Abilitare l'accesso remoto a SharePoint con il proxy di applicazione di Azure ADEnable remote access to SharePoint with Azure AD Application Proxy

Questo articolo illustra come integrare un server SharePoint locale con il proxy di applicazione di Azure Active Directory (Azure AD).This article discusses how to integrate an on-premises SharePoint server with Azure Active Directory (Azure AD) Application Proxy.

Per abilitare l'accesso remoto a SharePoint con il proxy di applicazione di Azure AD, seguire le istruzioni dettagliate riportate nelle sezioni di questo articolo.To enable remote access to SharePoint with Azure AD Application Proxy, follow the sections in this article step by step.

PrerequisitiPrerequisites

Questo articolo presuppone che SharePoint 2013 o versione successiva sia già installato nell'ambiente.This article assumes that you already have SharePoint 2013 or newer in your environment. Tenere in considerazione anche i seguenti prerequisiti:In addition, consider the following prerequisites:

  • SharePoint include il supporto nativo di Kerberos.SharePoint includes native Kerberos support. Di conseguenza, gli utenti che accedono in remoto ai siti interni tramite il proxy di applicazione di Azure AD possono presumere di essere in possesso dell'esperienza Single Sign-On.Therefore, users who are accessing internal sites remotely through Azure AD Application Proxy can assume to have a single sign-on (SSO) experience.

  • Questo scenario include le modifiche di configurazione per il server SharePoint.This scenario includes configuration changes to your SharePoint server. Si consiglia di usare un ambiente di gestione temporanea.We recommend using a staging environment. In questo modo, è possibile apportare aggiornamenti al server di gestione temporanea e quindi facilitare un ciclo di test prima del passaggio in produzione.This way, you can make updates to your staging server first, and then facilitate a testing cycle before going into production.

  • Nell'URL pubblicato è necessario SSL.We require SSL on the published URL. Per garantire che i collegamenti vengano inviati e mappati correttamente, è necessario che SSL sia abilitato anche nel sito interno.You need to have SSL enabled on your internal site to ensure that links are sent/mapped correctly. Se SSL non è ancora stato configurato, vedere Configure SSL for SharePoint 2013 (Configurare SSL per SharePoint 2013) per le necessarie istruzioni.If you haven't configured SSL, see Configure SSL for SharePoint 2013 for instructions. Inoltre assicurarsi che il computer di connessione consideri attendibile il certificato che si emetteAlso, make sure that the connector machine trusts the certificate that you issue. (non deve essere necessariamente un certificato rilasciato pubblicamente).(The certificate does not need to be publicly issued.)

Passaggio 1: Configurare l'accesso Single Sign-On a SharePointStep 1: Set up single sign-on to SharePoint

Per le applicazioni locali che usano l'autenticazione di Windows, è possibile ottenere l'accesso Single Sign-On (SSO) con il protocollo di autenticazione Kerberos e una funzionalità chiamata delega vincolata Kerberos.For on-premises applications that use Windows authentication, you can achieve single sign-on (SSO) with the Kerberos authentication protocol and a feature called Kerberos constrained delegation (KCD). Se configurata, questa funzionalità consente al connettore proxy di applicazione di ottenere un token di Windows per un utente, anche se questi non ha eseguito l'accesso diretto a Windows.KCD, when configured, allows the Application Proxy connector to obtain a Windows token for a user, even if the user hasn’t signed in to Windows directly. Per altre informazioni sulla delega vincolata Kerberos, vedere Panoramica della delega vincolata Kerberos.To learn more about KCD, see Kerberos Constrained Delegation Overview.

Per configurare la delega vincolata Kerberos per un server SharePoint, usare le procedure descritte nelle sezioni seguenti:To set up KCD for a SharePoint server, use the procedures in the following sequential sections:

Verificare che SharePoint sia in esecuzione in un account di servizioEnsure that SharePoint is running under a service account

Verificare che SharePoint sia in esecuzione in un account di servizio definito, non in un sistema locale, un servizio locale o un servizio di rete.First, make sure that SharePoint is running under a defined service account--not local system, local service, or network service. Eseguire questa operazione in modo da poter associare i nomi di entità servizio (SPN) a un account valido.Do this so that you can attach service principal names (SPNs) to a valid account. I nomi SPN sono usati dal protocollo Kerberos per identificare i diversi serviziSPNs are how the Kerberos protocol identifies different services. e saranno necessari in seguito per configurare la delega vincolata Kerberos.And you will need the account later to configure the KCD.

Nota

È necessario avere un account di Azure AD creato in precedenza per il servizio.You need to have a previously created Azure AD account for the service. Si consiglia di consentire la modifica automatica della password.We suggest that you allow for an automatic password change. Per altre informazioni sull'insieme completo di passaggi e sulla risoluzione di problemi, vedere Configurare la modifica automatica della password in SharePoint 2013.For more information about the full set of steps and troubleshooting issues, see Configure automatic password change in SharePoint 2013.

Per garantire che i siti siano in esecuzione in un account di servizio definito, seguire questa procedura:To ensure that your sites are running under a defined service account, perform the following steps:

  1. Aprire il sito Amministrazione centrale SharePoint 2013.Open the SharePoint 2013 Central Administration site.
  2. Passare a Sicurezza e selezionare Configura account di servizio.Go to Security and select Configure service accounts.
  3. Selezionare Pool di applicazioni Web - SharePoint - 80.Select Web Application Pool - SharePoint - 80. È possibile che le opzioni siano leggermente diverse, a seconda del nome del pool Web o se il pool Web usa SSL per impostazione predefinita.The options may be slightly different based on the name of your web pool, or if the web pool uses SSL by default.

    Opzioni per la configurazione di un account di servizio

  4. Se il campo Selezionare un account per il componente è impostato su Servizio locale o Servizio di rete, è necessario creare un account.If Select an account for this component field is set to Local Service or Network Service, you need to create an account. In caso contrario, l'operazione è terminata ed è possibile procedere alla sezione successiva.If not, you're finished and can move to the next section.

  5. Selezionare Registra nuovo account gestito.Select Register new managed account. Dopo aver creato l'account, prima di poterlo usare è necessario impostare l'opzione Pool di applicazioni Web.After your account is created, you must set Web Application Pool before you can use the account.

Configurare SharePoint per KerberosConfigure SharePoint for Kerberos

Usare la delega vincolata Kerberos per eseguire l'accesso Single Sign-On al server SharePoint.You use KCD to perform single sign-on to the SharePoint server.

Per configurare il sito di SharePoint per l'autenticazione Kerberos:To configure your SharePoint site for Kerberos authentication:

  1. Aprire il sito Amministrazione centrale SharePoint 2013.Open the SharePoint 2013 Central Administration site.
  2. Passare a Gestione applicazioni, selezionare Gestisci applicazioni Web e selezionare il sito di SharePoint.Go to Application Management, select Manage web applications, and select your SharePoint site. In questo esempio si tratta di SharePoint - 80.In this example, it is SharePoint - 80.

    Selezione del sito di SharePoint

  3. Fare clic su Provider di autenticazione sulla barra degli strumenti.Click Authentication Providers on the toolbar.

  4. Nella casella Provider di autenticazione fare clic su Area predefinita per visualizzare le impostazioni.In the Authentication Providers box, click Default Zone to view the settings.
  5. Nella finestra di dialogo Modifica autenticazione scorrere verso il basso fino a visualizzare Tipi di autenticazione delle attestazioni.In the Edit Authentication dialog box, scroll down until you see Claims Authentication Types. Assicurarsi che le opzioni Abilita autenticazione di Windows e Autenticazione integrata di Windows siano entrambe selezionate.Ensure that both Enable Windows Authentication and Integrated Windows Authentication are selected.
  6. Nella casella di riepilogo a discesa per il campo Autenticazione integrata di Windows verificare che l'opzione Negozia (Kerberos) sia selezionata.In the drop-down box for the Integrated Windows Authentication field, make sure that Negotiate (Kerberos) is selected.

    Finestra di dialogo Modifica autenticazione

  7. Nella parte inferiore della finestra di dialogo Modifica autenticazione fare clic su Salva.At the bottom of the Edit Authentication dialog box, click Save.

Impostare un nome dell'entità servizio per l'account del servizio SharePointSet a service principal name for the SharePoint service account

Prima di configurare la delega vincolata Kerberos, è necessario identificare il servizio SharePoint in esecuzione come account del servizio configurato.Before you configure KCD, you need to identify the SharePoint service running as the service account that you've configured. Identificare il servizio impostando un SPN.Identify the service by setting an SPN. Per altre informazioni vedere Service Principal Names (Nomi di entità servizio).For more information, see Service Principal Names.

Il formato del nome SPN è:The SPN format is:

<service class>/<host>:<port>

Nel formato SPN:In the SPN format:

  • La classe di servizio è un nome univoco per il servizio.service class is a unique name for the service. Per SharePoint si usa HTTP.For SharePoint, you use HTTP.

  • L'host è il nome di dominio completo o il nome Netbios dell'host in cui il servizio è in esecuzione.host is the fully qualified domain or NetBIOS name of the host that the service is running on. Per un sito di SharePoint può essere necessario questo testo sia l'URL del sito, a seconda della versione di IIS in uso.For a SharePoint site, this text might need to be the URL of the site, depending on the version of IIS that you're using.

  • La porta è opzionale.port is optional.

Se il nome di dominio completo del server SharePoint è:If the FQDN of the SharePoint server is:

sharepoint.demo.o365identity.us

Il nome SPN sarà:Then the SPN is:

HTTP/sharepoint.demo.o365identity.us demo

Potrebbe essere necessario anche impostare nomi SPN per siti specifici sul server.You might also need to set SPNs for specific sites on your server. Per altre informazioni, vedere Configurare l'autenticazione Kerberos.For more information, see Configure Kerberos authentication. Leggere con attenzione la sezione "Creare nomi delle entità servizio per applicazioni Web mediante l'autenticazione Kerberos".Pay close attention to the "Create Service Principal Names for your Web applications using Kerberos authentication" section.

Il modo più semplice per impostare nomi SPN è quello di seguire i formati dei nomi SPN già presenti per altri siti.The easiest way for you to set SPNs is to follow the SPN formats that may already be present for your sites. Copiare i nomi SPN per la registrazione con l'account del servizio.Copy those SPNs to register against the service account. A tale scopo, seguire questa procedura:To do this:

  1. Passare al sito con il nome SPN da un altro computer.Browse to the site with the SPN from another machine. Quando si esegue questa operazione, il gruppo di ticket Kerberos pertinente viene memorizzato nella cache del computer.When you do, the relevant set of Kerberos tickets is cached on the machine. Questi ticket contengono il nome SPN del sito di destinazione a cui si è passati.These tickets contain the SPN of the target site that you browsed to.

  2. È possibile estrarre il nome SPN per il sito usando uno strumento denominato Klist.You can pull the SPN for that site by using a tool called Klist. In una finestra di comando in esecuzione nello stesso contesto dell'utente che ha eseguito l'accesso al sito nel browser eseguire il comando seguente:In a command window that's running in the same context as the user who accessed the site in the browser, run the following command:

    Klist
    

    Klist restituisce quindi il set di nomi SPN di destinazione.Klist then returns the set of target SPNs. In questo esempio il valore evidenziato è il nome SPN necessario:In this example, the highlighted value is the SPN that's needed:

    Risultati Klist di esempio

  3. Dopo aver ottenuto l'SPN, assicurarsi che sia configurato correttamente per l'account del servizio impostato in precedenza per l'applicazione Web.Now that you have the SPN, make sure that it's configured correctly on the service account that you set up for the web application earlier. Eseguire il comando seguente dal prompt dei comandi come amministratore del dominio:Run the following command from the command prompt as an administrator of the domain:

    setspn -S http/sharepoint.demo.o365identity.us demo\sp_svc
    

    Questo comando imposta il nome SPN per l'account del servizio SharePoint in esecuzione come demo\sp_svc.This command sets the SPN for the SharePoint service account running as demo\sp_svc.

    Sostituire http/sharepoint.demo.o365identity.us con il nome SPN per il server e demo\sp_svc con l'account del servizio nel proprio ambiente.Replace http/sharepoint.demo.o365identity.us with the SPN for your server and demo\sp_svc with the service account in your environment. Il comando Setspn cerca il nome SPN prima di aggiungerlo.The Setspn command searches for the SPN before it adds it. In questo caso è possibile che venga restituito un errore di valore SPN duplicato.In this case, you might see a Duplicate SPN Value error. Se viene visualizzato questo errore, assicurarsi che il valore sia associato con l'account del servizio.If you see this error, make sure that the value is associated with the service account.

È possibile verificare che il nome SPN sia stato aggiunto tramite il comando Setspn con l'opzione -l.You can verify that the SPN was added by running the Setspn command with the -l option. Per altre informazioni su questo comando, vedere Setspn.To learn more about this command, see Setspn.

Verificare che il connettore sia impostato come delegato attendibile a SharePointEnsure that the connector is set as a trusted delegate to SharePoint

Configurare la delega vincolata Kerberos in modo che il servizio proxy di applicazione di Azure AD possa delegare le identità utente al servizio SharePoint.Configure the KCD so that the Azure AD Application Proxy service can delegate user identities to the SharePoint service. A questo scopo, consentire al connettore proxy di applicazione di recuperare i ticket Kerberos per gli utenti autenticati in Azure AD.Configure KCD by enabling the Application Proxy connector to retrieve Kerberos tickets for your users who have been authenticated in Azure AD. Quindi il server passa il contesto all'applicazione di destinazione o, in questo caso, a SharePoint.Then that server passes the context to the target application, or SharePoint in this case.

Per configurare la delega vincolata Kerberos, ripetere i passaggi seguenti per ogni computer di connessione:To configure the KCD, repeat the following steps for each connector machine:

  1. Eseguire l'accesso come amministratore a un controller di dominio e quindi aprire un dominio Utenti e computer di Active Directory.Log in as a domain administrator to a DC, and then open Active Directory Users and Computers.
  2. Trovare il computer in cui è in esecuzione il connettore.Find the computer that the connector is running on. In questo esempio è lo stesso server SharePoint.In this example, it's the same SharePoint server.
  3. Fare doppio clic sul computer e quindi sulla scheda Delega.Double-click the computer, and then click the Delegation tab.
  4. Assicurarsi che la delega sia impostata su Computer attendibile per la delega solo ai servizi specificati.Ensure that the delegation settings are set to Trust this computer for delegation to the specified services only. Selezionare quindi Usa un qualsiasi protocollo di autenticazione.Then, select Use any authentication protocol.

    Impostazioni di delega

  5. Fare clic sul pulsante Aggiungi e quindi su Utenti o computere individuare l'account del servizio.Click the Add button, click Users or Computers, and locate the service account.

    Aggiungere il nome SPN per l'account del servizio

  6. Nell'elenco di nomi SPN selezionare quello creato in precedenza per l'account del servizio.In the list of SPNs, select the one that you created earlier for the service account.

  7. Fare clic su OK.Click OK. Fare nuovamente clic su OK per salvare le modifiche.Click OK again to save the changes.

Passaggio 2: Abilitare l'accesso remoto a SharePointStep 2: Enable remote access to SharePoint

Dopo aver abilitato SharePoint per Kerberos e aver configurato la delega vincolata Kerberos, è possibile pubblicare la farm di SharePoint per l'accesso remoto tramite il proxy di applicazione di Azure AD.Now that you’ve enabled SharePoint for Kerberos and configured KCD, you're ready to publish the SharePoint farm for remote access through Azure AD Application Proxy.

  1. Pubblicare il sito di SharePoint con le impostazioni seguenti.Publish your SharePoint site with the following settings. Per istruzioni dettagliate, vedere Pubblicare applicazioni mediante il proxy di applicazione AD Azure.For step-by-step instructions, see Publishing applications using Azure AD Application Proxy.

    • URL interno: URL del sito di SharePoint nella sua forma interna, ad esempio https://SharePoint/.Internal URL: the URL of the SharePoint site internally, such as https://SharePoint/. In questo esempio assicurarsi di usare httpsIn this example, make sure to use https
    • Metodo di autenticazione preliminare: Azure Active DirectoryPreauthentication Method: Azure Active Directory
    • Convertire l'URL nelle intestazioni: NOTranslate URL in Headers: NO

    Suggerimento

    SharePoint usa il valore Intestazione host per cercare il sitoSharePoint uses the Host Header value to look up the site. e, in base a questo valore, genera i collegamenti.It also generates links based on this value. Di conseguenza, qualsiasi collegamento generato da SharePoint è un URL pubblicato e impostato correttamente per l'uso dell'URL esterno.The net effect is that any link that SharePoint generates is a published URL that is correctly set to use the external URL. Impostando il valore su si consente al connettore di inoltrare la richiesta all'applicazione back-end.Setting the value to YES also enables the connector to forward the request to the back-end application. Se invece si imposta il valore su NO, il connettore non invierà il nome host interno,However, setting the value to NO means that the connector will not send the internal host name. ma invia l'intestazione host come URL pubblicato per l'applicazione back-end.Instead, the connector sends the host header as the published URL to the back-end application.

    Pubblicare SharePoint come applicazione

  2. Dopo la pubblicazione dell'app, configurare le impostazioni Single Sign-On eseguendo le operazioni seguenti:Once your app is published, configure the single sign-on settings with the following steps:

    1. Nella pagina dell'applicazione nel portale selezionare Single Sign-On.On the application page in the portal, select Single sign-on.
    2. Per la modalità Single Sign-On, selezionare Autenticazione integrata di Windows.For Single Sign-on Mode, select Integrated Windows Authentication.
    3. Impostare l'SPN dell'applicazione interna sul valore configurato in precedenza.Set Internal Application SPN to the value that you set earlier. Per questo esempio, il valore è http/sharepoint.demo.o365identity.us.For this example, that would be http/sharepoint.demo.o365identity.us.

    Configurare l'autenticazione integrata di Windows per SSO

  3. Per completare la configurazione dell'applicazione, passare alla sezione Utenti e gruppi e specificare gli utenti autorizzati ad accedere all'applicazione.To finish setting up your application, go to the Users and groups section and assign users to access this application.

Passaggio 3: Assicurarsi che SharePoint sia al corrente dell'URL esternoStep 3: Ensure that SharePoint knows about the external URL

L'ultimo passaggio consiste nell'accertarsi che SharePoint possa trovare il sito in base all'URL esterno, in modo da poter sviluppare i collegamenti in base a questo URL.Your last step is to ensure that SharePoint can find the site based on the external URL, so that it renders links based on that external URL. A questo scopo, si configurano mapping di accesso alternativo per SharePoint.You do this by configuring alternate access mappings for the SharePoint site.

  1. Aprire il sito Amministrazione centrale SharePoint 2013.Open the SharePoint 2013 Central Administration site.
  2. In Impostazioni di sistema selezionare Configura mapping di accesso alternativo.Under System Settings, select Configure Alternate Access Mappings. Verrà visualizzata la casella Mapping di accesso alternativo.The Alternate Access Mappings box opens.

    Casella Mapping di accesso alternativo

  3. Nell'elenco a discesa accanto a Raccolta di mapping di accesso alternativo selezionare Change Alternate Access Mapping Collection (Cambia raccolta di mapping di accesso alternativo).In the drop-down list beside Alternate Access Mapping Collection, select Change Alternate Access Mapping Collection.

  4. Selezionare il sito, ad esempio SharePoint - 80.Select your site--for example, SharePoint - 80.
  5. È possibile scegliere di aggiungere l'URL pubblicato come URL interno o URL pubblico.You can choose to add the published URL as either an internal URL or a public URL. Questo esempio usa un URL pubblico come extranet.This example uses a public URL as the extranet.
  6. Fare clic su Modifica URL pubblici nel percorso Extranet e quindi immettere l'URL esterno creato durante la pubblicazione dell'applicazione.Click Edit Public URLs in the Extranet path, and then enter the External URL that was created when you published the application. Ad esempio: https://sharepoint-iddemo.msappproxy.net.For example, enter https://sharepoint-iddemo.msappproxy.net.

    Definizione del percorso

  7. Fare clic su Save.Click Save.

È ora possibile accedere al sito di SharePoint esternamente tramite il proxy di applicazione di Azure AD.You can now access the SharePoint site externally via Azure AD Application Proxy.

Passaggi successiviNext steps