Protezione per federazione (Search Server 2008)
Aggiornato: 2008-10-09
In questo articolo vengono illustrate le procedure consigliate per la protezione relativamente alla caratteristica della federazione di Server di ricerca 2008 Microsoft. L'articolo è rivolto sia a professionisti IT che ad architetti di sistema e amministratori dei servizi di ricerca.
Panoramica della federazione di ricerca
La ricerca federata consente agli utenti finali di eseguire una query in grado di utilizzare uno o più motori di ricerca compatibili con OpenSearch 1.1 e visualizzare i risultati di ogni motore di ricerca in una web part separate in una singola pagina dei risultati di ricerca. Le origini possono essere archivi contenuto aziendali, altri motori di ricerca o parti dell'indice di contenuto. Per ulteriori informazioni sulla federazione di ricerca, vedere Panoramica della ricerca federata (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=122651&clcid=0x410) (informazioni in lingua inglese) e Utilizzo della federazione (Search Server 2008).
Tipi di autenticazione
Per la ricerca federata sono disponibili numerosi tipi di autenticazione degli utenti, credenziali comuni e credenziali a livello di utente. È tuttavia importante notare che, per raccogliere le credenziali, è necessaria un'estensione della web part per i tipi di autenticazione dell'utente diversi da Kerberos. Il tipo di autenticazione per il percorso federato viene specificato nella sezione della definizione del percorso relativa all'autenticazione e alle credenziali. È possibile specificare uno dei tipi di autenticazione seguenti:
Anonimo
Per connettersi al percorso federato non sono necessarie credenziali.
Comune
Tutte le connessioni utilizzano lo stesso insieme di credenziali per connettersi al percorso federato.
A livello di utente
Per connettersi al percorso federato vengono utilizzate le credenziali dell'utente che ha immesso la query di ricerca.
Per i tipi di autenticazione comune e a livello di utente è necessario specificare uno dei protocolli di autenticazione seguenti:
Di base
L'autenticazione di base fa parte della specifica HTTP ed è supportata dalla maggior parte dei browser.
.gif "Nota sulla sicurezza")
Protezione Nota:I Web browser che utilizzano l'autenticazione di base trasmettono le password in formato non crittografato. Monitorando le comunicazioni sulle rete un utente malintenzionato può utilizzare strumenti disponibili pubblicamente per intercettare e decodificare tali password. L'autenticazione di base non è pertanto consigliata, a meno che non si abbia la certezza che la connessione è protetta, ad esempio perché si tratta di una linea dedicata o di una connessione SSL (Secure Sockets Layer).
Del digest
L'autenticazione del digest si basa sul protocollo HTTP 1.1, in base a quanto stabilito nella specifica RFC 2617 disponibile sul sito Web del World Wide Web Consortium (W3C). Poiché richiede il supporto del protocollo HTTP 1.1, l'autenticazione del digest non è supportata da tutti i browser. Se è abilitata l'autenticazione del digest e un browser che non supporta HTTP 1.1 richiede un file, la richiesta verrà rifiutata perché il client non supporta l'autenticazione del digest. L'autenticazione del digest può essere utilizzata solo nei domini Windows. L'autenticazione del digest può essere utilizzata esclusivamente con account di dominio Microsoft Windows Server 2008, Microsoft Windows Server 2003 e Microsoft Windows 2000 Server e può richiedere che le password degli account vengano archiviate come testo normale crittografato.
NTLM
I record degli utenti vengono archiviati nel database del sistema di gestione degli account di protezione (SAM) o nel database di Active Directory. Ogni account utente è associato a due password, ovvero la password compatibile con LAN Manager e la password di Windows. Ogni password viene crittografata e archiviata nel database SAM o nel database di Active Directory.
Kerberos (solo tipo di autenticazione a livello di utente)
Tramite il protocollo Kerberos, un'entità situata a un'estremità della connessione di rete può verificare che l'entità all'altra estremità è quella che afferma di essere. NTLM consente ai server di verificare le identità dei relativi client, ma non consente ai client di verificare l'identità dei server, né a un server di verificare l'identità di un altro server. L'autenticazione NTLM è progettata per gli ambienti di rete in cui i server possono essere considerati attendibili.
Forms
Un cookie di autenticazione Forms è semplicemente un contenitore per un ticket di autenticazione Forms. Il ticket viene passato a ogni richiesta come valore del cookie di autenticazione Forms e viene utilizzato dall'autenticazione Forms sul server per identificare un utente autenticato. Nell'autenticazione Forms senza cookie, invece, il ticket viene passato nell'URL in un formato crittografato. L'autenticazione Forms senza cookie viene utilizzata perché i browser client potrebbero bloccare i cookie. Tale funzionalità è stata introdotta in Microsoft .NET Framework 2.0.
Limitazione per motivi di protezione nella ricerca federata
Un'importante considerazione da tenere presente quando si utilizza la ricerca federata è la limitazione dei risultati delle ricerche per motivi di protezione. La limitazione per motivi di protezione è un metodo che consente di filtrare i risultati delle ricerche in base alle autorizzazioni degli account utente. Per impostazione predefinita, la limitazione dei risultati delle ricerche è persistente per i risultati restituiti dai sistemi seguenti:
Farm locale
Negli scenari in cui il percorso federato è un percorso OpenSearch configurato per l'autenticazione a livello di utente, se viene utilizzata l'autenticazione Kerberos vengono automaticamente passate le credenziali di un utente. Per i protocolli di autenticazione diversi da Kerberos, invece, le credenziali utente non vengono passate automaticamente. In tali scenari, per garantire la limitazione dei risultati per motivi di protezione per l'utente corrente, estendere la web part dei risultati federati in modo da raccogliere le credenziali utente. Per ulteriori informazioni, vedere Creazione di una web part personalizzata per la ricerca federata con un'interfaccia utente per l'immissione delle credenziali (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=122653&clcid=0x410) (informazioni in lingua inglese).
Se non viene utilizzata l'autenticazione Kerberos, sarà inoltre necessario estendere le web part per la ricerca federata in modo da raccogliere le credenziali utente, affinché i risultati delle ricerche per i percorsi OpenSearch (tutti i percorsi diversi dalla farm locale) risultino limitati per motivi di protezione per ogni utente.
Per ulteriori informazioni sulla protezione per Server di ricerca 2008, vedere Sicurezza e protezione per Search Server 2008 e Considerazioni sulla protezione per le ricerche (Search Server 2008).