Pianificare provider di attestazioni personalizzati per Selezione utenti in SharePoint
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
È possibile usare i provider di attestazioni inclusi in SharePoint Server oppure creare provider di attestazioni personalizzati per connettersi a origini aggiuntive di attestazioni e fornire attestazioni aggiuntive nel token di sicurezza per un utente. Ad esempio, se si dispone di un'applicazione CRM (Customer Relationship Management) contenente ruoli non presenti nel repository utenti in Servizi di dominio Active Directory, è possibile creare un provider di attestazioni personalizzato per connettersi al database CRM e aggiungere dati del ruolo CRM al token di sicurezza originale di un utente. Per ulteriori informazioni sugli scenari di utilizzo dei provider di attestazioni, vedere Provider di attestazioni.
Un provider di attestazioni in SharePoint Server viene usato per aumentare le attestazioni e fornire la risoluzione dei nomi. Nel ruolo di incremento delle attestazioni un provider di attestazioni incrementa un token di sicurezza utente con ulteriori attestazioni durante l'accesso. Per ulteriori informazioni sull'incremento delle attestazioni, vedere Provider di attestazioni. Nel ruolo di risoluzione dei nomi un provider di attestazioni elenca, risolve, esegue ricerche e determina la visualizzazione intuitiva di utenti, gruppi e attestazioni in Selezione utenti. La scelta delle attestazioni consente a un'applicazione di esaminare le attestazioni in Selezione utenti, ad esempio quando si configura la sicurezza di un sito di SharePoint o di un servizio di SharePoint. Per altre informazioni su Selezione utenti, vedere Plan for People Picker in SharePoint.For more information about People Picker, see Plan for People Picker in SharePoint.
Per impostazione predefinita, le informazioni risolte in Selezione utenti con l'esecuzione di una query dipendono dalle informazioni specificate dal provider di attestazioni. Non è possibile modificare le informazioni fornite e la modalità di visualizzazione quando si usa un provider di attestazioni predefinito. A tale scopo, è necessario creare un provider di attestazioni personalizzato che soddisfi le esigenze della soluzione in uso per trovare e selezionare utenti, gruppi e attestazioni quando un utente assegna autorizzazioni a elementi quali un sito, un elenco o una raccolta.
Quando si crea un provider di attestazioni personalizzato, è possibile determinare quali informazioni visualizzare e quali risultati restituire in risposta a una query dal controllo Selezione utenti. Per impostazione predefinita, si configura l'applicazione Web per utilizzare l'autenticazione basata sulle attestazioni e quindi si registra il provider di attestazioni sul server.
Prima di leggere questo articolo, è necessario comprendere i concetti descritti in Pianificare i metodi di autenticazione utente in SharePoint Server e Il ruolo delle attestazioni. Per ulteriori informazioni sull'autenticazione basata sulle attestazioni, vedere Identità basata sulle attestazioni di SharePoint e Guida all'identità basata sulle attestazioni e al controllo dell'accesso.
Architettura
Quando un'applicazione Web è configurata per l'uso dell'autenticazione basata sulle attestazioni, SharePoint Server usa automaticamente due provider di attestazioni predefiniti:
La classe SPSystemClaimProvider fornisce informazioni sulle attestazioni relative alla server farm in cui è installato SharePoint Server.
La classe SPAllUserClaimProvider fornisce un'attestazione All Users.
A seconda del metodo di autenticazione selezionato per una zona di un'applicazione Web, SharePoint Server usa anche uno o più provider di attestazioni predefiniti elencati nella tabella 1.
Tabella 1. Metodi di autenticazione e provider di attestazione predefiniti
Metodo di autenticazione | Provider di attestazioni |
---|---|
Autenticazione di Windows |
SPActiveDirectoryClaimProvider |
Autenticazione basata su moduli |
SPFormsClaimProvider |
Autenticazione basata su token SAML (Security Assertion Markup Language) |
SPTrustedClaimProvider |
È possibile visualizzare un elenco di provider di attestazioni per una farm usando il cmdlet Di Microsoft PowerShell Get-SPClaimProvider .
Nota
Se un'applicazione Web è configurata per utilizzare l'autenticazione basata su token SAML, la classe SPTrustedClaimProvider non offre funzionalità di ricerca per il controllo Web Selezione utenti. Tutto il testo immesso in tale controllo viene visualizzato automaticamente come se fosse risolto, indipendentemente dal fatto che si tratti di un utente, un gruppo o un'attestazione valida. Se la soluzione SharePoint Server userà l'autenticazione basata su token SAML, è consigliabile creare un provider di attestazioni personalizzato per implementare la ricerca personalizzata e la risoluzione dei nomi.
I provider di attestazioni vengono registrati in una server farm come funzionalità distribuite nella farm. L'ambito è a livello di farm. Ogni oggetto provider di attestazioni usa la classe SPClaimProviderDefinition per includere informazioni sul provider di attestazioni, ad esempio nome visualizzato, descrizione, assembly e tipo. Due proprietà importanti della classe SPClaimProviderDefinition sono IsEnabled e IsUsedByDefault. Queste proprietà determinano se un provider di attestazioni registrato è abilitato per l'uso nella farm e se il provider di attestazioni viene usato per impostazione predefinita in una determinata zona. Per impostazione predefinita, tutti i provider di attestazioni vengono abilitati quando vengono distribuiti in una server farm. Per informazioni sulla classe SPClaimProviderDefinition, vedere SPClaimProviderDefinition .
Per ulteriori informazioni sulle aree e l'autenticazione, vedere Pianificare i metodi di autenticazione degli utenti in SharePoint Server.
Configurazione di un provider di attestazioni personalizzato di esempio
Per impostazione predefinita, quando si registra un provider di attestazioni personalizzato nella farm, le proprietà IsEnabled e IsUsedByDefault vengono entrambe impostate su True. A seconda del numero di zone necessarie per la soluzione SharePoint Server, dei metodi di autenticazione usati da ogni zona e degli utenti per ogni zona, è possibile limitare le zone in cui viene visualizzato il provider di attestazioni personalizzato in Selezione utenti.
Poiché i provider di attestazioni hanno come ambito il livello della farm e sono abilitati a livello di area, è necessario pianificare attentamente le aree in cui si desidera visualizzare il provider di attestazioni personalizzato. In generale, è necessario assicurarsi che la proprietà IsUsedByDefault sia impostata su False e quindi configurare la classe SPIisSettings per ogni zona in cui si vuole usare il provider di attestazioni personalizzato. Per configurare un provider di attestazioni personalizzato per le zone selezionate, è possibile creare uno script di PowerShell che imposta il provider di attestazioni per una zona usando la proprietà ClaimsProviders() oppure creare un'applicazione personalizzata per consentire di abilitare un provider di attestazioni personalizzato per le zone selezionate.
Si consideri ad esempio uno scenario in cui siano presenti due applicazioni Web:
La prima applicazione Web, denominata PartnerWeb, include due aree (una in cui viene utilizzata l'autenticazione basata sulle attestazioni di Windows e una Extranet in cui viene utilizzata l'autenticazione basata su moduli) e viene utilizzata per la collaborazione tra dipendenti e partner.
La seconda applicazione Web, denominata PublishingWeb, dispone di un'unica area in cui viene utilizzata l'autenticazione basata su moduli e corrisponde a un sito di pubblicazione Internet per dipendenti, partner aziendali e partner clienti.
Si supponga ora per l'area Extranet in PartnerWeb di voler consentire ai dipendenti di collaborare con i partner aziendali, ma non con i partner clienti. A tale scopo, si scrive un provider di attestazioni personalizzato che determina se l'utente corrente è un partner aziendale oppure un partner cliente in base all'identità dell'utente stesso. In questo esempio gli utenti di fabrikam.com sono partner aziendali, mentre gli utenti di contoso.com sono partner clienti. Quando un utente che corrisponde a un partner aziendale viene autenticato nell'applicazione Web PartnerWeb, al token di attestazione viene aggiunta un'attestazione per un ruolo BusinessPartner. Quando viene autenticato un partner cliente, al token di attestazione viene aggiunta un'attestazione per un ruolo CustomerPartner.
Per assicurarsi che i partner clienti non vengano mai aggiunti al sito di collaborazione Extranet, si aggiunge all'applicazione Web PartnerWeb per l'area Extranet un criterio di applicazione Web che impedisce in modo esplicito l'accesso a qualsiasi utente con un'attestazione per un ruolo CustomerPartner. Il provider di attestazioni personalizzato deve inoltre implementare il supporto per la ricerca e l'immissione per consentire al criterio di applicazione Web di risolvere l'attestazione del ruolo CustomerPartner in modo che possa essere aggiunta al criterio stesso. Infine, per abilitare questa funzionalità nella zona extranet, configurare la classe SPIisSettings per tale zona per l'uso del provider di attestazioni personalizzato. Nel diagramma seguente vengono illustrati i metodi di autenticazione e le impostazioni del provider di attestazioni per ogni applicazione Web e ogni area.
Figura 1. Esempio dei metodi di autenticazione e delle impostazioni del provider di attestazioni per le applicazioni Web e le aree
È possibile impostare la proprietà IsUsedByDefault configurandola in un ricevitore della caratteristica creato per il provider di attestazioni personalizzato.
È anche possibile eseguire l'override delle impostazioni delle proprietà IsEnabled e IsUsedByDefault usando il cmdlet Di PowerShell Set-SPClaimProvider .
Importante
Se si modifica la proprietà IsEnabled impostandola su False, si disabiliterà il provider di attestazioni per la server farm. Questa soluzione può essere utile se è necessario risolvere problemi che potrebbero essere causati da un provider di attestazioni personalizzato. La proprietà IsEnabled in genere deve essere impostata su True.
Utilizzo di attestazioni personalizzate in più di una farm
I valori delle attestazioni sono una combinazione dell'attestazione stessa, del nome del provider di attestazioni e dell'ordine in cui il provider di attestazioni è stato installato nel server. Di conseguenza, se si desidera utilizzare un'attestazione in più farm o ambienti, è necessario installare i provider di attestazioni nello stesso ordine in ogni farm in cui si intende utilizzare l'attestazione. Attenersi alla procedura seguente quando è stato installato un provider di attestazioni personalizzato in una farm e si desidera utilizzare la stessa attestazione in altre farm:
Registrare i provider di attestazioni nelle farm aggiuntive nello stesso ordine in cui erano stati registrati nella prima farm.
Eseguire un backup della prima farm. Per informazioni su come eseguire il backup di una farm, vedere Eseguire il backup di farm in SharePoint Server.
Utilizzare il backup della prima farm per ripristinare le altre farm. Per informazioni su come ripristinare una farm, vedere Ripristinare farm in SharePoint Server.
Considerazioni sulla pianificazione per i provider di attestazioni personalizzati
Quando si pianifica la creazione di provider di attestazioni personalizzati da utilizzare nella selezione utenti della soluzione SharePoint, è necessario prendere in considerazione i seguenti aspetti:
Quali aree sono presenti nell'applicazione Web e quali metodi di autenticazione vengono utilizzati in ogni area
Se sono presenti attestazioni personalizzate da aggiungere agli utenti per consentire autorizzazioni o scenari di sicurezza più avanzati
Se si utilizzerà l'autenticazione SAML con un provider di identità attendibile
Quale sarà l'origine dei valori per gli utenti e i ruoli da visualizzare nei risultati della query della selezione utenti
Il team di Pubblicazione contenuto di SharePoint Server vuole ringraziare Steve Peschka per aver contribuito a questo articolo. Date un'occhiata al blog TechNet Share-n-dipity di Steve Peschka.
Vedere anche
Concetti
Panoramica su Selezione utenti e provider di attestazioni
Pianificare i metodi di autenticazione degli utenti in SharePoint Server