Team Foundation Server, autenticazione e accesso

  • Articolo

È possibile configurare la distribuzione in modo da rendere più sicure le connessioni tra gli utenti e la distribuzione di Visual Studio Team Foundation Server.Team Foundation Server (TFS) è in grado di supportare l'autenticazione di base e del digest, oltre ai certificati.È pertanto possibile configurare la distribuzione di TFS in modo che vengano utilizzati Hypertext Transfer Protocol Secure (HTTPS) con Secure Sockets Layer (SSL) e l'autenticazione di base o del digest.Se si adotta questa strategia, gli utenti potranno connettersi in modo più protetto alla distribuzione, senza dover utilizzare connessioni di rete privata virtuale (VPN).

Configurazioni

Per supportare connessioni esterne alla distribuzione di Team Foundation Server in modo più protetto, è necessario configurare Internet Information Services (IIS) per abilitare l'autenticazione di base, l'autenticazione del digest o entrambe.È inoltre opportuno configurare qualsiasi connessione esterna affinché vengano richiesti certificati.

Aa833874.collapse_all(it-it,VS.110).gifAutenticazione di base e autenticazione del digest

L'autenticazione di base fa parte della specifica HTTP 1.0 e utilizza gli account utente di Windows.Durante l'autenticazione di base il browser richiede all'utente un nome utente e una password, quindi trasmette tali informazioni tramite HTTP utilizzando la codifica Base64.Per impostazione predefinita, l'autenticazione di base richiede che l'account utente di Windows disponga di diritti di accesso locale al server Web.È possibile utilizzare l'autenticazione di base sia nelle distribuzioni basate su gruppi di lavoro sia in quelle basate su domini.L'autenticazione di base è supportata dalla maggior parte dei server Web, dei server proxy e dei Web browser, ma non è sicura.Poiché i dati con codifica Base64 sono facilmente decodificabili, l'autenticazione di base consiste essenzialmente nell'invio della password come testo non crittografato.Controllando le comunicazioni in rete tramite strumenti disponibili pubblicamente, un utente malintenzionato può intercettare e decifrare queste password con facilità.Per migliorare la sicurezza, è necessario considerare l'utilizzo di HTTPS con SSL.

L'autenticazione del digest è un meccanismo In attesa/Risposta che invia in rete un digest (detto anche hash) anziché una password.Durante l'autenticazione del digest, IIS invia una richiesta al client per la creazione di un digest e il successivo invio di tale digest al server.Come risposta alla richiesta, il client invia un digest basato sulla password dell'utente insieme a dati noti sia al client che al server.Il server utilizza lo stesso processo del client per creare un proprio digest, con le informazioni utente ottenute da Active Directory.Il client viene autenticato in IIS solo se il digest creato dal server corrisponde a quello creato dal client.È possibile utilizzare l'autenticazione del digest solo nelle distribuzioni di Active Directory.Da sola, l'autenticazione del digest rappresenta un piccolo miglioramento rispetto all'autenticazione di base.Un utente malintenzionato potrebbe registrare la comunicazione tra client e server e utilizzare tali informazioni per ripetere la transazione.L'autenticazione del digest dispone anche di dipendenze sul protocollo HTTP 1.1 che non tutti i Web browser supportano.I tentativi di accesso a Team Foundation Server avranno inoltre esito negativo se l'autenticazione del digest non viene configurata correttamente.Evitare di scegliere l'autenticazione del digest se la distribuzione non soddisfa tutti i requisiti necessari per tale modalità.Per ulteriori informazioni, vedere la pagina seguente sul sito Web Microsoft (Configurare l'autenticazione del digest (IIS 7.0)).

Aa833874.collapse_all(it-it,VS.110).gifProtocolli di autenticazione.

Per impostazione predefinita, Team Foundation Server utilizza il protocollo di autenticazione di richiesta/risposta di Windows NTLM.Le credenziali NTLM sono basate sui dati ottenuti durante il processo interattivo di accesso e includono un hash unidirezionale della password.

Team Foundation Server supporta inoltre il protocollo di autenticazione di negoziazione Microsoft.Il protocollo Negoziazione, Kerberos è selezionato a meno che non possa essere utilizzato da uno dei sistemi coinvolti nel processo di autenticazione.Per i sistemi non configurati per Kerberos, viene utilizzato NTLM.La negoziazione è l'opzione più sicura per la maggior parte delle distribuzioni, ma può richiedere attività di configurazione aggiuntive.

Aa833874.collapse_all(it-it,VS.110).gifLimiti

Oltre ai requisiti di dominio e gruppo di lavoro indicati in precedenza in questo argomento, sia l'autenticazione di base che l'autenticazione del digest sono insufficienti da sole a garantire la sicurezza di rete per i client esterni.È pertanto opportuno non configurare Team Foundation Server per il supporto dei client esterni, se tali connessioni non vengono configurate anche per la richiesta di HTTPS con SSL.

Vedere anche

Concetti

Architettura di Team Foundation Server

Altre risorse

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)