Delega dell'identità per Servizi di integrazione applicativa (SharePoint Server 2010)
Si applica a: SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
In questo scenario viene configurata l'applicazione del servizio di integrazione applicativa dei dati per l'utilizzo della delega vincolata Kerberos per l'autenticazione in SQL Server. Dopo aver eseguito la configurazione, viene creato un nuovo tipo di contenuto esterno e un nuovo elenco esterno per testare l'autenticazione e leggere le operazioni in un sito di SharePoint.
In questo scenario la farm di SharePoint Server e l'origine dati BCS si trovano nello stesso dominio. Viene pertanto configurata la delega vincolata Kerberos per consentire la delega dell'identità all'origine dati back-end. Se è richiesta l'autenticazione nelle origini dati di altri domini della stessa foresta, è necessario configurare la delega Kerberos di base (non vincolata). Poiché BCS non utilizza Attestazioni per il servizio token Windows, è possibile utilizzare la delega di base.
Nota
Se si esegue l'installazione in Windows Server 2008, potrebbe essere necessario installare l'hotfix seguente per l'autenticazione Kerberos:
Un'autenticazione Kerberos ha esito negativo con codice errore 0X80090302 oppure 0x8009030f in un computer in cui è in esecuzione Windows Server 2008 o Windows Vista quando viene utilizzato l'algoritmo AES (https://support.microsoft.com/kb/969083/it)
Dipendenze dello scenario
Per completare questo scenario è necessario eseguire le operazioni seguenti:
Scenario 1: Configurazione di base
Scenario 2: Autenticazione Kerberos per SQL OLTP
Elenco di controllo della configurazione
| Area di configurazione | Descrizione |
|---|---|
Configurazione di Active Directory |
Creare l'account di servizio dell'applicazione BCS Convalidare i nomi delle entità servizio Configurare la delega |
Configurazione di SharePoint Server |
Avviare l'istanza del servizio BCS Creare l'applicazione del servizio BCS |
Verifica |
Creare un tipo di contenuto esterno BCS Configurare la sicurezza di BCS Creare un elenco esterno BCS Aprire l'elenco esterno nel browser |
Dettagli relativi all'ambiente dello scenario
.jpg "Diagramma del processo di autenticazione")
.jpg "Diagramma del processo di delega")
Istruzioni dettagliate per la configurazione
Configurazione di Active Directory
Creare l'account di servizio dell'applicazione BCS
Come procedura consigliata, Servizi di integrazione applicativa (BCS, Business Connectivity Services) deve essere eseguito con la propria identità di dominio. Per configurare l'applicazione BCS è necessario creare un account di Active Directory. In questo esempio sono stati creati gli account seguenti:
| Servizio SharePoint Server | Identità del pool di applicazioni IIS |
|---|---|
Servizi di integrazione applicativa |
vmlab\svcBDC |
Convalidare i nomi delle entità servizio
I tipi di contenuto esterno BCS vengono eseguiti nel contesto del pool di applicazioni IIS con il tipo di contenuto esterno quando vengono utilizzati i dati BCS nei siti di SharePoint. Per la connessione e l'autenticazione di BCS nelle origini dati esterne tramite l'autenticazione Kerberos, è necessario che l'account di servizio del pool di applicazioni IIS e l'account di servizio dell'origine dati esterna dispongano di nomi delle entità servizio (SPN, Service Principal Name) configurati. Fare riferimento agli scenari 1 e 2 in questo documento per configurare e convalidare gli SPN necessari nelle applicazioni Web e negli account di servizio di SQL Server.
Configurare la delega
Per consentire a BCS di delegare l'identità del client, è necessario configurare la delega Kerberos. Benché la delega vincolata non sia tecnicamente obbligatoria come Excel Services e sebbene sia possibile utilizzare la delega non vincolata per BCS, è consigliabile limitare l'ambito della delega consentito per il servizio. In questo esempio pertanto verrà configurata la delega vincolata.
Ogni account di servizio del pool di applicazioni IIS che ospita il sito che esegue il tipo di contenuto esterno deve essere configurato per consentire la delega ai servizi back-end.
In questo esempio sono necessari i percorsi di delega seguenti:
| Tipo entità | Nome entità | Delega al servizio |
|---|---|---|
Utente |
svcPortal10App |
MSSQLSVC/MySqlCluster.vmlab.local:1433 |
Utente |
svcTeams10App |
MSSQLSVC/MySqlCluster.vmlab.local:1433 |
Per configurare la delega vincolata
Aprire le proprietà dell'oggetto Active Directory in Utenti e computer di Active Directory.
Passare alla scheda Delega.
SP2010 Kerberos Guide228.gif
Selezionare Utente attendibile per la delega solo ai servizi specificati.
Nota
Se si desidera che BCS esegua l'autenticazione nelle origini dati nella stessa foresta, ma all'esterno del dominio in cui si trova SharePoint Server, selezionare Computer attendibile per la delega a qualsiasi servizio per configurare la delega di base anziché la delega vincolata. Il tipo di contenuto esterno BCS verrà eseguito nel processo di lavoro IIS dell'applicazione Web e non utilizzerà Attestazioni per il servizio token Windows. Ricordare che la delega Kerberos tra foreste non è consentita.
Fare clic sul pulsante Aggiungi per selezionare l'entità servizio consentita per la delega.
Selezionare Utenti e computer.
Selezionare l'account di servizio con cui viene eseguito il servizio di destinazione della delega. In questo esempio corrisponde all'account di servizio per il servizio SQL Server.
Nota
All'account di servizio selezionato deve essere applicato un SPN. In questo esempio l'SPN dell'account è stato configurato in uno scenario precedente.
Fare clic su OK.
Selezionare gli SPN di destinazione della delega e quindi fare clic su OK.
Selezionare i servizi per il cluster di SQL Server e fare clic su OK.
A questo punto gli SPN selezionati dovrebbero essere visibili nell'elenco Servizi ai quali l'account può presentare credenziali delegate.
Ripetere questi passaggi per ogni percorso di delega identificato più indietro in questa sezione.
Verificare l'SPN MSSQLSVC per l'account di servizio che esegue il servizio in SQL Server (operazione eseguita nello scenario 2)
Verificare l'esistenza dell'SPN per l'account di servizio di Analysis Services (vmlab\svcSQL) con il comando SetSPN seguente:
SetSPN -L vmlab\svcSQL
Dovrebbe visualizzarsi quanto segue:
MSSQLSVC/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
Configurazione di SharePoint Server
Avviare l'istanza del servizio BCS
Prima di creare un'applicazione del servizio BCS, avviare il servizio BCS nei server della farm designata.
Aprire Amministrazione centrale.
In Servizi selezionare Gestisci servizi nel server.
Nella casella di selezione dei server nell'angolo in alto a destra selezionare uno o più server in cui è in esecuzione Excel Services, in questo caso VMSP10APP01.
Avviare Servizio di integrazione applicativa dei dati.
Creare l'applicazione del servizio BCS
Configurare quindi una nuova applicazione del servizio BDC e un proxy di applicazione del servizio BDC per consentire alle applicazioni Web di utilizzare i servizi BDC:
Aprire Amministrazione centrale.
Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.
Selezionare Nuovo e quindi Servizio di integrazione applicativa dei dati.
Configurare la nuova applicazione di servizio. Selezionare l'account di servizio corretto (creare un nuovo account gestito se l'account di servizio di BDC non è visibile nell'elenco).
Verifica
Creare un tipo di contenuto esterno BCS
Per accedere ai dati esterni tramite BDC, è necessario creare un tipo di contenuto esterno BDC. In questo esempio verrà utilizzato SharePoint Designer 2010 per creare il tipo di contenuto esterno nell'applicazione Web portal (http://portal):
Aprire SharePoint Designer 2010.
Aprire la raccolta siti di prova in http://portal.
Nel riquadro di spostamento sulla sinistra fare clic su Tipi di contenuto esterno.
Selezionare Tipo di contenuto esterno nella sezione Nuovo sulla barra multifunzione nell'angolo in alto a sinistra della pagina.
Assegnare un nome visualizzato al tipo di contenuto esterno.
Selezionare Fare clic qui per individuare origini dati esterne e definire operazioni.
Fare clic su Aggiungi connessione.
Selezionare SQL Server nell'elenco a discesa Tipo di origine dati e aggiungere le informazioni per la connessione al database di prova. Selezionare Connetti con identità utente per testare la delega.
Espandere la nuova connessione. Fare clic con il pulsante destro del mouse sulla tabella di prova (Sales) e scegliere Crea tutte le operazioni.
Dovrebbe visualizzarsi un errore in cui viene indicato che non è stato definito un identificatore univoco. Selezionare la colonna dell'identificatore e la casella di controllo Mapping a identificatore. Fare clic su Fine per accettare le opzioni predefinite e creare le operazioni di tipo di contenuto esterno.
Fare clic su Salva (CTRL+S). Il tipo di contenuto esterno verrà pubblicato nell'archivio dei metadati dell'applicazione del servizio BDC.
Configurare la sicurezza di BCS
Affinché i client possano utilizzare il tipo di contenuto esterno BCS nell'applicazione Web portal, è necessario configurare le autorizzazioni BCS. BCS supporta un modello di autorizzazioni dettagliate, ma per lo scopo di questa dimostrazione verrà configurata la sicurezza a livello dell'archivio dei metadati e le modifiche della sicurezza verranno propagate a tutti gli oggetti nell'archivio.
Aprire Amministrazione centrale.
Selezionare Gestisci applicazioni di servizio in Gestione applicazioni.
Fare clic sul collegamento relativo alla nuova applicazione di servizio, Servizio di integrazione applicativa dei dati in questo esempio.
Selezionare Imposta autorizzazioni archivio metadati.
In questo esempio sono stati configurati Enterprise Admins con tutte le autorizzazioni e Tutti gli utenti autenticati con tutte le autorizzazioni ad eccezione di Impostazione autorizzazioni.
Verificare che la casella di controllo Propaga autorizzazioni sia selezionata e fare clic su OK per salvare le modifiche.
Creare un elenco esterno BCS
Per testare il tipo di contenuto esterno verrà configurato un elenco esterno per la visualizzazione dei dati esterni nell'applicazione portal:
Aprire SharePoint Designer 2010.
Aprire la raccolta siti di prova in http://portal.
Selezionare Tipi di contenuto esterno sul lato sinistro.
Fare clic sul tipo di contenuto creato precedentemente.
Sulla barra multifunzione fare clic su Crea elenchi e moduli.
Se viene chiesto se si desidera salvare il tipo di contenuto esterno, fare clic su Sì.
Nella finestra di dialogo Crea elenchi e moduli digitare un nome di elenco nella casella di testo Nome elenco e quindi fare clic su OK.
Aprire l'elenco esterno nel browser
Aprire SharePoint Designer 2010.
Aprire la raccolta siti di prova in http://portal.
Fare clic su "Elenchi e raccolte" nel riquadro di spostamento sulla sinistra.
Selezionare l'elenco esterno nella parte inferiore dell'elenco Elenchi e raccolte.
Fare clic sul pulsante Visualizza anteprima nel browser.
Verrà aperto Internet Explorer con il sito e l'elenco esterno selezionati.
Verificare che i dati esterni vengano visualizzati correttamente. Per convalidare ulteriormente la connessione, modificare i dati di origine in SQL Server Management Studio e aggiornare la pagina del browser. Le modifiche apportate ai dati dovrebbero riflettersi nel browser.