Condividi tramite

Configurare un dispositivo proxy inverso per un ambiente ibrido di SharePoint Server

  • Articolo

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Importante

Questo articolo fa parte di una roadmap delle procedure per la configurazione di soluzioni ibride di SharePoint. Accertarsi di seguire una roadmap quando si eseguono le procedure illustrate in questo articolo.

In questo argomento viene fornita una panoramica del ruolo dei dispositivi proxy inverso in una distribuzione ibrida di SharePoint Server, con collegamenti a istruzioni di configurazione specifiche dei singoli dispositivi.

Ruolo di un proxy inverso in una distribuzione ibrida di SharePoint Server

SharePoint Server e SharePoint in Microsoft 365 possono essere configurati in una configurazione ibrida per combinare in modo sicuro i risultati della ricerca e i dati esterni di Microsoft Business Connectivity Services. I dispositivi proxy inversi svolgono un ruolo nella configurazione sicura di una distribuzione ibrida di SharePoint Server quando il traffico in ingresso da SharePoint in Microsoft 365 deve essere inoltrato alla farm di SharePoint Server locale. Ad esempio, se un utente federato usa un'istanza di SharePoint nel portale di ricerca di Microsoft 365 configurata per restituire i risultati della ricerca ibrida, un dispositivo proxy inverso intercetta e preautentica la richiesta di contenuto di SharePoint Server locale e quindi la inoltra a SharePoint Server. Il dispositivo proxy inverso in una topologia ibrida pertanto fornisce un endpoint sicuro per il traffico in ingresso con la crittografia SSL e l'autenticazione del certificato client.

Come funziona la connettività in ingresso

I diagrammi seguenti mostrano come un dispositivo proxy inverso viene utilizzato per la connettività in ingresso.

Con una soluzione di ricerca in ingresso, solo il sito di SharePoint in Microsoft 365 ha i risultati della ricerca da entrambe le posizioni.

Connettività in ingresso

Immagine grafica di un proxy in entrata.

Nell'esempio seguente un utente federato su Internet usa il portale di ricerca di SharePoint in Microsoft 365 per cercare contenuto sia in SharePoint in Microsoft 365 che nel server SharePoint locale della società.

Un utente federato su Internet ricerca contenuto presente nel server locale della propria azienda.

Immagine grafica che illustra in che modo gli utenti di una rete Extranet accedono ai file tramite TMG.

Nell'elenco che segue vengono descritti i passaggi illustrati nella figura precedente.

  1. Da Internet, un utente federato passa al proprio sito di SharePoint in Microsoft 365.

  2. SharePoint in Microsoft 365 esegue una query sull'indice di ricerca in SharePoint in Microsoft 365 e invia anche la query di ricerca all'URL esterno della farm di SharePoint locale che si risolve nell'endpoint esterno del dispositivo proxy inverso.

  3. Il dispositivo proxy inverso esegue la preautenticazione della richiesta con il certificato SSL di canale sicuro e la inoltra all'URL dell'applicazione Web principale.

  4. L'account del servizio della farm di SharePoint esegue query nell'indice di ricerca locale e applica la limitazione per motivi di sicurezza ai risultati di ricerca nel contesto dell'utente che ha inviato la richiesta di ricerca.

  5. I risultati della ricerca con riduzione della sicurezza vengono restituiti a SharePoint in Microsoft 365 e visualizzati nella pagina dei risultati della ricerca. Questo set di risultati include i risultati della ricerca dall'indice di ricerca di SharePoint in Microsoft 365 e i risultati della ricerca dall'indice di ricerca della farm di SharePoint Server.

Nota

La connettività in ingresso consente l'accesso al contenuto e alle risorse della farm di SharePoint Server locale da Internet solo se l'utente dispone di una connessione sicura attiva alla rete Intranet su VPN o DirectAccess oppure se la farm di SharePoint Server è configurata in una topologia Extranet.

Per una descrizione più dettagliata di questo processo, con indicazioni sull'utilizzo dei certificati e sul funzionamento dell'autenticazione e dell'autorizzazione in questa topologia, vedere il poster della topologia ibrida di SharePoint 2013 sui certificati e sul flusso di autenticazione e autorizzazione.

Requisiti generali del proxy inverso

In uno scenario ibrido di SharePoint Server il proxy inverso deve essere in grado di effettuare le seguenti operazioni:

  • Supportare l'autenticazione del certificato client con un certificato SSL SAN o con carattere jolly.

  • Supportare l'autenticazione pass-through per OAuth 2.0, incluse transazioni con token portanti OAuth senza limiti.

  • Accettare traffico in ingresso non richiesto sulla porta TCP 443 (HTTPS).

    Consiglio

    Per supportare la connettività ibrida, non devono essere aperte altre porte oltre alla porta TCP 443 nell'endpoint esterno del proxy inverso.

  • Associare un certificato SSL SAN o con carattere jolly a un endpoint pubblicato.

  • Inoltrare traffico a una farm di SharePoint Server locale o al bilanciamento del carico senza che vengano riscritte le intestazioni dei pacchetti.

Dispositivi proxy inverso supportati

Nella tabella riportata di seguito sono elencati i dispositivi proxy inverso attualmente supportati per le distribuzioni ibride di SharePoint Server. L'elenco verrà aggiornato man mano che verrà testata la supportabilità di nuovi dispositivi. Seguire i passaggi descritti nell'articolo sulla configurazione per il dispositivo proxy inverso che si desidera utilizzare. Dopo aver completato la configurazione del dispositivo proxy inverso, tornare alla propria roadmap.

Dispositivi proxy inverso supportati Articolo sulla configurazione Informazioni aggiuntive
proxy applicazione Azure Abilitare l'accesso remoto a SharePoint in Microsoft 365 con Microsoft Entra proxy di applicazione applicazione Azure Proxy è un servizio di Azure che consente l'accesso remoto ai servizi all'interno della rete senza aprire le porte del firewall da Internet al servizio.
Windows Server 2012 R2 con Proxy applicazione Web (WA-P)
 Configurare il proxy di applicazioni Web per un ambiente ibrido
Proxy applicazione Web (WA-P) è un servizio di accesso remoto di Windows Server 2012 R2 che pubblica applicazioni Web con cui gli utenti possono interagire da molti dispositivi.
>[! IMPORTANTE]> Per usare Application Proxy Web come dispositivo proxy inverso in un ambiente ibrido di SharePoint Server, è anche necessario distribuire AD FS in Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
 Configurare Forefront TMG per un ambiente ibrido
Forefront TMG 2010 è una soluzione gateway Web completa che offre funzionalità di proxy inverso sicure.
> [! NOTA]> Forefront TMG 2010 non è più venduto da Microsoft, ma sarà supportato fino al 14/4/2020. Per ulteriori informazioni, vedere le informazioni sul ciclo di vita del supporto Microsoft per TMG 2010.
F5 BIG-IP
 Abilitazione della ricerca ibrida di SharePoint 2013 con BIG-IP
Contenuto esterno gestito da F5 Networks.
Citrix NetScaler
 Guida alla distribuzione ibrida di Microsoft SharePoint 2013 e di Citrix NetScaler
Contenuto esterno gestito da Citrix.

Vedere anche

Concetti

Ambiente ibrido per SharePoint Server