Procedure consigliate per ambienti Extranet (SharePoint Server 2010)

 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo sono riportati i suggerimenti di pianificazione e progettazione per gli ambienti Extranet basati su SharePoint Server in cui agli utenti esterni alla rete interna viene concesso l'accesso ai siti. Questo articolo fa parte di una serie di articoli sulle procedure consigliate per Microsoft SharePoint Server 2010.

1. Informazioni preliminari sulle topologie Extranet per il modello dei Prodotti SharePoint 2010

Il modello relativo alle topologie Extranet per i Prodotti SharePoint 2010 illustra le topologie Extranet specifiche testate con i Prodotti SharePoint 2010. Viene inoltre fornito un confronto tra il server ISA (Internet Security and Acceleration), Forefront Threat Management Gateway (TMG) e Forefront Unified Access Gateway (UAG) quando utilizzati come prodotto firewall o gateway con i Prodotti SharePoint 2010.

Topologie Extranet per i Prodotti SharePoint 2010

Fare clic sull'immagine per ingrandire il modello delle topologie Extranet per i prodotti SharePoint 2010 (le informazioni potrebbero essere in lingua inglese)

Scaricare il modello delle topologie Extranet per i prodotti SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=219527&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)

2. Scegliere la licenza server appropriata

La licenza o la combinazione di licenze per i server dipende da diversi fattori. Per SharePoint Server 2010, vedere Planning for server farms (SharePoint Server 2010) per informazioni sulle diverse considerazioni e opzioni relative alle licenze applicabili agli ambienti Extranet.

3. Utilizzare più meccanismi di autenticazione

Non tentare di standardizzare tutti gli utenti con un singolo meccanismo di autenticazione. Utilizzare invece il meccanismo in grado di garantire un utilizzo ottimale per ogni gruppo di destinatari. Ad esempio, utilizzando l'autenticazione basata sulle attestazioni SAML per i partner, si consente a tali utenti di utilizzare un set di credenziali. Sfruttare la flessibilità offerta da SharePoint Server per configurare l'autenticazione invece di distribuire un unico meccanismo di autenticazione a tutti gli utenti di un'organizzazione.

Per un esempio di progettazione in cui vengono utilizzati più meccanismi di autenticazione, vedere Esempio di progettazione: distribuzione aziendale (SharePoint Server 2010).

4. Mantenere la coerenza nell'autenticazione per gli utenti

Assicurarsi che gli utenti possano utilizzare lo stesso account e le stesse credenziali per eseguire l'accesso ai siti, indipendentemente dal fatto che si trovino all'interno o all'esterno della rete interna. Questo è importante perché, se gli utenti si connettono ai siti mediante due diversi provider di autenticazione, SharePoint Server crea due account e due profili diversi per ogni utente.

Se internamente si utilizza l'autenticazione di Windows, vi sono almeno due opzioni per garantire che gli utenti possano eseguire l'accesso con lo stesso account internamente ed esternamente:

• Utilizzare l'autenticazione basata su moduli per il prodotto firewall o gateway per raccogliere le credenziali di Windows che vengono inoltrate alla farm di SharePoint. Ciò vale per gli ambienti in cui viene utilizzata l'autenticazione in modalità classica e in cui l'autenticazione basata su moduli per i siti di SharePoint non è supportata.

• Utilizzare SSL (Secure Sockets Layer) per implementare solo un URL utilizzabile sia internamente che esternamente. In altri termini, i dipendenti utilizzano la stessa area configurata per SSL, indipendentemente dalla posizione in cui si trovano.

5. Configurare le aree nello stesso modo tra applicazioni Web

In un ambiente Extranet la progettazione delle aree è fondamentale. Verificare che la configurazione delle aree soddisfi i requisiti seguenti:

• Configurare le aree in più applicazioni Web in modo che venga eseguito il mirroring reciproco. La configurazione dell'autenticazione, delle aree e degli utenti assegnati alle aree deve corrispondere. I criteri associati alle aree possono tuttavia differire tra le applicazioni Web. Assicurarsi ad esempio che l'area Intranet venga utilizzata per gli stessi dipendenti in tutte le applicazioni Web. In altri termini, non configurare l'area Intranet per i dipendenti interni in un'applicazione Web e per i dipendenti remoti in un'altra applicazione Web.

• Configurare i mapping di accesso alternativo in modo corretto e accurato per ogni area e risorsa. I mapping di accesso alternativo vengono creati automaticamente quando si crea l'area. È tuttavia possibile configurare SharePoint Server per eseguire la ricerca per indicizzazione nel contenuto delle risorse esterne, ad esempio una condivisione di file. È necessario utilizzare i mapping di accesso alternativo per creare manualmente i collegamenti a tali risorse esterne per ogni area.

6. Avvalersi di un server proxy inverso

Proteggere l'ambiente dalle richieste dirette degli utenti utilizzando un server proxy inverso, in cui a ogni richiesta possano essere applicate apposite regole di controllo. Un proxy inverso può impedire la divulgazione delle informazioni relative alla configurazione di una rete interna e può essere utilizzato per terminare in modo sicuro le sessioni SSL client in modo da evitare un sovraccarico SSL nei server Web.

Forefront Unified Access Gateway (UAG) è un server proxy inverso che offre numerose funzionalità quando lo si utilizza con SharePoint Server in ambienti Extranet. Per ulteriori informazioni, vedere le risorse seguenti:

• SharePoint publishing solution guide

• Why enable SharePoint extranet access with Forefront UAG?

7. Configurare l'accesso attraverso il firewall e le impostazioni per i dispositivi mobili

Un'area di accesso attraverso il firewall genera gli URL esterni per i messaggi di avviso mobili. Consente inoltre agli utenti di fare clic sul pulsante Invia collegamento tramite posta elettronica sulla barra multifunzione per inviare un URL accessibile esternamente. È necessario eseguire alcune operazioni di configurazione per garantire che i siti di SharePoint siano accessibili per i dispositivi mobili, ad esempio Windows Phone 7, quando questi vengono utilizzati all'esterno del firewall aziendale.

Per ulteriori informazioni, vedere gli articoli seguenti:

• Configurare l'accesso esterno per dispositivi mobili (SharePoint Server 2010)

• Eseguire la pianificazione per i dispositivi mobili (SharePoint Server 2010)

8. Configurare Selezione utenti per più domini

Poiché gli ambienti Extranet possono estendersi su più domini, configurare Selezione utenti in modo restituire gli utenti, i gruppi e le attestazioni dai domini previsti.

Per ulteriori informazioni, vedere le risorse seguenti:

• Utilizzo di Selezione utenti con più foreste o domini

• Consentire query tra foreste e tra domini con un trust unidirezionale

9. Configurare le impostazioni antivirus

In SharePoint Server è incluso un programma antivirus che può essere configurato tramite Amministrazione centrale o lo strumento da riga di comando stsadm.

10. Utilizzare il servizio di archiviazione sicura per gestire le credenziali per i servizi che accedono a origini dati back-end

Le applicazioni di servizio che utilizzano un'identità di Windows delegata (Excel Services, PerformancePoint Services, InfoPath Forms Services eVisio Services) per accedere a origini dati esterne impongono ulteriori requisiti per l'ambiente. Le origini dati esterne devono risiedere nello stesso dominio della farm di SharePoint in cui è ospitato il servizio oppure l'applicazione di servizio deve essere configurata per l'utilizzo del servizio di archiviazione sicura. Se tale servizio non viene utilizzato e i server della farm si trovano in due domini diversi, i server applicazioni devono trovarsi nello stesso dominio delle origini dati esterne. In caso contrario, l'autenticazione nelle origine dati esterne avrà esito negativo.

11. Configurare DNS per le topologie back to back suddivise

Se i server Web sono suddivisi tra la rete interna e la rete perimetrale, assicurarsi che DNS sia configurato con i record appropriato in ogni area di rete in modo da indirizzare il traffico ai server Web desiderati.

Per ulteriori informazioni sulla configurazione di DNS, vedere "Aree e URL" nell'articolo seguente: Esempio di progettazione: distribuzione aziendale (SharePoint Server 2010).

Il team addetto alla pubblicazione di contenuti per SharePoint Server 2010 ringrazia gli autori seguenti per il contributo offerto per questo articolo:

• Ali Mazaheri, Microsoft Consulting Services

• Bryan Porter, Microsoft Consulting Services

• Steve Walker, Microsoft SharePoint Customer Engineering

• Tajeshwar Singh, Microsoft Consulting Services