Richieste di autenticazione quando si aprono documenti di Office

Traduzione articoli Traduzione articoli
Identificativo articolo: 2019105 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Quando si apre un documento di Office da un server web, potrebbe essere richiesta l'autenticazione. I motivi tecnici specifici sono descritti nell' articolo della Microsoft Knowledge Base 838028.  Tuttavia, tale articolo copre il problema sottostante senza offrire alcun approcci specifici su come a che fare con il problema. Questo articolo è stato scritto per descrivere il comportamento in Office 2003, ma esiste lo stesso comportamento sottostante per Microsoft Office 2007.

Questo documento è destinato a fornire una panoramica del problema e i vari approcci per affrontare il problema. Attualmente non vi è Nessun panacea. In questo modo, l'alternativa più appropriato dipenderanno dal quale funzionalità sono necessaria per i destinatari e servono a quali configurazioni.Nella maggior parte dei casi, sarà necessario un compromesso.

Cause

Quando Internet Explorer viene aperto un documento di Office, viene avviata l'applicazione di Office appropriato con il percorso del documento. Quindi l'applicazione di Office tenta di accedere al documento direttamente dal server. Questo è diverso dagli altri browser e altri tipi di file. La maggior parte dei browser scaricare il file e chiamare l'applicazione per aprire il file dalla cache locale. Tuttavia, in questo caso, se il file aperto viene modificato e salvato, vengono apportate le modifiche solo alla copia locale e non alla copia sul server.

 Per stabilire l'esperienza più completo possibile, la prima cosa che esegue l'applicazione di Office è comunicare con il server per determinare il tipo di server e quali web protocollo di modifica è disponibile.L'applicazione viene eseguita effettuando una richiesta OPTIONS direttamente al server. 

Come nuovo processo accede al server, l'applicazione di Office è necessario per negoziare nuovamente l'autenticazione.Questo metodo è più sicuro rispetto a un metodo in cui il nuovo processo utilizza un'autenticazione esistente stabilita dal browser.

Risoluzione

Nella maggior parte dei casi di Intranet, questo problema viene discusso più facilmente configurando il server di autenticazione integrata di Windows e quindi configurare il client per consentire l'accesso automatico. Il nome utente e la password dell'utente correntemente connesso Windows verrà automaticamente inviato al server quando viene richiesta l'autenticazione senza chiedere conferma all'utente.

Per attivare per consentire l'accesso automatico, è necessario attivare l'opzione per la zona in cui il sito è. L'area Intranet locale ha una configurazione predefinita di accesso automatico con nome utente corrente e la password. L'area Intranet locale viene definita come tutte le connessioni di rete stabilite utilizzando un percorso UNC (Universal Naming Convention) e siti Web che ignorano il server proxy o che i cui nomi non includono punti (ad esempio http://locale), purché non siano assegnati a entrambi i siti con restrizioni o all'area siti attendibili.Area attendibili ha una configurazione predefinita di accesso automatico solo nell'area Intranet.

Quando si aprono documenti di Microsoft Office mediante Microsoft Office 2007 in Windows Vista o in una versione successiva di Windows, l'applicazione tenta di stabilire una basata sul Web Distributed Authoring and Versioning (WebDAV) di connessione al server web tramite il servizio.A partire da Windows Vista, il servizio utilizza il protocollo di rete WinHTTP e non utilizza il gestore di zona.Le credenziali dell'utente vengono passate automaticamente solo se viene soddisfatta una delle seguenti criteri:

  •  Il sito è un nome NetBIOS (non "punti" ha nell'URL).
  • È stato rilevato un proxy e l'URL del sito corrisponde ai criteri di esclusione proxy.
  • Il sito è un nome di dominio completo (FQDN), la versione webclnt.dll è maggiore o uguale a 6.0.6000.20729 e l'URL del sito corrisponde ai criteri specificati del valore del Registro di sistema parametro nel servizio Web Client AuthForwardServerList.(Vedere l' articolo di Knowledge Base 943280 per ulteriori informazioni).

Se le credenziali di accesso Windows corrispondono a quelle necessarie per il sito, autenticazione integrata di Windows dovrebbe consentire il client sia configurato per accedere automaticamente utilizzando il nome utente e la password.Essere consapevoli che utilizza l'autenticazione Windows integrata tramite una connessione a Internet non viene consigliata o supportata.

Tenere presente che se le credenziali del attualmente connesso, utente non sono è necessario accedere al documento (ad esempio quando il server e le workstation non sono in domini trusted), viene chiesto di immettere le credenziali. La regola generale è che se è necessario fornire le credenziali per accedere a un sito, è in genere necessario fornire credenziali per aprire un documento.

Quando l'autenticazione integrata di Windows non è realizzabile, l'occorrenza delle credenziali richieste può risultare problematica. I metodi seguenti sono alcune alternative e i relativi svantaggi:

Metodo 1: Un'alternativa con funzionalità complete, ma con un rischio calcolato

Utilizzando Forms Based Authentication (FBA) con i cookie permanenti, l'unico modo per mantenere la funzionalità di modifica diretta e inoltre non essere richiesto dall'applicazione di Office è necessario implementare un server proxy/firewall utilizzando l'autenticazione basata su form con i cookie permanenti (ad esempio un server ISA o un Forefront Threat Management Gateway). Tuttavia, è consigliabile prestare attenzione poiché i cookie permanenti non discriminazione e possono consentire alle applicazioni indesiderate di avvalersi dell'autenticazione condivisa.È possibile ridurre l'esposizione una corretta configurazione delle impostazioni di timeout, ma è stato introdotto un elemento di rischio.

Nel 2006 ISA, utilizzando l'autenticazione basata su form HTML con i cookie permanenti, applicazioni all'esterno del browser (ad esempio le applicazioni Office) possono utilizzare i cookie. Tuttavia, i cookie sono "permanenti".Non vengono eliminati quando si chiude il browser o l'applicazione di Office e pertanto può essere utilizzati se l'utente in un caffè Internet o in un'altra posizione pubblica. Tuttavia, i timeout dei cookie ancora valide, in base alla configurazione del timeout nelle impostazioni del server Internet Security and Acceleration (ISA).

È disponibile un'opzione "utilizzare i cookie permanenti solo su computer privati" che riduce questa vulnerabilità, ma gli utenti devono selezionare "computer privato" nel modulo FBA per attivare la funzionalità di cookie permanenti. (Gli utenti devono selezionare solo "computer privato" quando utilizzano computer che sono proprietari o attendibili.)

NotaPer impostazione predefinita, a partire da Windows Vista con Internet Explorer 7, i cookie permanenti non vengono condivise a causa dell'impostazione "Modalità protetta" in Internet Explorer. Per una spiegazione e una soluzione alternativa, vedere articolo della Microsoft Knowledge Base 932118.

Metodo 2: Client approcci che consentono di ridurre l'impatto

Lasciare aperta l'applicazione ? per coloro che desiderano mantenere la funzionalità di modifica diretta, ma chi FBA con cookie permanenti non è disponibile, gli utenti possono ridurre l'impatto di più richieste da lasciare aperta l'applicazione dopo aver effettuato il primo accesso. Chiudendo solo il documento anziché l'applicazione, è possibile aprire un altro documento che utilizza la stessa applicazione senza che vengano richieste le credenziali, perché il processo in esecuzione è già stato autenticato.Documenti di tipi diversi richiedono un'altra applicazione ancora richiesta di conferma per ogni nuova applicazione che richiede l'accesso al sito.

Selezionare "ricordare la password" ? le richieste le credenziali possono anche essere meno intrusivo se l'utente seleziona l'opzione per ricordare la password.Questa operazione deve essere eseguita solo se il computer client è in un ambiente trusted private e non deve essere utilizzato su un computer pubblico.(In molte aziende è impostato un criterio che impedisce il salvataggio delle password.)Il salvataggio della password non eliminerà la richiesta ma verrà preventivamente, le informazioni in modo che solo un singolo clic/tasti è necessario rispondere. Se si utilizza questo approccio, è necessario aggiungere il sito all'area siti attendibili.

Preconfigurazione OPTIONS del risultato: Come menzionato nell'articolo della Knowledge Base articolo 838028, chiamata OPTIONS non viene eseguita se le informazioni precedentemente ottenute e memorizzate nella Office Protocol Discovery Cache.

Importanti-modifica della chiave del Registro di sistema o valori direttamente non è consigliata. Il modo più semplice per prepopolare le informazioni consiste nel copiare e distribuire le informazioni dopo che è stato correttamente compilato su un computer di prova. Informazioni salvate sono temporanee, in quanto Office Cancella la cache periodicamente.Per impostazione predefinita, scade dopo circa due settimane, anche se è possibile estendere questo limite di tempo.Creazione un aggiornamento incluso in Office 2003 Service Pack 3 (e disponibile anche in Microsoft Office 2007) che consente l'estensione di questo tempo fino a 10 anni.(Vedere l' articolo della Knowledge Base 916658).Lo svantaggio dell'utilizzo di questa voce del Registro di sistema è che se web modifica modifiche del tipo di protocollo o server, Office 2003 ancora presupporrà che vecchie informazioni sono valide.

Office Protocol Discovery Cache:Office Protocol Discovery Cache contiene voci sottochiave per ogni cartella web che viene aperto e che ha risposto correttamente a una richiesta OPTIONS.La chiave del Registro di sistema viene utilizzata da Office 2003 è il seguente:

Cache HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\Internet\Server

Nota Microsoft Office 2007 viene utilizzata una chiave simile ma include "12.0" anziché "11.0".

È possibile impostare il numero massimo di voci nella cache tramite il valore di registro MaxCount sotto la stessa chiave Server Cache.Office rimuove le voci meno recenti per aumentare lo spazio disponibile se viene raggiunto il numero massimo.Se lo spazio non può essere cancellato, non vengono memorizzati nella cache i risultati della chiamata OPTIONS.

Preconfigurazione risposta OPTIONS non può eliminare tutte le richieste le credenziali.Una richiesta PROPFIND può comportare anche una richiesta di autenticazione.

Metodo 3: Configurazioni alternative quando è realizzabile con funzionalità ridotte

Esistono metodi per configurare un sito in modo che non sono necessarie credenziali aggiuntive per forzare l'utilizzo del documento nella cache locale.Tuttavia, la configurazione avrà effetto su tutti gli utenti per URL specifici e funzionalità di modifica diretta è disattivata.Di conseguenza, non potranno salvare direttamente sul server dall'applicazione di Office.

I documenti devono essere modificati non in linea e quindi caricati sul server. L'approccio migliore varia a seconda dello scenario specifico e il comportamento desiderato.

Utilizzare Content-Type dell'allegato (diversi da SharePoint) ? se Internet Explorer invia la richiesta GET, l'applicazione web potrebbe essere in grado di contrassegnare in modo esplicito il contenuto come una lettura-solo download per cui una sessione di modifica diretta non può essere stabilita (ad esempio per un file PDF o txt). (Descritto nell' articolo della Knowledge Base 899927.Vedere la sezione "Collegamenti da Internet Explorer per Office", che descrive come utilizzare il "contenuto-eliminazione: allegato" intestazione.)

Consenti la OPTIONS chiamare per anonimi (non SharePoint) ? per determinare il tipo di server e il tipo di protocollo di creazione web è disponibile, Office invia innanzitutto una chiamata OPTIONS. Chiamata OPTIONS deve disporre di autorizzazioni di esplorazione o elenco abbia esito positivo.

Per evitare che la seconda richiesta di autenticazione, la risposta OPTIONS deve avere un stato reso di qualcosa di diverso da un codice "403".Se il server web utilizza un'applicazione web per accedere ai file, l'applicazione può essere modificato per gestire la richiesta OPTIONS (ad esempio con un "405: metodo non consentito" messaggio). Se i file si trovano nel file system del server web, la richiesta può essere evitata modificando le autorizzazioni per consentire la chiamata OPTIONS per esito positivo e pertanto comportare una risposta corretta "200".

 Per un server basato su Internet Information Services IIS, farlo attivando l'accesso anonimo per il sito in Gestione IIS.

Nota Utilizzare questa soluzione solo se il nativo estensioni servizio Web WebDAV di IIS fornisce funzionalità WebDAV. Se vengono utilizzate le estensioni del server di FrontPage, questa soluzione non deve essere implementata.Ciò potrebbe sembrare counterintuitive per un sito che offre solo accesso limitato. Accesso limitato, tuttavia, può essere applicato a livello di file system. Poiché la richiesta OPTIONS richiede solo l'autorizzazione Elenca contenuto (in genere nella directory principale del sito), le autorizzazioni della cartella dovrebbero essere modificate per negare lettura e deny write per l'account utilizzato per l'accesso anonimo (come definito in Gestione IIS ma talvolta con il nome di "Account Internet Guest"). Consente le autorizzazioni necessarie soddisfare la chiamata OPTIONS ma ancora Nega l'accesso al contenuto. L'applicazione di Office verrà quindi aprire il documento dalla cache di Internet.

Disattivare il supporto dei verbi OPTIONS e PROPFIND ? se l'applicazione web non è destinato a essere utilizzato per WebDAV, l'estensione del servizio Web che fornisce la funzionalità WebDAV può essere impostata su non consentito in un server predefinito che esegue IIS.(Potrebbe essere WebDAV o estensioni del server di FrontPage.)Se il sito offre funzionalità WebDAV tramite un'altra estensione, il provider di estensione che dovrà essere coinvolto.Ad esempio, per farlo con Windows SharePoint Services (WSS), il sito deve essere configurato per disattivare l'integrazione client o le opzioni e PROPFIND verbo deve essere disattivato.(Su IIS 6, rimuovere i comandi dalla riga di registrazione <httpHandlers> nel file web.config.

Informazioni

Gli articoli della Microsoft Knowledge Base riportato di seguito contengono ulteriori informazioni sull'apertura di file o collegamenti di Office 2003:

838028 Come documenti aperti da un sito Web di Office 2003

899927 Vengono reindirizzati a una pagina di accesso o una pagina di errore oppure viene chiesto informazioni di autenticazione quando si fa clic su un collegamento ipertestuale a un sito SSO Web in un documento di Office

932118 Cookie permanenti non vengono condivisi tra le applicazioni di Internet Explorer 7 e Office in Windows Vista

916658 Vengono chieste le credenziali ogni due settimane, quando si tenta di visualizzare una risorsa Web in Office 2003

943280 Viene chiesto di immettere le credenziali quando si accede a un sito completo da un computer che esegue Windows Vista o Windows 7 e non ha configurato alcun proxy

Proprietà

Identificativo articolo: 2019105 - Ultima modifica: mercoledì 8 dicembre 2010 - Revisione: 18.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office PowerPoint 2007
  • Microsoft Office Word 2007
Chiavi: 
kbmt KB2019105 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2019105
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com