Configurare comunicazioni sicure per una nuova applicazione Web (Duet Enterprise)

 

Si applica a: Duet Enterprise for Microsoft SharePoint and SAP

Ultima modifica dell'argomento: 2016-11-29

Durante la distribuzione gli amministratori devono configurare comunicazioni sicure tra i componenti seguenti: un'applicazione Web nella farm di Microsoft SharePoint Server 2010, un server che esegue SAP NetWeaver e Componente aggiuntivo Duet Enterprise SAP.

È possibile decidere di stabilire una connessione Servizi di integrazione applicativa Microsoft sicura tra un'applicazione Web aggiuntiva e lo stesso server SAP NetWeaver per cui l'archivio sicuro nella farm di SharePoint Server è già stato configurato. Inoltre, è possibile decidere di stabilire comunicazioni sicure tra un'applicazione Web aggiuntiva e un server diverso che esegue SAP NetWeaver.

In questo articolo vengono descritte le procedure passo passo per la configurazione di comunicazioni sicure tra un'applicazione Web in una farm di SharePoint Server e un server che esegue SAP NetWeaver e in cui sono state configurate le comunicazioni sicure.

Per configurare comunicazioni sicure tra un'applicazione Web e un server che esegue SAP NetWeaver, eseguire le procedure seguenti nell'ordine indicato:

  • Creare o ottenere un certificato SSL

  • Estendere l'applicazione Web all'uso di SSL

  • Creare l'associazione SSL per la zona abilitata a SSL

  • Esportare il certificato SSL

  • Condividere il certificato SSL con l'amministratore di SAP

  • Per considerare attendibile il certificato SSL dell'ambiente SAP

Creare o ottenere un certificato SSL

Per utilizzare SSL (Secure Sockets Layer) per proteggere un'applicazione Web, è necessario disporre di un certificato SSL. Per un ambiente di produzione è consigliabile ottenere un certificato firmato da un'autorità di certificazione (CA) di terza parte o del proprio dominio intranet. Viceversa, per gli ambienti di test, è possibile creare un certificato autofirmato per questo scopo. Per ulteriori informazioni su come definire il tipo di certificato da utilizzare e su come creare un certificato autofirmato, vedere Come impostare SSL su IIS 7.0 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Preparare l'applicazione Web

L'autenticazione basata sulle attestazioni di Windows è necessaria per tutte le applicazioni Web in cui si intende configurare soluzioni di Duet Enterprise. L'autenticazione basata su moduli non è supportata poiché i report non possono essere indirizzati a siti che utilizzano tale metodo di autenticazione. In genere, si desidera che gli utenti finali siano in grado di utilizzare il protocollo HTTP per accedere al contenuto dei siti di SharePoint.

Poiché le transazioni del flusso di lavoro tra l'applicazione Web e il sistema SAP richiedono l'autenticazione di base che invia tutte le informazioni in testo non crittografato, è consigliabile estendere l'applicazione Web per creare una nuova area e configurare tale area per SSL e autenticazione di base.

Sono disponibili diverse opzioni per la preparazione dell'applicazione Web. Può essere ad esempio consigliabile distribuire i siti di Duet Enterprise in un'applicazione Web esistente oppure creare una nuova applicazione Web.

Eseguire una delle operazioni seguenti:

  • Se è presente un'applicazione Web per cui si desidera abilitare la funzionalità Duet Enterprise, è necessario verificare che sia configurata per l'autenticazione basata sulle attestazioni di Windows. Per verificare che l'applicazione Web esistente supporti Duet Enterprise, vedere Verificare se un'applicazione Web è configurata per l'autenticazione basata sulle attestazioni.

  • Se l'applicazione Web per cui si desidera abilitare la funzionalità Duet Enterprise non esiste ancora, vedere Creare un'applicazione Web per i siti di Duet Enterprise.

Verificare se un'applicazione Web è configurata per l'autenticazione basata sulle attestazioni

Se è disponibile un'applicazione Web che si desidera utilizzare per i siti di Duet Enterprise, è necessario verificare che sia configurata per l'autenticazione basata sulle attestazioni di Windows. Se si desidera creare una nuova applicazione Web per i siti di Duet Enterprise, passare a Creare un'applicazione Web per i siti di Duet Enterprise.

Se l'applicazione Web che si desidera utilizzare per i siti di Duet Enterprise non è configurata per l'autenticazione di Windows basata sulle attestazioni, può essere possibile convertirla all'autenticazione basata sulle attestazioni di Windows oppure è possibile creare una nuova applicazione Web per i siti di Duet Enterprise. Per ulteriori informazioni sulla conversione di un'applicazione Web all'autenticazione basata sulle attestazioni di Windows, vedere Eseguire la migrazione dall'autenticazione basata su moduli all'autenticazione basata sulle attestazioni (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0x410) and Eseguire la migrazione dall'autenticazione in modalità classica all'autenticazione basata sulle attestazioni (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0x410).

Nota

Per completare questa procedura è necessario essere membri del gruppo Amministratori farm di SharePoint.

Per determinare se un'applicazione Web è configurata per l'autenticazione basata sulle attestazioni di Windows

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere membro del gruppo di SharePoint Amministratori farm sul server che esegue Amministrazione centrale.
  2. Sulla barra di avvio veloce del sito Web Amministrazione centrale fare clic su Gestione applicazioni.

  3. Nella sezione Applicazioni Web fare clic su Gestisci applicazioni Web.

  4. Nella colonna Nome fare clic sull'applicazione Web per cui si desidera verificare il provider di autenticazione.

  5. Nel gruppo Sicurezza della barra multifunzione fare clic su Provider di autenticazione.

  6. Nella finestra di dialogo Provider di autenticazione, in Nome provider di appartenenze, verificare che per l'area per cui si distribuiranno i siti di Duet Enterprise sia indicato “Autenticazione basata sulle attestazioni”. In caso contrario, non è configurata per l'autenticazione basata sulle attestazioni e sarà necessario convertire l'applicazione Web all'autenticazione basata sulle attestazioni di Windows o creare una nuova applicazione Web per i siti di Duet Enterprise.

Creare un'applicazione Web per i siti di Duet Enterprise

L'applicazione Web per i siti di Duet Enterprise deve essere configurata per utilizzare l'autenticazione basata sulle attestazioni di Windows. Se non si dispone ancora di un'applicazione Web in cui si desidera abilitare i siti di Duet Enterprise, eseguire la procedura seguente per crearne una. In caso contrario, passare a Estendere l'applicazione Web all'uso di SSL.

Nota

Per completare questa procedura è necessario essere membri del gruppo Amministratori farm di SharePoint.

Per creare un'applicazione Web che utilizza l'autenticazione basata sulle attestazioni di Windows

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • Per creare un'applicazione Web, è necessario essere membro del gruppo di SharePoint Amministratori farm e del gruppo Administrators di Windows nel server che esegue Amministrazione centrale.
  2. Nella sezione Gestione applicazioni della home page Amministrazione centrale fare clic su Gestisci applicazioni Web.

  3. Nel gruppo Collabora della barra multifunzione fare clic su Nuovo.

  4. Nella pagina Crea nuova applicazione Web fare clic su Autenticazione basata sulle attestazioni nella sezione Autenticazione.

  5. Nella casella Porta della sezione Sito Web IIS digitare il numero di porta da utilizzare per l'accesso all'applicazione Web.

    Per impostazione predefinita, questo campo è popolato con un numero di porta casuale.

    Nota

    Il numero di porta standard per l'accesso HTTP è 80. Se si desidera che gli utenti accedano all'applicazione Web senza digitare un numero di porta, utilizzare il numero di porta standard.

  6. Facoltativo: nella casella Intestazione host della sezione Sito Web IIS digitare il nome host che si desidera utilizzare per accedere all'applicazione Web, ad esempio www.contoso.com.

    Nota

    Questo valore in genere non viene impostato a meno che non si desideri configurare due o più siti Web IIS che condividono lo stesso numero di porta nello stesso server e che DNS non sia stato configurato per indirizzare le richieste allo stesso server.

  7. Nella casella Percorso della sezione Sito Web IIS facoltativamente digitare il percorso della directory radice dei siti Web IIS nel server.

    Questa casella viene popolata con un percorso suggerito.

  8. Nella sezione Tipi di autenticazione delle attestazioni assicurarsi che la casella di controllo Abilita autenticazione di Windows sia selezionata e nel menu a discesa selezionare Negozia (Kerberos) o NTLM. Per ulteriori informazioni, vedere Pianificare l'autenticazione Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x410).

  9. Nella sezione URL pubblico modificare l'URL e impostare il nome di dominio completo. Ad esempio, https://corp.contoso.com:80.

    Nota

    Per una nuova applicazione Web, l'opzione Area è impostata automaticamente su Predefinita.

  10. Nella sezione Pool di applicazioni assicurarsi che sia selezionato Crea un nuovo pool di applicazioni e digitare il nome che si desidera utilizzare per il nuovo pool di applicazioni oppure mantenere il nome predefinito.

  11. In Selezionare un account di protezione per il pool di applicazioni assicurarsi che sia selezionato Configurabile e selezionare l'account gestito che si desidera utilizzare per questo pool di applicazioni.

  12. Nella sezione Nome e autenticazione database selezionare il server di database e il nome database per la nuova applicazione Web come descritto nella tabella seguente o accettare i valori predefiniti.

    Elemento Azione

    Server di database

    Digitare il nome del server di database e l'istanza di Microsoft SQL Server che si desidera utilizzare nel formato NOMESERVER\istanza. È inoltre possibile utilizzare l'impostazione predefinita.

    Nome database

    Digitare il nome del database oppure utilizzare l'impostazione predefinita.

  13. Nella sezione Nome e autenticazione database verificare che sia selezionata l'opzione Autenticazione di Windows (scelta consigliata).

  14. Se si utilizza il mirroring del database, nella casella Server di database di failover della sezione Server di failover digitare il nome di un server di database di failover specifico che si desidera associare a un database del contenuto.

  15. Nella sezione Connessioni applicazioni di servizio selezionare le connessioni alle applicazioni di servizio che saranno disponibili per l'applicazione Web. Scegliere predefinito o personalizzato dal menu a discesa. L'opzione personalizzato consente di selezionare le connessioni alle applicazioni di servizio da utilizzare per l'applicazione Web.

    Suggerimento

    Duet Enterprise richiede che a questa applicazione Web siano associate le applicazioni di servizio seguenti: servizio di integrazione applicativa dei dati, servizio di archiviazione sicura e applicazione servizio profili utente.

  16. Nella sezione Analisi utilizzo software fare clic su , se si desidera partecipare al programma Analisi utilizzo software, o No, in caso contrario.

  17. Fare clic su OK per creare la nuova applicazione Web.

  18. Fare clic su OK nella finestra di dialogo che viene visualizzata. L'applicazione Web creata verrà visualizzata nella pagina Gestione applicazioni Web dell'Amministrazione centrale. Non chiudere questa pagina poiché sarà necessaria per la procedura seguente.

Estendere l'applicazione Web all'uso di SSL

Eseguire questa procedura per estendere l'applicazione Web al fine di creare un'area che verrà utilizzata per tutte le transazioni tra l'applicazione Web e il sistema SAP.

Per estendere l'applicazione Web

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • Per creare un'applicazione Web, è necessario essere membro del gruppo di SharePoint Amministratori farm e del gruppo Administrators di Windows nel server che esegue Amministrazione centrale.
  2. Nella sezione Gestione applicazioni della home page Amministrazione centrale fare clic su Gestisci applicazioni Web.

  3. Nella pagina Gestione applicazioni Web selezionare l'applicazione Web creata nella procedura precedente.

  4. Nel gruppo Collabora della barra multifunzione fare clic su Estendi.

  5. Nella pagina Estendi applicazione Web in un altro sito Web IIS, nella sezione Sito Web IIS, assicurarsi che sia selezionato Crea un nuovo sito Web IIS e quindi facoltativamente digitare il nome del sito Web nella casella Nome.

  6. Nella casella Porta della sezione Sito Web IIS digitare il numero di porta da utilizzare per l'accesso all'applicazione Web.

  7. Facoltativo: nella casella Intestazione host della sezione Sito Web IIS digitare il nome host che si desidera utilizzare per accedere all'applicazione Web, ad esempio www.contoso.com.

    Nota

    Questo campo in genere non viene impostato a meno che non si desideri configurare due o più siti Web IIS che condividono lo stesso numero di porta nello stesso server e che DNS non sia stato configurato per indirizzare le richieste allo stesso server.

  8. Nella casella Percorso della sezione Sito Web IIS digitare il percorso della directory radice dei siti Web IIS nel server. Per impostazione predefinita, questo campo è popolato con un percorso suggerito.

  9. Nella sezione Configurazione sicurezza, in Usa SSL (Secure Sockets Layer), fare clic su .

  10. Nella sezione Tipi di autenticazione delle attestazioni assicurarsi che Abilita autenticazione di Windows sia selezionato e nel menu a discesa selezionare Negozia (Kerberos) o NTLM. Per ulteriori informazioni, vedere Pianificare l'autenticazione Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x410).

  11. Selezionare la casella di controllo Autenticazione di base (credenziali non crittografate).

  12. Nella sezione URL pubblico modificare l'URL e impostare il nome di dominio completo. Ad esempio, https://corp.contoso.com:443.

  13. Nell'elenco Area selezionare l'area che si desidera utilizzare per questa porta. È possibile scegliere qualsiasi area disponibile ma è consigliabile scegliere l'area Personalizzata poiché questo nome descrive meglio lo scopo di quest'area.

  14. Fare clic su OK per estendere l'applicazione Web.

    Per ulteriori informazioni su come impostare SSL, vedere Come impostare SSL su IIS 7.0 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Creare un mapping di accesso alternativo per l'applicazione Web abilitata a SSL

È necessario rendere disponibile l'applicazione Web creata nella procedura precedente mediante l'URL specificato nel certificato SSL che verrà associato a tale applicazione Web (in una procedura successiva). Se l'URL non è lo stesso, ad esempio se l'applicazione Web è stata creata utilizzando il nome di dominio completo mentre il certificato utilizza l'URL breve, è necessario specificare l'URL elencato nel certificato.

Nota

Un esempio di nome di dominio completo è http://contoso.corp.com. In questo esempio l'URL breve sarebbe http://contoso.

Se l'URL elencato nel certificato SSL e l'URL utilizzato per creare l'applicazione Web coincidono, non è necessario eseguire questa procedura.

Per creare un mapping di accesso alternativo

  1. Nella barra di avvio veloce in Amministrazione centrale fare clic su Impostazioni di sistema.

  2. Nella sezione Gestione farm fare clic su Configura mapping di accesso alternativo.

  3. Fare clic su Aggiungi URL interni.

  4. Nella sezione Insieme di mapping di accesso alternativo selezionare l'applicazione Web che si desidera utilizzare per i siti Duet Enterprise.

  5. Nella sezione Aggiunta URL interno eseguire la procedura seguente:

    1. Nella casella Protocollo, host e porta URL digitare l'URL elencato nel certificato SSL.

    2. Nell'elenco Area selezionare l'area che si desidera utilizzare per questo URL.

      Nota

      Si tratta dello stesso nome di area selezionato quando si è estesa l'applicazione Web nella procedura precedente.

  6. Fare clic su Salva.

    Il mapping di accesso alternativo creato verrà visualizzato nella pagina Mapping di accesso alternativo.

Creare l'associazione SSL per la zona abilitata a SSL

Completare la procedura seguente per associare un certificato SSL all'area abilitata a SSL dell'applicazione Web.

Nota

Per completare questa procedura è necessario essere membro del gruppo Administrators sul computer che esegue SharePoint Server 2010.

Per creare l'associazione SSL per l'applicazione Web estesa

  1. Accedere a un server Web front-end come membro del gruppo Administrators di Windows.

  2. Fare clic sul pulsante Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

  3. Nel riquadro Connessioni espandere Siti e quindi selezionare il sito associato all'applicazione Web abilitata a SSL creata in una procedura precedente.

    Suggerimento

    Questo sito può essere identificato dal numero di porta e dal nome assegnato quando si è estesa l'applicazione Web.

  4. Nel riquadro Azioni, in Modifica sito, fare clic su Binding.

  5. Nella finestra di dialogo Binding sito fare clic su Aggiungi.

  6. Nella finestra di dialogo Aggiungi binding sito selezionare https dall'elenco a discesa Tipo.

  7. Nell'elenco dei certificati SSL selezionare il certificato SSL ottenuto o creato in Creare o ottenere un certificato SSL e quindi fare clic su OK.

  8. Fare clic su Chiudi per chiudere la finestra di dialogo Binding sito.

  9. Ripetere i passaggi da 1 a 8 per ogni server Web front-end aggiuntivo nella rotazione di bilancio del carico della server farm di SharePoint Server 2010

Esportare il certificato SSL

Se si è ottenuto un certificato da un'autorità di certificazione (CA), non è necessario eseguire questa procedura poiché il certificato è già presente nel file system. Viceversa, se si è utilizzato IIS su un server Web front-end di SharePoint per creare un certificato autofirmato ai fini di test, è necessario esportare il certificato in modo da poter condividere una copia di tale certificato con l'amministratore di SAP.

Nota

Per eseguire la procedura seguente è necessario essere membro del gruppo Administrators di Windows sul server Web front-end di SharePoint.

Per esportare il certificato SSL

  1. Accedere al server Web front-end di SharePoint per cui si è associato il certificato.

  2. Se non è ancora aperto, fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).

  3. Nella visualizzazione albero selezionare il nodo server.

  4. Nel riquadro intermedio, in IIS, fare doppio clic su Certificati server.

  5. Nel riquadro intermedio fare doppio clic sul certificato associato all'applicazione Web estesa.

  6. Nella finestra di dialogo Certificato, nella scheda Dettagli, fare clic su Copia su file.

  7. Nella pagina Esportazione guidata certificati fare clic su Avanti.

  8. Nella pagina Esportazione della chiave privata con il certificato, assicurarsi che sia selezionato Non esportare la chiave privata e quindi fare clic su Avanti.

  9. Nella pagina Formato file di esportazione fare clic su Avanti.

  10. Nella pagina File da esportare, nella casella Nome file, digitare il percorso e il nome file in cui si desidera esportare il certificato e quindi fare clic su Avanti.

    Suggerimento

    Non è necessario digitare un'estensione del nome di file.

  11. Fare clic su Fine.

  12. Fare clic su OK per chiudere la finestra di dialogo Esportazione completata.

  13. Fare clic su OK per chiudere la finestra di dialogo Certificato.

Condividere il certificato SSL con l'amministratore di SAP

È necessario fornire una copia del certificato SSL all'amministratore SAP. L'amministratore SAP utilizzerà il certificato SSL per stabilire la comunicazione dal server SAP NetWeaver al sistema SAP e l'applicazione Web.

Stabilire una relazione di trust con il certificato SSL dall'ambiente SAP

Affinché l'applicazione Web abilitata per SSL accetti informazioni dall'ambiente SAP, è necessario stabilire una relazione di trust con il certificato SSL fornito dall'amministratore di SAP.

Nota

Per completare questa procedura è necessario essere membri del gruppo Amministratori farm di SharePoint.

Per considerare attendibile il certificato SSL dell'ambiente SAP

  1. Nella barra di avvio veloce in Amministrazione centrale fare clic su Sicurezza.

  2. Nella sezione Sicurezza fare clic su Gestisci relazione trust.

  3. Nel gruppo Gestisci della barra multifunzione fare clic su Nuovo.

  4. Nella finestra di dialogo Stabilisci relazione di trust digitare nella casella Nome il nome che si desidera utilizzare per questa relazione di trust.

  5. Fare clic su Sfoglia accanto alla casella Certificato autorità radice.

  6. Nella finestra di dialogo Selezionare il file da caricare, nella casella Nome file, digitare il percorso e il nome file del certificato per cui si desidera stabilire una relazione di trust e quindi fare clic su Apri.

  7. Fare clic su OK per chiudere la finestra di dialogo Stabilisci relazione di trust.

    Il nome immesso nel passaggio 4 verrà visualizzato nella colonna Nome della pagina Relazione di trust.