Si viene reindirizzati a una pagina di accesso o a una pagina di errore oppure vengono richieste informazioni di autenticazione quando si fa clic su un collegamento ipertestuale a un sito Web SSO in un documento di Office
Sintomi
Quando si fa clic su un collegamento ipertestuale in un documento di Microsoft Office, è possibile che si verifichi il comportamento seguente prima di aprire la pagina richiesta:
- Si viene reindirizzati a una pagina di accesso o a una pagina di errore
- Vengono richieste informazioni di autenticazione.
In genere, questo comportamento si verifica quando si verificano le condizioni seguenti:
- Il documento di Office viene aperto in modalità di modifica all'esterno del Web browser.
- Il sito Web nel collegamento ipertestuale usa un sistema di autenticazione Single Sign-On (SSO) che si basa sui cookie di sessione HTTP per l'identificazione client. Anche se sono già state specificate le credenziali utente, viene richiesto di fornire nuovamente le credenziali utente.
Causa
Office consente di modificare e creare documenti in un sito Web se il server supporta la creazione e la collaborazione Web. In primo luogo, Office tenta di comunicare con il server Web. Office tenta quindi di eseguire l'associazione diretta alla risorsa usando Microsoft Hyperlink Library (Hlink.dll) e l'API URLMON.
Quando Office invia la richiesta di pagina Web, è possibile che venga reindirizzato alla pagina di accesso del sito Web per il sistema SSO. Questo comportamento si verifica perché la sessione di Office è indipendente dalla sessione del Web browser in cui è possibile che siano già state specificate le credenziali utente.
Poiché le sessioni sono indipendenti, i cookie di sessione non vengono condivisi. Se il sistema SSO si basa esclusivamente sulle informazioni sui cookie di sessione, il sistema SSO potrebbe non funzionare perché lo stesso utente si sposta da più sessioni. Questo comportamento è una limitazione di progettazione fondamentale di un sistema SSO quando il sistema SSO non è progettato per supportare l'autenticazione SSO in più browser o applicazioni in grado di riconoscere il Web nel desktop client. Poiché Office è un'applicazione completamente in grado di riconoscere il Web, il problema può apparire univoco per le applicazioni di Office se sono gli unici client in grado di riconoscere il Web installati dal client. Tuttavia, la causa principale di questo problema non è limitata a Microsoft Office e questo problema può verificarsi quando si usa software di terze parti.
Soluzione alternativa
Il problema è una limitazione del sistema SSO usato dal server Web. Tuttavia, è possibile ridurre gli effetti correnti per il sito Web protetto da SSO usando uno dei metodi seguenti.
Collegamenti ipertestuali da Internet Explorer a Office
Se questo problema si verifica quando i collegamenti ipertestuali in una pagina Web aprono un file di Office e la pagina Web è ospitata in Internet Explorer, è possibile evitare questo problema contrassegnando in modo esplicito il contenuto come download di sola lettura anziché come navigazione inline.
A tale scopo, aggiungere un'intestazione HTTP personalizzata alla risposta GET per il contenuto del file di Office. Aggiungere l'intestazione "Content-Disposition: Attachment". Quando una risposta GET contiene questa intestazione, Internet Explorer richiede all'utente di aprire o salvare il download. Se l'utente sceglie di aprire il download, il file viene aperto dalla cache dei file temporanei di Internet Explorer di sola lettura. L'utente può scegliere di modificare e salvare il file in locale. Tuttavia, l'utente non sarà in grado di salvare il file nel server o collaborare con i servizi Web per il sito Web. Pertanto, questa soluzione funziona solo se si intende rendere il file di sola lettura.
È possibile impostare l'intestazione "Content-Disposition" usando il codice in Microsoft Active Server Pages (ASP), in Microsoft ASP.NET o in ISAPI quando si lavora con contenuto generato dinamicamente. Se il contenuto è statico, è possibile configurare l'intestazione per un determinato file o cartella usando Gestione IIS e la metabase IIS. Per altre informazioni sull'intestazione HTTP Content-Disposition, vedere Come generare una finestra di dialogo Download file per un tipo MIME noto.
Collegamenti ipertestuali da Office a Internet Explorer o a un altro Web browser
Se questo problema si verifica quando si fa clic su collegamenti ipertestuali nei documenti di Office che aprono direttamente il contenuto Web HTML o vengono reindirizzati al contenuto HTML, gli utenti client possono evitare il problema abilitando una chiave del Registro di sistema per inviare lo spostamento del collegamento ipertestuale al browser invece di eseguire direttamente l'associazione al collegamento ipertestuale da Office. Per altre informazioni, vedere Messaggio di errore quando si fa clic sul collegamento ipertestuale in Office: "Impossibile individuare il server Internet o il server proxy".
Nota
Indipendentemente dalla versione di Office installata, aggiungere la chiave del Registro di sistema nel percorso esatto specificato in Messaggio di errore quando si fa clic sul collegamento ipertestuale in Office: "Impossibile individuare il server Internet o il server proxy".
Quando si usa questa impostazione del Registro di sistema, il componente HLINK usato da Office apre il collegamento ipertestuale nel Web browser predefinito. Questa impostazione del Registro di sistema interessa tutti i client HLINK, non solo Office. Pertanto, usare questa chiave del Registro di sistema con attenzione.
Ulteriori informazioni
Per risolvere completamente questo problema, è consigliabile che i provider SSO sviluppino un sistema che possa consentire la creazione web e un client che usa più sessioni. Questa configurazione aggiunge complessità al sistema SSO. Tuttavia, questa configurazione offre anche ai client le opzioni di usabilità più avanzate. Microsoft sta attualmente lavorando con i principali provider SSO per una soluzione a lungo termine.
Microsoft sta inoltre esaminando il modo in cui gli utenti finali usano Office per prevedere e gestire meglio gli scenari seguenti:
- L'utente intende aprire un collegamento ipertestuale in modalità di sola lettura. In questo scenario, il collegamento ipertestuale viene aperto in modalità di esplorazione.
- L'utente vuole modificare il contenuto. In questo scenario è necessaria una nuova sessione per la creazione e la collaborazione.
Queste modifiche alla configurazione possono ridurre l'effetto del problema descritto nella sezione "Sintomi". Queste modifiche possono anche aggiungere flessibilità all'utente quando l'utente visita un sito SSO che non supporta configurazioni che includono client a più sessioni.
Se si è uno sviluppatore o una finestra di progettazione SSO, è possibile aggiungere il supporto per i client a più sessioni. Ad esempio, è possibile usare i metodi seguenti:
Usare le informazioni sui cookie persistenti e le informazioni sui cookie di sessione per identificare quando un singolo client ha incrociato le sessioni tra le applicazioni sul desktop. Fornire quindi risposte Web per trasferire di nuovo il client in una singola sessione o per autenticare la nuova sessione.
Usare un componente lato client per creare un sistema di autenticazione integrato. Usare questo sistema di autenticazione integrato per autenticare tutti i processi avviati con lo stesso token di autenticazione utente.
Usare i certificati o un altro metodo di identificazione permanente ma migliorato dalla sicurezza per autenticare il client.
Per una richiesta HTTP che può essere una richiesta client a più sessioni, inviare una risposta di reindirizzamento sul lato client anziché una risposta di reindirizzamento lato server. Ad esempio, inviare uno script HTTP o un tag META REFRESH anziché una risposta HTTP 302. Questa modifica forza nuovamente il client nel Web browser predefinito dell'utente. Pertanto, la sessione del browser predefinita può gestire la chiamata e mantenere la chiamata in una singola sessione di sola lettura.
Questo metodo non consente la creazione. Tuttavia, questo metodo chiarisce che il sistema SSO non gestisce i client a più sessioni e vuole che il client rimanga solo nella sessione del browser predefinita.
L'approccio esatto a questa modifica della configurazione dipende dagli obiettivi di progettazione e dal livello di integrazione che si vuole avere con il desktop client.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per