Planen von Secure Store Service in SharePoint Server
GILT FÜR:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Secure Store Service ist ein Ansprüche unterstützender Autorisierungsdienst, der eine verschlüsselte Datenbank zum Speichern von Anmeldeinformationen enthält.
Informationen zu Secure Store Service
Die Anwendung für einmaliges Anmelden ist ein Autorisierungsdienst, der auf SharePoint Server ausgeführt wird. Die Anwendung für einmaliges Anmelden stellt eine Datenbank bereit, die zum Speichern von Anmeldeinformationen verwendet wird. Diese Anmeldeinformationen bestehen in der Regel aus einer Benutzeridentität und einem Kennwort, sie können jedoch auch andere von Ihnen definierte Felder enthalten. Beispielsweise können von SharePoint Server mithilfe der Datenbank für einmaliges Anmelden Anmeldeinformationen für den Zugriff auf externe Datenquellen gespeichert und abgerufen werden. Secure Store Service bietet Unterstützung für die Speicherung mehrerer Sätze von Anmeldeinformationen für mehrere Back-End-Systeme.
Im Folgenden sind einige Verwendungsszenarien für den Dienst für einmaliges Anmelden aufgeführt:
Excel Online in Office Online Server kann den Dienst für einmaliges Anmelden verwenden, um Zugriff auf externe Datenquellen in in SharePoint Server 2016 veröffentlichten Arbeitsmappen bereitzustellen. Dies kann als Ersatz für die Übergabe von Benutzeranmeldeinformationen an die Datenquelle verwendet werden, ein Prozess, der häufig eine eingeschränkte Kerberos-Delegation benötigt.
Excel Services in SharePoint Server 2013 kann den Dienst für einmaliges Anmelden verwenden, um Zugriff auf externe Datenquellen in veröffentlichten Arbeitsmappen bereitzustellen. Dies kann als Ersatz für die Übergabe von Benutzeranmeldeinformationen an die Datenquelle verwendet werden, ein Prozess, der häufig Kerberos-Delegation benötigt. Excel Services benötigt einmaliges Anmelden, wenn Sie ein unbeaufsichtigtes Dienstkonto für die Datenauthentifizierung konfigurieren möchten.
Visio Services kann den Dienst für einmaliges Anmelden verwenden, um Zugriff auf externe Datenquellen in veröffentlichten Datenverbindungsdiagrammen bereitzustellen. Dies kann als Ersatz für die Übergabe von Benutzeranmeldeinformationen an die Datenquelle verwendet werden, ein Prozess, der häufig eine eingeschränkte Kerberos-Delegation benötigt. Visio Services benötigt einmaliges Anmelden, wenn Sie ein unbeaufsichtigtes Dienstkonto für die Datenauthentifizierung konfigurieren möchten.
PerformancePoint-Dienste kann den Dienst für einmaliges Anmelden verwenden, um Zugriff auf externe Datenquellen bereitzustellen. PerformancePoint-Dienste benötigt einmaliges Anmelden, wenn Sie ein unbeaufsichtigtes Dienstkonto für die Datenauthentifizierung konfigurieren möchten.
PowerPivot benötigt einmaliges Anmelden für geplante Aktualisierungen von PowerPivot-Arbeitsmappen.
Microsoft Business Connectivity Services kann einmaliges Anmelden zur Zuordnung von Benutzeranmeldeinformationen zu einem Satz von Anmeldeinformationen für ein externes System verwenden. Sie können entweder jede Benutzeranmeldung einem eindeutigen Konto im externen System zuordnen, oder Sie ordnen einen Satz von authentifizierten Benutzern einem einzelnen Gruppenkonto zu. Business Connectivity Services kann auch Secure Store verwenden, um Zertifikate für den Zugriff auf eine lokale Datenquelle aus SharePoint in Microsoft 365 zu speichern.
Die SharePoint-Runtime kann einmaliges Anmelden zum Speichern von Anmeldeinformationen verwenden, die für die Kommunikation mit Azure-Diensten erforderlich sind, wenn eine der Benutzer-Apps die SharePoint-Runtime für die Bereitstellung benötigt und Azure-Dienste nutzt.
Vorbereitung für Secure Store Service
Beim Vorbereiten der Bereitstellung von Secure Store Service sollten Sie die folgenden wichtigen Richtlinien beachten:
Sichern Sie vor dem Generieren eines neuen Verschlüsselungsschlüssels die Secure Store-Datenbank. Außerdem sollten Sie die Secure Store-Datenbank nach der Erstellung und nach jeder erneuten Verschlüsselung von Anmeldeinformationen sichern. Wenn ein neuer Schlüssel generiert wird, können die Anmeldeinformationen mit dem neuen Schlüssel erneut verschlüsselt werden. Wenn bei der Schlüsselaktualisierung Fehler auftreten oder die Passphrase vergessen wird, können die Anmeldeinformationen nicht verwendet werden.
Sichern Sie den Verschlüsselungsschlüssel nach dem ersten Einrichten von Einmaliges Anmelden und dann wieder bei jedem erneuten Generieren des Schlüssels.
Bewahren Sie das Sicherungsmedium für den Verschlüsselungsschlüssel nicht am gleichen Ort auf wie das Sicherungsmedium für die Datenbank für einmaliges Anmelden. Wenn ein Benutzer in den Besitz einer Kopie der Datenbank und einer Kopie des Schlüssels kommt, sind die in der Datenbank gespeicherten Anmeldeinformationen möglicherweise gefährdet.
Da Einmaliges Anmelden zum Speichern vertraulicher Informationen verwendet wird, empfehlen wir das Berücksichtigen folgender Richtlinien, um die Sicherheit zu erhöhen:
Führen Sie Secure Store Service in einem separaten Anwendungspool aus, der für keinen anderen Dienst verwendet wird.
Erstellen Sie die Secure Store-Datenbank auf einem separaten Server mit SQL Server. Verwenden Sie nicht die gleiche SQL Server-Instanz, in der sich die Inhaltsdatenbanken befinden.
Zielanwendungen in Secure Store
Eine Zielanwendung ist eine Auflistung von Informationen, in der ein oder mehrere Benutzer einem Satz von verschlüsselten Anmeldeinformationen zugeordnet werden, die in der Datenbank für einmaliges Anmelden gespeichert sind. Zielanwendungen enthalten die folgenden Informationen, die Sie definieren können:
Ob es sich um eine einzelne oder eine Gruppenzuordnung handelt.
Welche Felder in der Datenbank für einmaliges Anmelden gespeichert werden. (In der Standardeinstellung: "Windows-Benutzername" und "Windows-Kennwort", Sie können jedoch in Abhängigkeit von der Anwendung zusätzliche Feldtypen auswählen.)
Benutzer mit Berechtigungen zur Verwaltung der Zielanwendung.
Einzelbenutzer oder Gruppe, denen Sie die Anmeldeinformationen zuordnen.
Jede Zielanwendung hat eine eindeutige, von Ihnen festgelegte Anwendungs-ID, die für Verweise auf die Zielanwendung aus externen Anwendungen wie Excel Online oder SharePoint Designer verwendet wird.
Zuordnungen von Anmeldeinformationen für einmaliges Anmelden
Secure Store Service unterstützt einzelne Zuordnungen und Gruppenzuordnungen. In einer Gruppenzuordnung werden jedem Benutzer, der Mitglied einer bestimmten Domänengruppe ist, die gleichen Sätze von Anmeldeinformationen zugeordnet. Bei einer Einzelzuordnung wird jedem einzelnen Benutzer ein eindeutiger Satz von Anmeldeinformationen zugeordnet. Einzelne Zuordnungen sind hilfreich, wenn Sie Protokollierungsinformationen zu individuellem Benutzerzugriff auf gemeinsame Ressourcen benötigen. Bei Gruppenzuordnungen ordnet eine Sicherheitsebene Anmeldeinformationen für mehrere Domänenbenutzer anhand eines einzelnen Satzes von Anmeldeinformationen zu, der in der Datenbank für einmaliges Anmelden gespeichert ist. Gruppenzuordnungen sind einfacher zu verwalten als einzelne Zuordnungen und bieten eine bessere Leistung.
Secure Store Service und Anspruchsauthentifizierung
Secure Store Service ist ein Ansprüche unterstützender Dienst. Der Dienst akzeptiert und entschlüsselt Sicherheitstoken, um die Anwendungs-ID zu ermitteln und diese dann nachzuschlagen. Wenn von einem SharePoint Server-Sicherheitstokendienst (Security Token Service, STS) als Antwort auf eine Authentifizierungsanforderung ein Sicherheitstoken ausgestellt wird, wird das Token von Secure Store Service entschlüsselt, und der Wert der Anwendungs-ID wird gelesen. Die Anwendungs-ID wird von Secure Store Service verwendet, um Anmeldeinformationen aus der Datenbank für einmaliges Anmelden abzurufen. Die Anmeldeinformationen werden dann verwendet, um den Zugriff auf Ressourcen zu autorisieren.