Gestire l'autenticazione per il Catalogo dati business

Articolo
06/12/2012

Il Catalogo dati business per Microsoft Office SharePoint Server 2007 supporta due modelli di autenticazione e tre modalità di autenticazione che utilizzano SSO (Single Sign-On) per archiviare le credenziali utente.

Contenuto dell'articolo:

Selezionare un modello di autenticazione e una modalità di autenticazione preferiti
Configurare gli account per l'applicazione back-end
Abilitare e configurare il servizio Single Sign-On
Creare e configurare le definizioni di applicazioni enterprise
Modificare e importare la definizione dell'applicazione
Requisiti per l'attività

Per gestire l'autenticazione per il Catalogo dati business utilizzando il servizio SSO, effettuare le operazioni illustrate in questo documento per ogni database o servizio Web da integrare nella distribuzione.

Selezionare un modello di autenticazione e una modalità di autenticazione preferiti

Le applicazioni nel Catalogo dati business possono utilizzare diverse modalità di autenticazione le quali possono avvalersi di uno dei due modelli di autenticazione distinti disponibili.

Selezionare un modello di autenticazione

I modelli di autenticazione utilizzati dal Catalogo dati business sono concettuali e non corrispondono ad alcun XML specifico o ad altre impostazioni di configurazione. I modelli di autenticazione vengono implementati configurando il file XML di definizione dell'applicazione in modo che venga utilizzato un determinato account per la connessione al server back-end.

Il Catalogo dati business supporta i modelli di autenticazione seguenti:

Sottosistema trusted
Rappresentazione e delega

Nel modello di sottosistema trusted, il livello intermedio (in genere il server Web) viene autenticato nel server back-end come un'identità fissa. Nel modello di rappresentazione e delega, il client delega l'autenticazione al livello intermedio, che rappresenta il client ed esegue l'autenticazione al back-end per conto del client stesso. Ogni modello supporta diverse modalità di autenticazione che possono essere utilizzate in scenari diversi di integrazione.

Il modello di sottosistema trusted offre i vantaggi seguenti:

Pool di connessioni al database
Amministrazione meno complessa
Gli amministratori del server back-end per l'applicazione devono gestire le autorizzazioni per un singolo account

Il sottosistema trusted è una scelta valida per le distribuzioni nuove. Non è necessario che gli amministratori dell'applicazione configurino le autorizzazioni di autorizzazione sul server back-end per un numero elevato di utenti. Al contrario, possono configurare un account per ogni applicazione e quindi configurare l'autorizzazione in Office SharePoint Server.

Il modello di sottosistema trusted utilizza un account del servizio o un account del database associato a account di gruppo nella definizione dell'applicazione enterprise.

Il modello di rappresentazione e delega offre i vantaggi seguenti:

Controllo sul server back-end
Autorizzazione per utente sul server back-end senza necessità di ulteriore configurazione

Il modello di rappresentazione e delega può risultare una scelta valida per un'applicazione esistente configurata per l'autorizzazione per utente. Dopo aver configurato il modello di rappresentazione e delega, ogni utente continua a essere autenticato mediante la configurazione nell'applicazione back-end. Ciò può rivelarsi complicato quando in un'organizzazione vengono amministrate diverse delle applicazioni line-of-business integrate in una distribuzione di Office SharePoint Server, ciascuna con le proprie impostazioni di autorizzazione che devono essere gestite in modo continuativo. A meno che il controllo sul server back-end sia necessario, è spesso consigliabile utilizzare il modello di rappresentazione e delega solo durante la distribuzione iniziale finché non è possibile configurare un modello di sottosistema trusted.

Il modello di rappresentazione e delega utilizza un singolo account utente di Windows e un account utente del database (solo per i database) oppure un utente di autenticazione basata su form (solo per servizi Web) associati a un account singolo.

Selezionare e configurare una modalità di autenticazione

Nella tabella seguente vengono descritte le modalità di autenticazione supportate dal Catalogo dati business e viene indicata per ognuna di esse se utilizza o meno il servizio SSO.

Modalità di autenticazione	Descrizione	Utilizza SSO
Pass-through	Utilizza le credenziali dell'utente connesso per l'autenticazione all'applicazione sul server back-end. Questa modalità disponibile solo per il modello di autenticazione basato su rappresentazione e delega. L'autenticazione pass-through richiede che la delega Kerberos sia abilitata.	No
RevertToSelf	Utilizza l'account dell'identità del pool di applicazioni per autenticare gli utenti al server back-end. Poiché viene sempre utilizzato un account del servizio invece di un account singolo, RevertToSelf utilizza il modello di autenticazione basato sul sottosistema trusted.	No
WindowsCredentials	Utilizzato sia per i servizi Web sia per i database. Il Catalogo dati business rappresenta un account utente di Windows con credenziali di una definizione di applicazione enterprise ed esegue l'autenticazione di Windows.	Sì
Credentials	Utilizzato per i servizi Web che si avvalgono dell'autenticazione di base o con digest anziché l'autenticazione di Windows. Per mantenere la protezione, quando si utilizza la modalità di autenticazione Credentials è consigliabile che il canale tra il Catalogo dati business e il server back-end sia protetto mediante SSL (Secure Sockets Layer) o IPSec (Internet Protocol Security).	Sì
RdbCredentials	Utilizzato solo per database back-end. Il Catalogo dati business utilizza le credenziali di una definizione di applicazione enterprise per l'autenticazione.	Sì

La maggior parte di queste modalità utilizza il servizio SSO per archiviare le credenziali per l'applicazione, utilizzando un'identità singola o di gruppo configurata come definizione di applicazione enterprise. La modalità Pass-through utilizza le credenziali dell'utente connesso e la modalità RevertToSelf utilizza l'account di identità del pool di applicazioni per l'autenticazione degli utenti.

Per tutte le modalità di autenticazione del servizio SSO, la definizione di applicazione enterprise utilizza un account di gruppo per il modello di sottosistema trusted e un account singolo per il modello di rappresentazione e delega. Per ulteriori informazioni sulla definizione di applicazione enterprise, vedere la sezione relativa alla creazione e configurazione di definizioni di applicazioni enterprise in questo documento.

La modalità di autenticazione selezionata influenza gli account o le credenziali configurati nel server back-end e le impostazioni per il servizio SSO. Le proprietà che è necessario configurare per il file XML di definizione dell'applicazione sono descritti nella sezione relativa alla modifica e all'importazione del file XML di definizione dell'applicazione più avanti in questo documento.

Per ulteriori informazioni sui modelli e le modalità di autenticazione, vedere Autenticazione del Catalogo dati business (https://go.microsoft.com/fwlink/?linkid=100498&clcid=0x410) (informazioni in lingua inglese).

Configurare gli account per l'applicazione

Prima di procedere alla configurazione del servizio SSO per l'applicazione o del file XML di definizione dell'applicazione, configurare le autorizzazioni di autorizzazione per una o più credenziali per il server back-end:

Se si utilizza il modello di autenticazione basato sul sottosistema trusted, è sufficiente configurare un singolo account o un insieme di credenziali nell'applicazione.
Se si utilizza il modello di autenticazione basato su rappresentazione e delega, è necessario configurare l'autorizzazione per ogni credenziale rappresentata dal Catalogo dati business da un account di gruppo SSO. Se un'applicazione è già utilizzata dall'organizzazione, le credenziali necessarie potrebbero essere già state configurate, nel qual caso è possibile ignorare questo passaggio.

Gli account sono configurati all'interno del database o del servizio Web e i dettagli di configurazione dipendono dalle autorizzazioni specifiche dell'applicazione.

Abilitare e configurare il servizio Single Sign-On

Se si seleziona una modalità di autenticazione per il Catalogo dati business che utilizza il servizio SSO, è necessario abilitare e configurare Microsoft Single Sign-on (SSOSrv) in tutti i server Web front-end della farm. Se si utilizza inoltre la ricerca per Catalogo dati business, è necessario attivare SSOrv nel server di indicizzazione.

L'account di accesso per il servizio deve essere:

Un account utente di dominio. Non può essere un account di gruppo.
Un account farm di Office SharePoint Server.
Un membro del gruppo Administrators locale nel server della chiave di crittografia. Il server della chiave di crittografia è il primo server in cui viene avviato SSOSrv.
Un membro del ruolo Security Administrators e del ruolo db_creator nel computer che esegue Microsoft SQL Server.
Lo stesso account dell'amministratore SSO o un membro dell'account di gruppo corrispondente all'account amministratore di SSO.

Dopo aver configurato il servizio SSO, è necessario configurare ulteriori impostazioni nella pagina Amministrazione centrale. Le impostazioni del server per il servizio SSO includono informazioni relative a un account amministratore di SSO separato, il server database SSO e il nome del server, nonché le impostazioni di timeout e dei registri di controllo.

L'utente o gruppo impostato come account amministratore di SSO deve essere:

Un gruppo globale di Windows o l'account di un singolo utente. Questo account non può essere un account di gruppo locale di dominio o una lista di distribuzione.
Lo stesso account del servizio Single Sign-On se è specificato un utente. Se è specificato un gruppo, l'account del servizio Single Sign-on deve essere invece un membro del gruppo.
Lo stesso account dell'account di configurazione per il servizio SSO, se viene specificato un utente. Se viene specificato un gruppo, l'account di configurazione per il servizio SSO deve essere invece un membro del gruppo.
Un membro del gruppo Amministratori farm di SharePoint.

Per ulteriori informazioni sull'attivazione del servizio Single Sign-On, vedere Configurare e avviare il servizio Microsoft Single Sign-on. Per ulteriori informazioni sulla configurazione del servizio Single Sign-on, vedere Configurare il servizio Single Sign-on (Office SharePoint Server).

Creare e configurare le definizioni di applicazioni enterprise

Dopo aver configurato il servizio Single Sign-On, è necessario creare e configurare le definizioni delle applicazioni enterprise per le applicazioni line-of-business. È necessario creare una definizione di applicazione enterprise per ogni credenziale archiviata utilizzata dalle applicazioni line-of-business, dai database e dai servizi Web. In genere, si crea una definizione di applicazione enterprise per ogni applicazione o servizio, sebbene qualora si disponga di più applicazioni che utilizzano lo stesso insieme di credenziali sia necessaria una sola definizione di applicazione utilizzabile per la connessione a tutte le applicazioni che utilizzano tali credenziali.

Nota

Una definizione di applicazione enterprise per SSO non è uguale a un file XML di definizione di applicazione importato nel Catalogo dati business per ogni applicazione o servizio. È necessario creare una definizione di applicazione enterprise e separatamente farvi riferimento nel file XML di definizione di applicazione.

Dopo aver creato una definizione di applicazione enterprise, è necessario configurare le informazioni sul relativo account. Per completare questa procedura è necessario effettuare l'accesso al server come amministratore locale.

Per ulteriori informazioni sulla creazione delle definizioni delle applicazioni enterprise, vedere Creare una definizione di applicazione enterprise per il Catalogo dati business. Per ulteriori informazioni sulla configurazione delle definizioni delle applicazioni enterprise, vedere Configurare la definizione di applicazione enterprise per il Catalogo dati business.

Modificare e importare il file XML di definizione dell'applicazione

Dopo aver configurato il servizio SSO e aver creato e configurato le definizioni delle applicazioni enterprise, è necessario modificare la definizione dell'applicazione in modo da includere la modalità di autenticazione, l'implementazione per l'interfaccia ISsoProvider utilizzata dall'applicazione e l'ID dell'applicazione enterprise. Queste proprietà sono configurate nell'oggetto LOBSystemInstance nel file XML di definizione dell'applicazione.

È inoltre possibile modificare altre proprietà dell'applicazione. Per una tabella contenente l'elenco completo delle proprietà disponibili per configurare l'autenticazione di database e servizi Web, vedere LOBSystemInstance (https://go.microsoft.com/fwlink/?linkid=124545&clcid=0x410) (informazioni in lingua inglese). Sono inoltre inclusi esempi.

Per poter utilizzare le impostazioni di autenticazione per il Catalogo dati business, è necessario importare il file XML di definizione dell'applicazione nel Catalogo dati business.

Per ulteriori informazioni sulla creazione, la modifica e l'importazione di definizioni delle applicazioni per il Catalogo dati business, vedere Gestire le definizioni di applicazioni.

Le operazioni di modifica più comuni per i file XML di definizione delle applicazioni sono descritte nelle sottosezioni seguenti:

Configurazione dell'autenticazione SSO per un database
Configurazione dell'autenticazione SSO per un servizio Web
Configurazione del provider del servizio SSO per l'applicazione
Configurazione dell'autenticazione RevertToSelf
Configurazione dell'autenticazione Pass-through
Configurazione dell'autenticazione a livello di applicazione per l'applicazione

Configurazione dell'autenticazione SSO per un database

Per utilizzare il servizio SSO con sistemi di database, sono necessarie le proprietà elencate di seguito:

AuthenticationMode per l'oggetto LOBSystemInstance impostata su WindowsCredentials o RdbCredentials.
SsoProviderImplementation impostata sul nome completo dell'interfaccia ISsoProvider.

Nota

Se viene utilizzata un'interfaccia ISsoProvider di terze parti anziché l'interfaccia ISsoProvider di Office SharePoint Server, è necessario includere il nome completo del provider.
SsoApplicationId impostata sul valore dell'ID dell'applicazione enterprise. Il nome della definizione dell'applicazione enterprise viene specificato al momento della creazione.

Configurazione dell'autenticazione SSO per un servizio Web

Per utilizzare il servizio SSO con sistemi di servizi Web, sono necessarie le proprietà elencate di seguito:

WebServiceAuthenticationMode per l'oggetto LOBSystemInstance impostata su WindowsCredentials o Credentials.
SsoProviderImplementation impostata sul nome completo dell'interfaccia ISsoProvider.

Nota

Se viene utilizzata un'interfaccia ISsoProvider di terze parti anziché l'interfaccia ISsoProvider di Office SharePoint Server, è necessario includere il nome completo del provider.
WebServiceSsoApplicationId impostata sul valore dell'ID dell'applicazione enterprise.

Configurazione del provider del servizio SSO per l'applicazione

Per le applicazioni line-of-business che utilizzano il servizio SSO per autenticare gli utenti la proprietà SsoProviderImplementation e l'interfaccia ISsoProvider possono essere impostate in modo da utilizzare qualsiasi provider SSO di terze parti. Per utilizzare un provider SSO diverso da quello di Office SharePoint Server, è necessario configurare il provider e quindi includere il relativo nome completo nella definizione dell'applicazione per questa proprietà. Per ulteriori informazioni, vedere Membri di ISsoProvider (https://go.microsoft.com/fwlink/?linkid=124546&clcid=0x410) (informazioni in lingua inglese).

Configurazione dell'autenticazione RevertToSelf per l'applicazione

Invece di utilizzare il servizio SSO, è possibile utilizzare la modalità di autenticazione RevertToSelf per configurare l'applicazione in modo che venga eseguita come identità dell'account del pool di applicazioni e che l'autenticazione avvenga mediante le autorizzazioni individuali di ogni utente per l'applicazione. Per utilizzare la modalità di autenticazione RevertToSelf, impostare la proprietà di autenticazione nel modo seguente:

Per l'autenticazione a un database, impostare la proprietà AuthenticationMode per l'oggetto LOBSystemInstance su RevertToSelf.
Per l'autenticazione a un servizio Web, impostare la proprietà WebServiceAuthenticationMode per l'oggetto LOBSystemInstance su RevertToSelf.

Configurazione dell'autenticazione Pass-through per l'applicazione

Anche per L'autenticazione Pass-through non viene utilizzato il servizio SSO per l'archiviazione degli account, in quanto ogni utente viene autenticato direttamente mediante le autorizzazioni del relativo account nell'applicazione back-end. Per utilizzare la modalità di autenticazione Pass-through, impostare la proprietà di autenticazione nel modo seguente:

Per l'autenticazione a un database, impostare la proprietà AuthenticationMode per l'oggetto LOBSystemInstance su PassThrough.
Per l'autenticazione a un servizio Web, impostare la proprietà WebServiceAuthenticationMode per l'oggetto LOBSystemInstance su PassThrough.

Configurazione dell'autenticazione a livello di applicazione per l'applicazione

Il Catalogo dati business supporta inoltre un'autenticazione secondaria a livello di applicazione. L'autenticazione viene utilizzata in aggiunta all'autenticazione primaria configurata per il sistema. Risulta particolarmente utile, ad esempio, nelle situazioni in cui per un'applicazione back-end sono necessarie credenziali di protezione da passare alle chiamate al metodo per l'autorizzazione degli utenti. Per abilitare l'autenticazione a livello di applicazione, eseguire la procedura seguente:

Nella proprietà SecondarySsoApplicationId dell'oggetto LobSystemInstance specificare l'applicazione SSO contenente le credenziali.
Definire le proprietà UsernameCredentialFilter e PasswordCredentialFilter e associare ognuna di essere a un parametro di input.

Configurare l'accesso anonimo

Il Service Pack 1 (SP1) per i server Microsoft Office 2007 aggiunge una nuova proprietà AllowAnonymousExecute per la definizione di applicazione che consente di abilitare l'accesso anonimo di dati business in web part per dati business. L'accesso anonimo viene abilitato impostando il valore della proprietà su true. Di seguito viene riportato il codice XML della proprietà:

<Properties>

<Property Name="AllowAnonymousExecute" Type="System.Boolean">true</Property>

</Properties>

Per abilitare l'accesso anonimo a dati contenuti in una web part Elenco dati business o Elemento dati business, aggiungere questa proprietà all'istanza di metodo utilizzata dalla web part.

Ad esempio, per consentire agli utenti anonimi di eseguire l'istanza di metodo ArtistRead per una web part Elemento dati business che consente di visualizzare informazioni su un artista musicale, scrivere il codice seguente:

<MethodInstance Type="SpecificFinder" ReturnParameterName="ArtistRead" Name="ArtistRead">