Configurare il servizio di archiviazione sicura in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In questo articolo viene descritto come configurare il servizio di archiviazione sicura in una farm di SharePoint Server. All'archiviazione sicura sono associate importanti considerazioni sulla pianificazione. Leggere Pianificare il servizio di archiviazione sicura in SharePoint Server prima di eseguire le procedure descritte in questo articolo.
Configurare l'archiviazione sicura in SharePoint Server
Il servizio archiviazione sicura viene eseguito in base ai ruoli del server dell'applicazione e front-end. È automaticamente sottoposto a provisioning quando si crea un'applicazione del servizio archiviazione sicura.
Per configurare l'archiviazione sicura, è necessario eseguire le procedure seguenti:
Registrare un account gestito in SharePoint Server per eseguire il pool di applicazioni di archiviazione sicura.
Avviare il servizio di archiviazione sicura in un server applicazioni nella farm. (solo SharePoint Server 2013)
Creare un'applicazione del servizio di archiviazione sicura.
Per eseguire il pool di applicazioni, è necessario disporre di un account di dominio standard. Non sono necessarie autorizzazioni specifiche per questo account. Dopo aver creato l'account in Active Directory, seguire questa procedura per registrarlo in SharePoint Server.
Per registrare un account gestito
Nel riquadro di spostamento sinistro della home page del sito Web di Amministrazione centrale SharePoint fare clic su Sicurezza.
Nella sezione Sicurezza generale della pagina Sicurezza fare clic su Configura account gestiti.
Nella pagina Account gestiti fare clic su Registra account gestito.
Nella casella Nome utente digitare il nome dell'account.
Nella casella Password digitare la password per l'account.
Se si desidera che la modifica della password per l'account venga gestita automaticamente in SharePoint Server, selezionare la casella di controllo Abilita modifica automatica password e specificare i parametri di modifica della password che si desidera utilizzare.
Fare clic su OK.
Se si utilizza SharePoint Server 2013, è necessario avviare il servizio di archiviazione sicura in un server applicazioni nella farm. Se si utilizza SharePoint Server 2016, il servizio verrà avviato automaticamente da MinRole.
Per avviare il servizio di archiviazione sicura (SharePoint Server 2013)
Nella sezione Impostazioni di sistema della home page di Amministrazione centrale fare clic su Gestisci servizi nel server.
Sopra l'elenco Servizio fare clic sull'elenco a discesa Server e quindi su Cambia server.
Selezionare il server applicazioni in cui si desidera eseguire il servizio di archiviazione sicura.
Nell'elenco Servizio fare clic su Avvia accanto a Servizio di archiviazione sicura.
Successivamente, è necessario creare un'applicazione di servizio del servizio di archiviazione sicura. A tale scopo, eseguire la procedura seguente.
Per creare un'applicazione del servizio di archiviazione sicura
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Nella pagina Gestisci applicazioni di servizio fare clic su Nuovo e quindi su Servizio di archiviazione sicura.
Nella casella Nome applicazione di servizio digitare un nome per l'applicazione di servizio, ad esempio Servizio di archiviazione sicura.
Nella casella Server di database digitare l'istanza di SQL Server in cui si desidera creare il database di archiviazione sicura.
Nota
Poiché il database di archiviazione sicura contiene informazioni riservate, è consigliabile distribuirlo in un'istanza di SQL Server diversa dal resto di SharePoint Server.
Selezionare l'opzione Crea nuovo pool di applicazioni e digitare un nome per il pool di applicazioni nella casella di testo.
Selezionare l'opzione Configurabile e nell'elenco a discesa selezionare l'account per cui è stato creato l'account gestito nella procedura precedente.
Fare clic su OK.
Il servizio di archiviazione sicura è stato configurato. Il passaggio successivo consiste nel generare una chiave di crittografia per crittografare il database di archiviazione sicura.
Utilizzo delle chiavi di crittografia di Archiviazione sicura
Prima di usare il servizio di archiviazione sicura, è necessario generare una chiave di crittografia. La chiave viene usata per crittografare e decrittografare le credenziali archiviate nel database del servizio di archiviazione sicura.
Generare una chiave di crittografia
Quando si accede all'applicazione del servizio di archiviazione sicura per la prima volta, l'unica opzione disponibile è la generazione di una nuova chiave di crittografia. Dopo avere generato la chiave di crittografia, tutte le altre funzionalità di archiviazione sicura diventano disponibili.
Per generare una nuova chiave di crittografia
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Fare clic sull'applicazione del servizio di archiviazione sicura.
Nel gruppo Gestione chiavifare clic su Genera nuova chiave.
Nella pagina Genera nuova chiave digitare una stringa passphrase nella casella Passphrase e quindi digitare la stessa stringa nella casella Conferma passphrase. Questa passphrase viene utilizzata per crittografare il database di archiviazione sicura.
Importante
Una stringa di passphrase deve essere di almeno otto caratteri e deve contenere almeno tre dei quattro elementi seguenti: > caratteri > maiuscoli Caratteri > minuscoli Numerali > Qualsiasi dei caratteri > speciali seguenti "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Importante
La passphrase immessa non è archiviata. Assicurati di annotarlo e conservarlo in un luogo sicuro. È necessario che la chiave venga aggiornata, ad esempio quando si aggiunge un nuovo server applicazioni alla server farm.
Fare clic su OK.
Come norma di sicurezza o come parte della manutenzione normale può essere opportuno generare una nuova chiave di crittografia e imporre che il servizio di archiviazione sicura venga nuovamente crittografato in base alla nuova chiave. A tale scopo, è possibile utilizzare questa stessa procedura.
Attenzione
È opportuno eseguire il backup del database dell'applicazione del servizio di archiviazione sicura prima di generare una nuova chiave.
Aggiornamento della chiave di crittografia di Archiviazione sicura
L'aggiornamento della chiave di crittografia consente di propagare la chiave a tutti i server applicazioni nella farm. Può essere necessario aggiornare la chiave di crittografia se si verificano una o più delle condizioni seguenti:
Si aggiunge un nuovo server applicazioni alla server farm.
Si ripristina un database del servizio di archiviazione sicura precedentemente sottoposto a backup e successivamente si era modificata la chiave di crittografia.
Viene visualizzato un messaggio di errore che indica che non è possibile ottenere la chiave master.
Per aggiornare la chiave di crittografia
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Fare clic sull'applicazione del servizio di archiviazione sicura.
Nel gruppo Gestione chiavifare clic su Aggiorna chiave.
Nella casella ** Passphrase **, digitare la passphrase utilizzata per prima per generare la chiave di crittografia.
Questa passphrase è quella utilizzata quando è stata inizializzata l'applicazione del servizio di archiviazione sicura o quando è stata creata una nuova chiave utilizzando il comando Genera nuova chiave.
Fare clic su OK.
Archiviare le credenziali nel servizio di archiviazione sicura
L'archiviazione delle credenziali nel servizio di archiviazione sicura viene eseguita utilizzando un'applicazione di destinazione dell'archiviazione sicura. Un'applicazione di destinazione esegue il mapping delle credenziali di un utente, un gruppo o un'attestazione a un set di credenziali crittografate archiviate nel database di archiviazione sicura. Dopo aver creato un'applicazione di destinazione, è possibile associarla a un tipo di contenuto o a un modello di applicazione esterno oppure utilizzarla con un servizio di business intelligence, ad esempio Excel Online o Visio Services, per consentire l'accesso a un'origine dati esterna. Quando un'applicazione di servizio di SharePoint Server chiama l'applicazione di destinazione, il servizio di archiviazione sicura verifica che l'utente che invia la richiesta sia un utente autorizzato dell'applicazione di destinazione e quindi recupera le credenziali crittografate. Le credenziali vengono quindi utilizzate per conto dell'utente dall'applicazione di servizio di SharePoint Server.
Per creare un'applicazione di destinazione, è necessario eseguire le operazioni seguenti:
Creare l'applicazione di destinazione stessa, specificando il tipo di credenziali che si desidera archiviare nel database di archiviazione sicura, gli amministratori per l'applicazione di destinazione e i proprietari delle credenziali.
Specificare le credenziali che si desidera archiviare.
Creare un'applicazione di destinazione
Le applicazioni di destinazione vengono configurate nella pagina Applicazione del servizio di archiviazione sicura in Amministrazione centrale. Per creare l'applicazione di destinazione, eseguire la procedura seguente.
Per creare un'applicazione di destinazione
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Fare clic sull'applicazione del servizio di archiviazione sicura.
Nel gruppo Gestisci applicazioni di destinazione fare clic su Nuovo.
Nella casella ID applicazione di destinazione digitare una stringa di testo.
Si tratta della stringa univoca che verrà utilizzata esternamente per identificare l'applicazione di destinazione.
Nella casella Nome visualizzato digitare una stringa di testo che verrà utilizzata per visualizzare l'identificatore dell'applicazione di destinazione nell'interfaccia utente.
Nella casella Indirizzo di posta elettronica contatto digitare l'indirizzo di posta elettronica del contatto principale per l'applicazione di destinazione.
Tale indirizzo può esser qualsiasi indirizzo di posta elettronica valido e non è necessario che identifichi un amministratore dell'applicazione del servizio di archiviazione sicura.
Quando si crea un'applicazione di destinazione di tipo Account personale (vedere di seguito), è possibile implementare una pagina Web personalizzata che consenta agli utenti di aggiungere credenziali individuali per l'origine dati di destinazione. A tal fine è richiesto codice personalizzato per passare le credenziali all'applicazione di destinazione. Se si è eseguita questa operazione, digitare l'URL completo della pagina nel campo URL pagina applicazione di destinazione. Sono disponibili tre opzioni:
Usa pagina predefinita: tutti i siti Web che usano l'applicazione di destinazione per accedere ai dati esterni avranno una singola pagina di iscrizione aggiunta automaticamente. L'URL di questa pagina sarà http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx? TargetAppId=<TargetApplicationID>, dove <TargetApplicationID> è la stringa digitata nella casella ID applicazione di destinazione . Pubblicando il percorso di questa pagina, è possibile consentire agli utenti di aggiungere le proprie credenziali per l'origine dati esterna.
Usa pagina personalizzata: si offre una pagina Web personalizzata che consente agli utenti di inserire credenziali individuali. Digitare l'URL della pagina personalizzata in questo campo.
Nessuna: non è presente alcuna pagina di iscrizione. Le singole credenziali vengono aggiunte esclusivamente da un amministratore del servizio di archiviazione sicura che utilizza l'applicazione del servizio di archiviazione sicura.
Nell'elenco a discesa Tipo di applicazione di destinazione selezionare il tipo di applicazione di destinazione: Gruppo per credenziali di gruppo o Account personale se ogni utente è mappato a un set univoco di credenziali nell'origine dati esterna.
Nota
Esistono due tipi primari per la creazione di un'applicazione di destinazione: > Group, per il mapping di tutti i membri di uno o più gruppi a un singolo set di credenziali nell'origine dati esterna. > Singolo, per il mapping di ogni utente a un set univoco di credenziali nell'origine dati esterna.
Fare clic su Avanti.
Utilizzare la pagina Specificare i campi di credenziali per l'applicazione di destinazione dell'archiviazione sicura per configurare i diversi campi eventualmente necessari per comunicare le credenziali all'origine dati esterna. Per impostazione predefinita, sono elencati due campi: Nome utente di Windows e Password di Windows.
Per aggiungere un ulteriore campo mediante cui comunicare le credenziali all'origine dati esterna, nella pagina Specifica campi credenziali per applicazione di destinazione servizio di archiviazione sicura fare clic su Aggiungi campo.
Per impostazione predefinita, il tipo del nuovo campo è impostato su Generale. Sono disponibili i campi seguenti:
Campo | Descrizione |
---|---|
Generale |
Valori che non rientrano in alcuna delle altre categorie. |
Nome utente |
Account utente che identifica l'utente. |
Password |
Parola o frase segreta. |
PIN |
Numero di identificazione personale. |
Chiave |
Parametro che determina l'output funzionale di un algoritmo crittografico. |
Nome utente di Windows |
Account utente di Windows che identifica l'utente. |
Password di Windows |
Parola o frase segreta per un account di Windows. |
Certificato |
Certificato. |
Password certificato |
Password per il certificato. |
Per modificare il tipo di un campo nuovo o esistente, fare clic sulla freccia visualizzata accanto al tipo del campo e quindi selezionare il nuovo tipo di campo.
Nota
Ogni campo aggiunto deve contenere dati quando si impostano le credenziali per l'applicazione di destinazione.
È possibile modificare il nome che gli utenti visualizzano quando interagiscono con un campo. Nella colonna Nome campo della pagina Specificare i campi di credenziali per l'applicazione di destinazione dell'archiviazione sicura modificare il nome del campo selezionando il testo corrente e digitando il nuovo testo.
Quando un campo è mascherato, ogni carattere digitato da un utente non viene visualizzato, ma è sostituito da un carattere di maschera, ad esempio l'asterisco "*". Per mascherare un campo, selezionare la casella di controllo per il campo nella colonna Nascosto della pagina.
Per eliminare un campo, fare clic sull'icona di eliminazione del campo nella colonna Elimina della pagina.
Dopo aver terminato la modifica dei campi delle credenziali, fare clic su Avanti.
Nella pagina Specifica impostazioni di appartenenza in Campo amministratori applicazione di destinazione elencare tutti gli utenti che hanno accesso alla gestione delle impostazioni dell'applicazione di destinazione.
Se il tipo di applicazione di destinazione è un gruppo, nel campo Membri elencare i gruppi di utenti di cui eseguire il mapping a un set di credenziali per l'applicazione di destinazione.
Fare clic su OK per completare la configurazione dell'applicazione di destinazione.
Impostare le credenziali per un'applicazione di destinazione di Archiviazione sicura
Dopo aver creato un'applicazione di destinazione, un amministratore di tale applicazione può impostarne le credenziali. Queste credenziali vengono utilizzate dall'applicazione chiamante per consentire l'accesso a un'origine dati esterna. Se l'applicazione di destinazione è di tipo Account personale, è anche possibile consentire agli utenti di specificare le proprie credenziali.
Per impostare le credenziali per un'applicazione di destinazione
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Fare clic sull'applicazione del servizio di archiviazione sicura.
Nell'elenco delle applicazioni di destinazione posizionare il puntatore del mouse sull'applicazione di destinazione per cui si desidera impostare le credenziali, fare clic sulla freccia visualizzata e quindi scegliere Imposta credenziali dal menu.
Se l'applicazione di destinazione è di tipo Gruppo, digitare le credenziali per l'origine dati esterna. I campi per l'impostazione delle credenziali variano a seconda delle informazioni richieste dall'origine dati esterna.
Se l'applicazione di destinazione è di tipo Account personale, digitare il nome utente della persona di cui si eseguirà il mapping a un set di credenziali nell'origine dati esterna e digitare le credenziali per l'origine dati esterna. I campi per l'impostazione delle credenziali variano a seconda delle informazioni richieste dall'origine dati esterna.
Fare clic su OK.
Dopo aver impostato le credenziali per l'applicazione di destinazione, questa è pronta per essere utilizzata da un servizio di SharePoint Server, ad esempio Servizi di integrazione applicativa, Excel Services o Visio Services.
Abilitare il log di controllo di Archiviazione sicura
Le voci di controllo del servizio di archiviazione sicura vengono archiviate nel database del servizio di archiviazione sicura. Per impostazione predefinita, il file di log di controllo è disabilitato.
In una voce del log di controllo vengono archiviate informazioni su un'azione del servizio di archiviazione sicura, ad esempio quando è stata eseguita, l'esito, l'eventuale motivo di un esito negativo, l'utente del servizio di archiviazione sicura che l'ha eseguita e, facoltativamente, l'utente del servizio di archiviazione sicura per conto del quale è stata eseguita. Una ragione valida per abilitare un file di log di controllo è pertanto rappresentata dalla necessità di risolvere un problema di autenticazione.
Per abilitare il log di controllo utilizzando Amministrazione centrale
Nella sezione Gestione applicazioni della home page di Amministrazione centrale fare clic su Gestisci applicazioni di servizio.
Selezionare l'applicazione del servizio di archiviazione sicura. In altri termini, selezionare l'applicazione di servizio, ma non fare clic sul collegamento per passare alla pagina delle impostazioni dell'applicazione del servizio di archiviazione sicura.
Sulla barra multifunzione, fare clic su Proprietà.
Nella sezione Attiva controllo fare clic per selezionare la casella Log di controllo attivato.
Per modificare il numero di giorni che devono trascorrere prima dell'eliminazione delle voci dal file di log, specificare un numero di giorni nel campo Giorni alla cancellazione. Il valore predefinito è 30 giorni.
Fare clic su OK.