Configurare il servizio di archiviazione sicura (SharePoint Server 2010)

  • Articolo

 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2017-01-19

In questo articolo vengono descritte le operazioni del servizio di archiviazione sicura di Microsoft SharePoint Server 2010 che consentono a chi progetta soluzioni di creare applicazioni di destinazione che eseguono il mapping delle credenziali utente e di gruppo alle credenziali delle origini di dati esterne. Utilizzando queste applicazioni di destinazione, i tipi di contenuto esterno in servizio di integrazione applicativa dei dati saranno in grado di interagire con le origini di dati esterne per leggere, scrivere, creare e modificare i dati archiviati in origini di dati esterne. Per una panoramica del servizio di archiviazione sicura, vedere Pianificare il servizio di archiviazione sicura (SharePoint Server 2010).

Prima di utilizzare il servizio di archiviazione sicura per creare applicazioni di destinazione, è necessario dotarlo di una passphrase. La passphrase viene utilizzata per generare una chiave che consente di crittografare e decrittografare le credenziali archiviate nel database del servizio di archiviazione sicura. Se è necessario specificare la passphrase iniziale, all'apertura di un'istanza dell'applicazione del servizio di archiviazione sicura verrà visualizzato un messaggio in cui viene indicato di generare una nuova chiave per l'applicazione del servizio di archiviazione sicura.

Contenuto dell'articolo:

  • Inizializzare un'istanza di un'applicazione del servizio di archiviazione sicura

  • Aggiornare la chiave di crittografia

  • Generare una nuova chiave di crittografia

  • Creare un'applicazione di destinazione

  • Impostare le credenziali per un'applicazione di destinazione

  • Abilitare il registro di controllo

Nota

Utilizzare Amministrazione centrale per eseguire le procedure seguenti. Se si desidera utilizzare Windows PowerShell, vedere Configurare il servizio di archiviazione sicura utilizzando PowerShell (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) in Script Center e le righe relative alla creazione del servizio di archiviazione sicura e del proxy nel post di blog di Todd Carter La procedura guidata si basa sui GUID (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Se inoltre si desidera utilizzare un registro di controllo, è necessario utilizzare i parametri AuditingEnabled e AuditlogMaxSize del cmdlet New-SPSecureStoreServiceApplication o del cmdlet Set-SPSecureStoreServiceApplication.

Inizializzare un'istanza di un'applicazione del servizio di archiviazione sicura

È possibile utilizzare i comandi del gruppo Modifica della barra multifunzione per inizializzare un'istanza di un'applicazione del servizio di archiviazione sicura.

Per inizializzare un'istanza di un'applicazione del servizio di archiviazione sicura

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere un amministratore dell'applicazione di servizio per l'istanza del servizio di archiviazione sicura.

  2. In un'istanza di un'applicazione del servizio di archiviazione sicura fare clic sulla scheda Gestisci.

  3. Nel gruppo di gestione delle chiavi fare clic su Genera nuova chiave.

  4. Nella pagina Genera nuova chiave digitare una stringa passphrase nella casella Passphrase e la stessa stringa nella casella Conferma passphrase.

    Importante

    Una stringa passphrase deve essere formata da almeno otto caratteri e contenere almeno tre dei quattro elementi seguenti:

    • Caratteri maiuscoli

    • Caratteri minuscoli

    • Numeri

    • Qualsiasi dei caratteri speciali seguenti:

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Suggerimento

    La passphrase immessa verrà archiviata. Assicurarsi di annotarla e di conservarla in un luogo sicuro. Sarà necessaria per aggiornare la chiave, ad esempio quando si aggiunge un nuovo server applicazioni alla server farm.

  5. Fare clic su OK.

Può venire richiesto di aggiornare la chiave di crittografia se:

  • si aggiunge un nuovo server applicazioni alla server farm;

  • si ripristina un database del servizio di archiviazione sicura precedentemente sottoposto a backup e successivamente si era modificata la chiave di crittografia;

  • viene visualizzato un messaggio di errore che indica che non è possibile ottenere la chiave master.

Aggiornare la chiave di crittografia

È possibile utilizzare i comandi del gruppo di gestione delle chiavidella barra multifunzione per aggiornare la chiave di crittografia.

Per aggiornare la chiave di crittografia

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere un amministratore dell'applicazione di servizio per l'istanza del servizio di archiviazione sicura.

  2. In un'istanza di un'applicazione del servizio di archiviazione sicura fare clic sulla scheda Gestisci.

  3. Nel gruppo di gestione delle chiavifare clic su Aggiorna chiave.

  4. Nella casella Passphrase digitare la passphrase utilizzata inizialmente per generare la chiave di crittografia.

    Questa passphrase sarà quella utilizzata quando si è inizializzata l'applicazione del servizio di archiviazione sicura o quella utilizzata quando si è creata una nuova chiave utilizzando il comando Genera nuova chiave.

  5. Fare clic su OK.

Generare una nuova chiave di crittografia

Come norma di sicurezza o come parte della manutenzione normale può essere opportuno generare una nuova chiave di crittografia e facoltativamente imporre che il servizio di archiviazione sicura venga nuovamente crittografato sulla nuova chiave.

Avviso

È opportuno eseguire il backup del database dell'applicazione del servizio di archiviazione sicura prima di generare una nuova chiave.

Per generare una nuova chiave di crittografia

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere un amministratore dell'applicazione di servizio per l'istanza del servizio di archiviazione sicura.

  2. In un'istanza di un'applicazione del servizio di archiviazione sicura fare clic sulla scheda Gestisci.

  3. Nel gruppo di gestione delle chiavifare clic su Genera nuova chiave.

  4. Nella pagina Genera nuova chiave digitare una stringa passphrase nella casella Passphrase e la stessa stinga nella casella Conferma passphrase.

    Importante

    Una stringa passphrase deve essere formata da almeno otto caratteri e contenere almeno tre dei quattro elementi seguenti:

    • Caratteri maiuscoli

    • Caratteri minuscoli

    • Numeri

    • Qualsiasi dei caratteri speciali seguenti:

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Suggerimento

    La passphrase immessa verrà archiviata. Assicurarsi di annotarla e di conservarla in un luogo sicuro. Sarà necessaria per aggiornare la chiave, ad esempio quando si aggiunge un nuovo server applicazioni alla server farm.

  5. Per imporre la riesecuzione della crittografia del database del servizio di archiviazione sicura, fare clic sull'opzione per ricrittografare il database utilizzando la nuova chiave**.**

  6. Fare clic su OK.

Creare un'applicazione di destinazione

È possibile utilizzare il servizio di archiviazione sicura per creare applicazioni di destinazione. Un'applicazione di destinazione esegue il mapping delle credenziali di un utente, gruppo o attestazione a un insieme di credenziali su un'origine dati esterna quale un database SQL Server o un servizio Web. Dopo aver creato un'applicazione di destinazione, è possibile associarla a un tipo di contenuto esterno o a un modello di applicazione per offrire accesso a un'origine dati esterna.

Per creare un'applicazione di destinazione

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere un amministratore dell'applicazione di servizio per l'istanza del servizio di archiviazione sicura.

  2. In un'istanza di un'applicazione del servizio di archiviazione sicura fare clic sulla scheda Gestisci.

  3. Nel gruppo Gestisci applicazioni di destinazione fare clic su Nuovo.

  4. Nella casella ID applicazione di destinazione digitare una stringa di testo.

    Si tratta della stringa univoca che verrà utilizzata internamente dall'applicazione del servizio di archiviazione sicura per identificare l'applicazione di destinazione.

  5. Nella casella Nome visualizzato digitare una stringa di testo che verrà utilizzata per visualizzare l'identificatore dell'applicazione di destinazione nell'interfaccia utente.

  6. Nella casella Indirizzo di posta elettronica contatto digitare l'indirizzo di posta elettronica del contatto principale per l'applicazione di destinazione.

    Tale indirizzo può esser qualsiasi indirizzo di posta elettronica valido e non è necessario che identifichi un amministratore dell'applicazione del servizio di archiviazione sicura.

  7. Quando si crea un'applicazione di destinazione di tipo Account personale (vedere di seguito), è possibile implementare una pagina Web personalizzata che consenta agli utenti di aggiungere credenziali individuali per l'origine dati di destinazione. A tal fine è richiesto codice personalizzato per passare le credenziali all'applicazione di destinazione. Se si è eseguita questa operazione, digitare l'URL completo della pagina nel campo URL pagina applicazione di destinazione. Sono disponibili tre opzioni:

    • Usa pagina specificata: a qualsiasi sito Web che utilizzi l'applicazione di destinazione per accedere a dati esterni verrà aggiunta automaticamente una pagina di iscrizione individuale. L'URL di questa pagina sarà http:/<sitodiesempio>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<IDApplicazioneDiDestinazione>, dove <IDApplicazioneDiDestinazione> è la stringa digitata nella casella ID applicazione di destinazione. Pubblicando il percorso di questa pagina, è possibile consentire agli utenti di aggiungere le loro credenziali per l'origine dati esterna.

    • Usa pagina personalizzata: si offre una pagina Web personalizzata che consente agli utenti di inserire credenziali individuali. Digitare l'URL della pagina personalizzata in questo campo.

    • Nessuna: non è presente alcuna pagina di iscrizione. Le credenziali individuali vengono aggiunte esclusivamente da un amministratore del servizio di archiviazione sicura mediante l'applicazione del servizio di archiviazione sicura.

  8. Nella casella Tipo di applicazione di destinazione digitare il tipo di applicazione di destinazione: Gruppo, per credenziali di gruppo, o Account personale se viene eseguito il mapping di ogni utente a un insieme univoco di credenziali sull'origine dati esterna.

    Nota

    Sono disponibili due tipi principali per la creazione di un'applicazione di destinazione:

    • Gruppo, per il mapping di tutti i membri di uno o più gruppi a un unico insieme di credenziali sull'origine dati esterna.

    • Account personale, per il mapping di ogni utente a un insieme univoco di credenziali sull'origine dati esterna.

  9. Se le credenziali sull'origine dati esterna sono credenziali di Windows, selezionare al casella di controllo Windows.

    Deselezionare la casella di controllo se le credenziali sull'origine dati esterna non sono credenziali di Windows.

  10. Fare clic su Avanti per configurare i campi da utilizzare per inviare le credenziali all'origine dati esterna.

  11. Utilizzare la pagina Specifica campi credenziali per applicazione di destinazione servizio di archiviazione sicura per configurare i vari campi che possono essere richiesti per comunicare le credenziali all'origine dati esterna. Per impostazione predefinita sono elencati due campi: Nome utente e Password.

    Per aggiungere un ulteriore campo mediante cui comunicare le credenziali all'origine dati esterna, nella pagina Specifica campi credenziali per applicazione di destinazione servizio di archiviazione sicura fare clic su Aggiungi campo.

    Per impostazione predefinita, il tipo del nuovo campo è impostato su Generale. Sono disponibili i tipi di campi seguenti:

    Campo Descrizione

    Generale

    Valori che non rientrano in alcuna delle altre categorie.

    Nome utente

    Account utente che identifica l'utente.

    Password

    Parola o frase segreta.

    PIN

    Numero di identificazione personale.

    Chiave

    Parametro che determina l'output funzionale di un algoritmo crittografico.

    Nome utente di Windows

    Account utente di Windows che identifica l'utente.

    Password di Windows

    Parola o frase segreta per un account di Windows.

    • Per modificare il tipo di un campo nuovo o esistente, fare clic sulla freccia visualizzata accanto al tipo del campo e quindi selezionare il nuovo tipo di campo.

      Nota

      È necessario che ogni campo che si aggiunge contenga dati quando inviato per impostare le credenziali.

    • È possibile modificare il nome che gli utenti visualizzano quando interagiscono con un campo. Nella colonna Nome campo della pagina Specifica campi credenziali per applicazione di destinazione servizio di archiviazione sicura modificare il nome del campo selezionando il testo corrente e digitando il nuovo testo.

    • Quando un campo è mascherato, ogni carattere digitato da un utente non viene visualizzato ma è sostituito da un carattere di maschera quali l'asterisco “*”. Per mascherare un campo, selezionare la casella di controllo relativa a tale campo nella colonna Con maschera della pagina.

    • Per eliminare un campo, fare clic sull'icona di eliminazione per tale campo nella colonna Elimina della pagina.

    Dopo aver terminato la modifica dei campi delle credenziali, fare clic su Avanti.

  12. Nella pagina Specifica impostazioni di appartenenza in Campo amministratori applicazione di destinazione elencare tutti gli utenti che hanno accesso alla gestione delle impostazioni dell'applicazione di destinazione.

  13. Se il tipo di applicazione di destinazione è un gruppo, nel campo Membri elencare i gruppi di utenti di cui eseguire il mapping a un insieme di credenziali per l'applicazione di destinazione.

  14. Fare clic su OK per completare la configurazione dell'applicazione di destinazione.

Impostare le credenziali per un'applicazione di destinazione

Dopo aver creato un'applicazione di destinazione, un amministratore di tale applicazione può impostare le credenziali relative. Queste credenziali verranno utilizzate da Servizi di integrazione applicativa Microsoft e da altri servizi per consentire l'accesso a un'origine di dati esterna. Se l'applicazione di destinazione è di tipo Account personale, è possibile consentire agli utenti di fornire le proprie credenziali.

Per impostare le credenziali per un'applicazione di destinazione

  1. Verificare di disporre delle credenziali amministrative seguenti:

    • È necessario essere un amministratore dell'applicazione di servizio per l'istanza del servizio di archiviazione sicura.

  2. In un'istanza dell'applicazione del servizio di archiviazione sicura selezionare l'identificatore dell'applicazione di destinazione, fare clic sulla freccia visualizzata e quindi scegliere Imposta credenziali nel menu.

    Se l'applicazione di destinazione è di tipo Gruppo, digitare le credenziali per l'origine dati esterna. I campi per l'impostazione delle credenziali variano a seconda delle informazioni richieste dall'origine dati esterna.

    Se l'applicazione di destinazione è di tipo Account personale, digitare il nome utente della persona di cui si eseguirà il mapping a un insieme di credenziali sull'origine dati esterna e digitare le credenziali per l'origine dati esterna. I campi per l'impostazione delle credenziali variano a seconda delle informazioni richieste dall'origine dati esterna. .

Abilitare il registro di controllo

Le voci di controllo del servizio di archiviazione sicura vengono archiviate nel database del servizio di archiviazione sicura. Per impostazione predefinita, il file di registro di controllo è disabilitato.

In una voce del registro di controllo vengono archiviate informazioni su un'azione del servizio di archiviazione sicura, ad esempio quando è stata eseguita, l'esito, l'eventuale motivo di un esito negativo, l'utente del servizio di archiviazione sicura che l'ha eseguita e, facoltativamente, l'utente del servizio di archiviazione sicura per conto del quale è stata eseguita. Una ragione valida per abilitare un file di registro di controllo pertanto è rappresentata dalla necessità di risolvere un problema di autenticazione.

Nota

Se il database del servizio di archiviazione sicura è impostato come sola lettura, il file di registro di controllo deve essere disabilitato, altrimenti verrà visualizzato il messaggio di errore seguente durante l'autenticazione: "Impossibile completare l'operazione. Il servizio condiviso di archiviazione sicura non risponde. Contattare l'amministratore".

Per abilitare il registro di controllo utilizzando Amministrazione centrale

  1. Verificare che l'account utente utilizzato per eseguire questa procedura sia membro del gruppo di SharePoint Amministratori farm.

  2. Nella home page di Amministrazione centrale fare clic su Gestione applicazioni.

  3. Nella sezione Applicazioni di servizio della pagina Gestione applicazioni fare clic su Gestisci applicazioni di servizio.

  4. Nella scheda Applicazioni di servizio fare clic su Archiviazione sicura (il tipo deve essere associato all'applicazione del servizio di archiviazione sicura).

  5. Sulla barra multifunzione fare clic su Proprietà.

  6. Nella sezione Attiva controllo selezionare la casella di controllo Registro di controllo attivato.

  7. Per modificare il numero di giorni che devono trascorrere prima dell'eliminazione delle voci dal file di registro, specificare un numero di giorni nel campo Giorni alla cancellazione. Il valore predefinito è 30 giorni.

  8. Fare clic su OK.