Come rendere Sharepoint 2007 Claims-Aware e integrarlo in Geneva Server BETA 2

  • Article

Grande enfasi sto riscontrando nelle richieste di chiarimenti sulla configurazione di Sharepoint 2007 in “versione”Claims-aware ovvero come poterlo integrare nelle nuove architetture basate su Geneva Server. In questo mio precedente post avevo dato il link al laboratorio che abbiamo messo on-line ma i requirements sono un forte deterrente :

  • Il laboratorio è composto da 4 macchine virtuali
  • Il download è poco più di  14Gb
  • L’ambiente gira su Hyper-V.
  • Sono necessari un minimo di 8 GB di RAM sulla macchina Host per far girare l’ambiente.

risultato … molte persone non possono provare il laboratorio ma (giustamente) vogliono capire come configurare Sharepoint per parlare la “nuova lingua franca dei claims” :-). A questo proposito nel post mi concentrerò su alcuni aspetti importanti di configurazione di Sharepoint che non sono descritti per intero nel documento di configurazione dello scenario (che è comunque disponibile insieme alle macchine virtuali ma con un download separato) e darò il link per scaricare i files mancanti per una configurazione “fai-da-te” :-) !!

Lo scenario di riferimento è il seguente :

 

image

Figura 1 : Struttura dello scenario implementato.

Quindi di fatto stiamo lavorando sulla configurazione della macchina CONTOSOSRV02.

Tornando a noi, i passi minimi per configurare Sharepoint in modalità claims-aware sono quelli descritti nei primi 4 step del documento, ovvero :

  1. Configurare Sharepoint affinchè accetti i token rilasciati da Geneva Server.
  2. Aggiungere il gruppo Domain Admins tra gli amministratori di Sharepoint.
  3. Configurare Geneva Server a rilasciare i token per Sharepoint
  4. Configurare i Ruoli in Sharepoint.

Sebbene i punti 2-3-4 sono ben chiari, il primo viene trattato semplicemente come l’esecuzione dello script ConfigureSharepoint.bat che altro non fa che lanciare lo script SetupSharePointIDFX.vbs con i seguenti parametri:

  • -appconfig <web.config del portale Sharepoint>.
  • -adminconfig <web.config del portale di amministrazione di Sharepoint>.
  • -applicationuri <URL esatto dell’applicazione sharepoint> .
  • -stsmetadataurl <Il metadata URL del STS (Security Token Service) di Geneva per ottenere i federation metadata . Il formato di questo URL è il seguente : https://server-name/FederationMetadata/spec-version/FederationMetadata.xmled è definita direttamente al paragrafo 3.2.2 della specifica WS-Federation>.
  • -fedutilmode <modalità di esecuzione dell’ utility FedUtil.exe>.
  • -urlZone < la zone di Sharepoint da configurare>.

Nel caso specifico dello scenario avremo i seguenti parametri:

Ma cosa fa esattamente questo script?

Lo script inizia con l’invocazione dell’utility FEDUTIL.EXE (fornita con Geneva Framework) per configurare il Security Token Service (Geneva Server) come un trusted issuer per Sharepoint. Successivamente lo script modifica le configurazioni dei web.config passati come parametro con lo scopo principale di aggiungere i nuovi provider per Sharepoint forniti all’interno di Geneva Framework : nel caso specifico avremo il MembershiProvider (Microsoft.IdentityModel.SharePoint.SharePointClaimsMembershipProvider), il Role Provider (Microsoft.IdentityModel.SharePoint.SharePointClaimsRoleProvider) e infine un HttpModule per gestire correttamente la FBA (Forms Based Authentication) di Sharepoint (Microsoft.IdentityModel.SharePoint.OfficeDiscoveryFormsAuthenticationModule). Infine lo script invoca l’utility STSADM.EXE (fornita con sharepoint) per configurare l’ URL mapping e il metodo di autenticazione impostato a  ‘none’ e ASP.NET imporsonate = false.

Una volta terminato lo script con esito positivo (lo si vede dall’output) crea un file contenente i federation metadata per Sharepoint che successivamente dovrà essere dato in pasto a Geneva Server per completare la profilazione del STS o in gergo Geneva l’ Identity Provider (IP)!! That’s all !! A questo punto potete seguire passo passo il documento e continuare la configurazione a mano.

Qui trovi il link del documento di configurazione dello scenario.

Qui puoi scaricare gli script di configurazione.

 

Buon lavoro…

--Mario