti.
- Fare clic su Fine e quindi su OK.
Copiare il file del certificato creato in un percorso al quale è possibile accedere da SharePoint Server.
Successivamente, è necessario indicare questo certificato come certificato S2S per Office Online Server.
Configurare Office Online Server per l'utilizzo del certificato nell'autenticazione da server a server
Per specificare il certificato S2S per Office Online Server
- Aprire una finestra di Microsoft PowerShell come amministratore.
- Digitare il codice seguente dove <friendlyName> è il nome descrittivo del certificato in uso.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force
Utilizzo del protocollo HTTP con Office Online Server
Se si usa il protocollo HTTP anziché HTTPS per la farm di Office Online Server, è necessario consentire le connessioni HTTP in uscita da Office Online Server. Se è in uso il protocollo SSL, è possibile ignorare questa procedura.
Per abilitare le connessioni HTTP in uscita da Office Online Server, eseguire il comando PowerShell seguente:
Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset
Importante
È consigliabile usare HTTPS (TLS) indipendentemente dall'ambiente in quanto Office Online Server usa i token OAuth per comunicare con servizi esterni, ad esempio SharePoint o Exchange Server. I token OAuth contengono informazioni che possono essere intercettate e riprodotte da un utente malintenzionato, concedendo all'utente malintenzionato gli stessi diritti dell'utente che effettua la richiesta di Office Online Server.
Utilizzo dei percorsi HTTP con i file ODC
Se si intende archiviare file ODC in un percorso HTTP, è necessario configurare Office Online Server affinché consenta le connessioni di archiviazione sicura tramite HTTP.
Importante
Quando vengono utilizzate le connessioni di archiviazione sicura tramite HTTP, i contenuti del file ODC vengono passati senza crittografia. I file ODC contengono le informazioni sulla connessione del database e possono includere le password. Microsoft consiglia di usare HTTPS.
Per consentire a Office Online Server di utilizzare i percorsi HTTP con archiviazione sicura, eseguire il comando PowerShell seguente:
Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset
Configurare SharePoint Server per l'utilizzo del certificato nell'autenticazione da server a server
È necessario registrare SharePoint Server e SQL Server come autorità emittenti di token attendibili. Ciò è possibile tramite PowerShell. Di seguito sono indicati i parametri che verranno usati:
- <SPSiteURL> : URL della raccolta siti di primo livello.
- <CertificateIssuer> : nome dell'autorità di certificazione del certificato. È disponibile nella scheda Dettagli del certificato in Gestione IIS.
- <X509Certificate> : percorso e nome del file di certificato esportato.
- <RegisteredIssuer> : GUID dell'autorità di certificazione del token attendibile. SharePoint Server è 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195 e SQL Server è 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a
Eseguire la procedura seguente due volte, una volta per ogni <GUID RegisteredIssuer> .
Per registrare un'autorità emittente di token attendibile
- Aprire SharePoint 2016 Management Shell come amministratore.
- Eseguire il seguente script utilizzando i parametri sopra indicati:
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
- Se è in uso un certificato autofirmato, eseguire il comando seguente:
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>