Team Foundation Server, autenticazione e accesso
È possibile configurare la distribuzione in modo da rendere più sicure le connessioni tra gli utenti e la distribuzione di Visual Studio 2010. Visual Studio Team Foundation Server è in grado di supportare l'autenticazione di base e del digest, oltre ai certificati. È pertanto possibile configurare la distribuzione di Team Foundation Server in modo che vengano utilizzati Hypertext Transfer Protocol Secure (HTTPS) con Secure Sockets Layer (SSL) e l'autenticazione di base o del digest. Se si adotta questa strategia, gli utenti potranno connettersi in modo più protetto alla distribuzione, senza dover utilizzare connessioni di rete privata virtuale (VPN).
Configurazioni
Per supportare connessioni esterne alla distribuzione di Team Foundation Server in modo più protetto, è necessario configurare Internet Information Services (IIS) per abilitare l'autenticazione di base, l'autenticazione del digest o entrambe. È inoltre opportuno configurare qualsiasi connessione esterna affinché vengano richiesti certificati.
Autenticazione di base e autenticazione del digest
L'autenticazione di base fa parte della specifica HTTP 1.0 e utilizza gli account utente di Windows. Durante l'autenticazione di base il browser richiede all'utente un nome utente e una password, quindi trasmette tali informazioni tramite HTTP utilizzando la codifica Base64. Per impostazione predefinita, l'autenticazione di base richiede che l'account utente di Windows disponga di diritti di accesso locale al server Web. È possibile utilizzare l'autenticazione di base sia nelle distribuzioni basate su gruppi di lavoro sia in quelle basate su domini. L'autenticazione di base è supportata dalla maggior parte dei server Web, dei server proxy e dei Web browser, ma non è sicura. Poiché i dati con codifica Base64 sono facilmente decodificabili, l'autenticazione di base consiste essenzialmente nell'invio della password come testo non crittografato. Controllando le comunicazioni in rete tramite strumenti disponibili pubblicamente, un utente malintenzionato può intercettare e decifrare queste password con facilità. Per migliorare la sicurezza, è necessario considerare l'utilizzo di HTTPS con SSL.
L'autenticazione del digest è un meccanismo In attesa/Risposta che invia in rete un digest (detto anche hash) anziché una password. Durante l'autenticazione del digest, IIS invia una richiesta al client per la creazione di un digest e il successivo invio di tale digest al server. Come risposta alla richiesta, il client invia un digest basato sulla password dell'utente insieme a dati noti sia al client che al server. Il server utilizza lo stesso processo del client per creare un proprio digest, con le informazioni utente ottenute da Active Directory. Il client viene autenticato in IIS solo se il digest creato dal server corrisponde a quello creato dal client. È possibile utilizzare l'autenticazione del digest solo nelle distribuzioni di Active Directory. Da sola, l'autenticazione del digest rappresenta un piccolo miglioramento rispetto all'autenticazione di base. Un utente malintenzionato potrebbe registrare la comunicazione tra client e server e utilizzare tali informazioni per ripetere la transazione. L'autenticazione del digest dispone anche di dipendenze sul protocollo HTTP 1.1 che non tutti i Web browser supportano. I tentativi di accesso a Team Foundation Server avranno inoltre esito negativo se l'autenticazione del digest non viene configurata correttamente. Evitare di scegliere l'autenticazione del digest se la distribuzione non soddisfa tutti i requisiti necessari per tale modalità. Per ulteriori informazioni, vedere la pagina seguente sul sito Web Microsoft (Autenticazione del digest (IIS 6.0)).
Limiti
Oltre ai requisiti di dominio e gruppo di lavoro indicati in precedenza in questo argomento, sia l'autenticazione di base che l'autenticazione del digest sono insufficienti da sole a garantire la sicurezza di rete per i client esterni. È pertanto opportuno non configurare Team Foundation Server per il supporto dei client esterni, se tali connessioni non vengono configurate anche per la richiesta di HTTPS con SSL.
Vedere anche
Concetti
Architettura di Team Foundation Server
Altre risorse
Sicurezza di Team Foundation Server tramite HTTPS e Secure Sockets Layer (SSL)