Pianificare l'autenticazione Kerberos (SharePoint Server 2010)
Si applica a: SharePoint Foundation 2010, SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
In Microsoft SharePoint Server 2010 sono supportati diversi metodi di autenticazione. Per le distribuzioni che richiedono l'autenticazione sicura, la delega dell'identità client e un traffico di rete limitato è possibile scegliere l'autenticazione Kerberos. Per ulteriori informazioni, vedere Pianificare i metodi di autenticazione (SharePoint Server 2010).
Contenuto dell'articolo:
Autenticazione Kerberos e Microsoft SharePoint Server 2010
Autenticazione Kerberos e autenticazione basata sulle attestazioni
Autenticazione Kerberos e Microsoft SharePoint Server 2010
| Motivi per cui considerare la possibilità di utilizzare l'autenticazione Kerberos | Motivi per cui l'autenticazione Kerberos potrebbe non essere adatta per uno scenario di distribuzione |
|---|---|
Kerberos è il protocollo di autenticazione integrata di Windows più sicuro e supporta funzionalità di sicurezza avanzate, tra cui la crittografia AES (Advanced Encryption Standard) e l'autenticazione reciproca. |
Per un corretto funzionamento, l'autenticazione Kerberos richiede ulteriori passaggi di configurazione dell'infrastruttura e dell'ambiente. In molti casi è necessaria l'autorizzazione di amministratore del dominio per configurare Kerberos. L'impostazione e la gestione dell'autenticazione Kerberos possono essere difficoltose. Una configurazione errata di Kerberos può impedire la corretta autenticazione nei siti. |
Kerberos consente la delega delle credenziali client. |
L'autenticazione Kerberos richiede la connettività del computer client a un centro distribuzione chiavi (KDC) e la connettività del computer client a un controller di dominio di Servizi di dominio Active Directory. In una distribuzione Windows il centro distribuzione chiavi è un controller di dominio di Servizi di dominio Active Directory. Questa è una configurazione di rete comune in un ambiente aziendale, ma le distribuzioni con connessione Internet in genere non sono configurate in questo modo. |
Kerberos supporta l'autenticazione reciproca di client e server. |
|
Di tutti i metodi di autenticazione sicura disponibili, Kerberos richiede la quantità minore di traffico di rete verso i controller di dominio. Kerberos può ridurre la latenza delle pagine in alcuni scenari o aumentare il numero di pagine che un server Web front-end può gestire in determinati scenari. Kerberos può inoltre ridurre il carico nei controller di dominio. |
|
Kerberos è un protocollo aperto supportato da molte piattaforme e numerosi fornitori. |
Kerberos è un protocollo sicuro che supporta un metodo di autenticazione in cui vengono utilizzati ticket forniti da un'origine attendibile. I ticket Kerberos rappresentano le credenziali di rete di un utente associato a un computer client. Il protocollo Kerberos definisce il modo in cui gli utenti interagiscono con un servizio di autenticazione di rete per accedere alle risorse di rete. Il centro distribuzione chiavi Kerberos invia un ticket a un computer client per conto di un utente. Dopo avere stabilito una connessione di rete a un server, il computer client richiede l'accesso in rete presentando il ticket di autenticazione Kerberos al server. Se nella richiesta sono incluse credenziali utente accettabili, il centro distribuzione chiavi concede l'accesso. Per le applicazioni di servizio, nel ticket di autenticazione deve inoltre essere incluso un nome dell'entità servizio accettabile. Per consentire l'autenticazione Kerberos, i computer client e server devono già disporre di una connessione trusted al centro distribuzione chiavi. I computer client e server devono anche essere in grado di accedere a Servizi di dominio Active Directory.
Delega Kerberos
L'autenticazione Kerberos supporta la delega dell'identità client. Questo significa che un servizio può rappresentare l'identità di un client autenticato. La rappresentazione consente a un servizio di passare l'identità autenticata ad altri servizi di rete per conto del client. Per delegare le credenziali client è inoltre possibile utilizzare l'autenticazione basata sulle attestazioni, la quale però richiede che l'applicazione back-end sia in grado di riconoscere attestazioni. Diversi servizi importanti attualmente non sono in grado di riconoscere attestazioni.
Utilizzata insieme a Microsoft SharePoint Server 2010, la delega Kerberos consente a un servizio front-end di autenticare un client e quindi di utilizzare l'identità di tale client per eseguire l'autenticazione in un sistema back-end. Quest'ultimo quindi esegue la propria autenticazione. Quando un client utilizza l'autenticazione Kerberos per eseguire l'autenticazione in un servizio front-end, la delega Kerberos può essere utilizzata per passare l'identità di un client a un sistema back-end. Il protocollo Kerberos supporta due tipi di delega:
Delega di base Kerberos (senza vincoli)
Delega vincolata Kerberos
Delega di base Kerberos e delega vincolata Kerberos
Benché la delega di base Kerberos possa oltrepassare i limiti del dominio all'interno della stessa foresta, non può oltrepassare i limiti di una foresta. La delega vincolata Kerberos non può oltrepassare i limiti del dominio o i limiti della foresta. A seconda delle applicazioni di servizio che fanno parte di una distribuzione di SharePoint Server 2010, l'implementazione delle autenticazioni Kerberos con SharePoint Server 2010 può richiedere l'utilizzo della delega vincolata Kerberos. Per distribuire l'autenticazione Kerberos con una qualsiasi delle applicazioni di servizio seguenti, è pertanto necessario che SharePoint Server 2010 e tutte le origini dati esterne risiedano nello stesso dominio di Windows:
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
Per distribuire l'autenticazione Kerberos con una qualsiasi delle applicazioni di servizio seguenti, SharePoint Server 2010 può utilizzare la delega di base Kerberos oppure la delega vincolata Kerberos:
servizio di integrazione applicativa dei dati e Servizi di integrazione applicativa Microsoft
Access Services
Microsoft SQL Server Reporting Services (SSRS)
Microsoft Project Server 2010
I servizi abilitati per l'autenticazione Kerberos possono delegare l'identità più volte. Mentre un'identità passa da un servizio all'altro, il metodo di delega può cambiare dal tipo di base Kerberos a quello vincolato Kerberos, ma non l'inverso. Il metodo di delega non può cambiare dal tipo vincolato Kerberos al tipo di base Kerberos. È pertanto importante prevedere e pianificare se un servizio back-end necessiterà o meno della delega Kerberos di base. Questo può influire sulla pianificazione e sulla progettazione dei limiti di dominio.
Un servizio abilitato per Kerberos può utilizzare la transizione di protocollo per convertire un'identità non Kerberos in un'identità Kerberos delegabile ad altri servizi abilitati per Kerberos. Questa funzionalità può essere utilizzata ad esempio per delegare un'identità non Kerberos da un servizio front-end a un'identità Kerberos in un servizio back-end.
Importante
La transizione di protocollo richiede la delega vincolata Kerberos, pertanto le identità sottoposte a tale transizione non possono oltrepassare i limiti del dominio.
Come alternativa alla delega Kerberos è possibile utilizzare l'autenticazione basata sulle attestazioni, che consente il passaggio dell'attestazione di autenticazione di un client tra due servizi diversi, se questi soddisfano tutte le condizioni seguenti:
Deve esistere una relazione di trust tra i servizi.
Entrambi i servizi devono essere in grado di riconoscere attestazioni.
Per ulteriori informazioni sull'autenticazione Kerberos, vedere le risorse seguenti:
Funzionamento del protocollo di autenticazione Kerberos versione 5 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196644&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Microsoft Kerberos (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=125740&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Autenticazione Kerberos e autenticazione basata sulle attestazioni
SharePoint Server 2010 supporta l'autenticazione basata sulle attestazioni. Questa è basata su Windows Identity Foundation (WIF), ovvero un set di classi di .NET Framework utilizzate per implementare l'identità basata sulle attestazioni. È inoltre basata su standard quali WS-Federation e WS-Trust. Per ulteriori informazioni sull'autenticazione basata sulle attestazioni, vedere le risorse seguenti:
Identità basata sulle attestazioni per Windows: introduzione ad Active Directory Federation Services 2.0, Windows CardSpace 2.0 e Windows Identity Foundation (white paper) (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=198942&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Home page di Windows Identity Foundation (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=198943&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Introduzione alle attestazioni (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=217399&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Identità basata sulle attestazioni di SharePoint (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Quando si crea un'applicazione Web di SharePoint Server 2010, è possibile scegliere tra due modalità di autenticazione, ovvero basata sulle attestazioni o classica. Per le nuove implementazioni di SharePoint Server 2010, è consigliabile considerare la possibilità di utilizzare l'autenticazione basata sulle attestazioni. In questo modo, per le applicazioni Web saranno disponibili tutti i tipi di autenticazione supportati.
Le applicazioni di servizio seguenti richiedono la conversione delle credenziali basate sulle attestazioni in credenziali di Windows. Questo processo di conversione utilizza Attestazioni per il servizio token Windows (C2WTS):
Excel Services
PerformancePoint Services
InfoPath Forms Services
Visio Services
Le applicazioni di servizio che richiedono Attestazioni per il servizio token Windows devono utilizzare la delega vincolata Kerberos. Questo è dovuto al fatto che Attestazioni per il servizio token Windows richiede la transizione di protocollo e tale transizione è supportata solo dalla delega vincolata Kerberos. Per le applicazioni di servizio dell'elenco precedente, Attestazioni per il servizio token Windows converte le attestazioni all'interno della farm in credenziali di Windows per l'autenticazione in uscita. È importante comprendere che tali applicazioni possono utilizzare Attestazioni per il servizio token Windows esclusivamente se il metodo di autenticazione in ingresso è basato sulle attestazioni o la modalità classica. Le applicazioni di servizio a cui si accede tramite applicazioni Web e che utilizzano attestazioni SAML o attestazioni dell'autenticazione basata su moduli non si avvalgono di Attestazioni per il servizio token Windows, pertanto non sono in grado di convertire le attestazioni in credenziali di Windows.
Per istruzioni complete sulla configurazione di Kerberos in nove scenari specifici, inclusa la distribuzione di base, tre soluzioni di Microsoft SQL Server e scenari in cui vengono utilizzati Excel Services, PowerPivot per SharePoint, Visio Services, PerformancePoint Services e Servizi di integrazione applicativa, vedere Configurazione dell'autenticazione Kerberos per prodotti SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=197178&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).