Konfigurieren von Secure Store Service in SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-07-14

Zusammenfassung: Konfigurieren der Speicherung von Anmeldeinformationen für die Authentifizierung in Secure Store Service auf einer SharePoint Server 2013- oder SharePoint Server 2016-Farm.

In diesem Artikel wird beschrieben, wie Sie Secure Store Service in einer SharePoint Server-Farm konfigurieren. Für Secure Store müssen einige Planungsaspekte berücksichtigt werden. Machen Sie sich daher zunächst mit den Informationen unter Planen von Secure Store Service in SharePoint Server vertraut, bevor Sie mit den Prozeduren in diesem Artikel beginnen.

Inhalt dieses Artikels:

  • Konfigurieren von Secure Store in SharePoint Server

  • Verwenden von Verschlüsselungsschlüsseln

  • Speichern von Anmeldeinformationen für das einmalige Anmelden

  • Erstellen einer Zielanwendung

  • Festlegen von Anmeldeinformationen für eine Zielanwendung

  • Aktivieren des Überwachungsprotokolls

Konfigurieren von Secure Store in SharePoint Server

Der Secure Store-Dienst wird unter den Anwendungs- und Front-End-Serverrollen ausgeführt. Er wird bei der Erstellung einer Secure Store-Dienstanwendung automatisch bereitgestellt.

Gehen Sie zum Konfigurieren des einmaligen Anmeldens wie folgt vor:

  1. Registrieren Sie ein verwaltetes Konto in SharePoint Server, um den Anwendungspool für einmaliges Anmelden auszuführen.

  2. Starten Sie Secure Store Service auf einem Anwendungsserver in der Farm (nur SharePoint Server 2013).

  3. Erstellen Sie eine Secure Store Service-Dienstanwendung.

Zum Ausführen des Anwendungspools benötigen Sie ein Standarddomänenkonto. Für dieses Konto werden keine bestimmten Berechtigungen benötigt. Führen Sie nach Erstellung des Kontos in Active Directory die folgenden Schritte aus, um es in SharePoint Server zu registrieren:

So registrieren Sie ein verwaltetes Konto

  1. Klicken Sie auf der Homepage der Website für die SharePoint-Zentraladministration im Navigationsbereich (Iinks) auf Sicherheit.

  2. Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.

  3. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.

  4. Geben Sie im Feld Benutzername den Namen des Kontos ein.

  5. Geben Sie im Feld Kennwort das Kennwort für das Konto ein.

  6. Wenn das Kennwort für das Konto von SharePoint Server geändert werden soll, aktivieren Sie das Kontrollkästchen Automatische Kennwortänderung aktivieren, und geben Sie die gewünschten Parameter für die Kennwortänderung an.

  7. Klicken Sie auf OK.

Wenn Sie SharePoint Server 2013 verwenden, müssen Sie Secure Store Service auf einem Anwendungsserver in der Farm starten. (Bei Verwendung von SharePoint Server 2016 wird der Dienst automatisch von MinRole gestartet.)

So starten Sie Secure Store Service (SharePoint Server 2013)

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Systemeinstellungen auf Dienste auf dem Server verwalten.

  2. Klicken Sie über der Liste Dienst auf die Dropdownliste Server und anschließend auf Server ändern.

  3. Wählen Sie den Anwendungsserver aus, auf dem Secure Store Service ausgeführt werden soll.

  4. Klicken Sie in der Liste Dienst neben Secure Store Service auf Starten.

Anschließend müssen Sie eine Secure Store Service-Dienstanwendung erstellen. Verwenden Sie zum Erstellen der Dienstanwendung das folgende Verfahren.

So erstellen Sie eine Secure Store Service-Dienstanwendung

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf Neu und dann auf Secure Store Service.

  3. Geben Sie im Feld Dienstanwendungsname einen Namen für die Dienstanwendung ein (beispielsweise Secure Store Service).

  4. Geben Sie im Feld Datenbankserver die Instanz von SQL Server ein, in der die Datenbank für einmaliges Anmelden erstellt werden soll.

    Hinweis

    Da die Datenbank für einmaliges Anmelden sensible Informationen enthält, empfiehlt es sich, die Datenbank für einmaliges Anmelden in einer Instanz von SQL Server bereitzustellen, die vom Rest von SharePoint Server getrennt ist.

  5. Wählen Sie die Option Neuen Anwendungspool erstellen aus, und geben Sie im Textfeld einen Namen für den Anwendungspool ein.

  6. Wählen Sie die Option Konfigurierbar aus, und wählen Sie in der Dropdownliste das Konto aus, für das Sie zuvor das verwaltete Konto erstellt haben.

  7. Klicken Sie auf OK.

Secure Store Service ist nun konfiguriert. Im nächsten Schritt wird ein Verschlüsselungsschlüssel zum Verschlüsseln der Datenbank für einmaliges Anmelden generiert.

Arbeiten mit Secure Store-Verschlüsselungsschlüsseln

Bevor Sie Secure Store Service verwenden, müssen Sie einen Verschlüsselungsschlüssel generieren. Der Schlüssel dient zum Verschlüsseln und Entschlüsseln der Anmeldeinformationen, die in der Datenbank für einmaliges Anmelden gespeichert werden.

Generieren eines Verschlüsselungsschlüssels

Beim ersten Aufrufen der Dienstanwendung für einmaliges Anmelden steht nur die Option zum Generieren eines neuen Verschlüsselungsschlüssels zur Verfügung. Die restlichen Funktionen für einmaliges Anmelden werden erst nach der Schlüsselgenerierung verfügbar.

So generieren Sie einen neuen Verschlüsselungsschlüssel

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Schlüsselverwaltung auf Neuen Schlüssel generieren.

  4. Geben Sie auf der Seite Neuen Schlüssel generieren im Feld Passphrase und im Feld Passphrase bestätigen dieselbe Passphrase ein. Diese Passphrase wird zum Verschlüsseln der Datenbank für einmaliges Anmelden verwendet.

    Wichtig

    Eine Passphrasen-Zeichenfolge muss mindestens acht Zeichen lang sein und mindestens drei der folgenden vier Elemente enthalten:

    • Großbuchstaben

    • Kleinbuchstaben

    • Ziffern

    • Eines der folgenden Sonderzeichen:

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Wichtig

    Die eingegebene Passphrase wird nicht gespeichert. Sie sollten sie daher unbedingt aufschreiben und an einem sicheren Ort aufbewahren. Die Passphrase wird benötigt, um den Schlüssel aktualisieren (beispielsweise, wenn Sie der Serverfarm einen neuen Anwendungsserver hinzufügen möchten).

  5. Klicken Sie auf OK.

Die gleiche Prozedur kann auch verwendet werden, um (aus Sicherheitsgründen oder im Rahmen der regelmäßigen Wartung) einen neuen Schlüssel zu generieren und die Neuverschlüsselung von Secure Store Service mit dem neuen Schlüssel zu erzwingen.

Warnung

Vor dem Generieren eines neuen Schlüssels sollten Sie die Datenbank der Dienstanwendung für einmaliges Anmelden sichern.

Aktualisieren des Secure Store-Verschlüsselungsschlüssels

Beim Aktualisieren des Verschlüsselungsschlüssels wird der Schlüssel an alle Anwendungsserver in der Farm verteilt. Eine Aktualisierung des Verschlüsselungsschlüsseln kann in folgenden Fällen erforderlich sein:

  • Sie fügen der Serverfarm einen neuen Anwendungsserver hinzu.

  • Sie stellen eine zuvor gesicherte Secure Store Service-Datenbank wieder her und haben inzwischen den Schlüssel geändert.

  • Die Fehlermeldung "Der Masterschlüssel kann nicht abgerufen werden." erscheint.

So aktualisieren Sie den Verschlüsselungsschlüssel

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Schlüsselverwaltung auf Schlüssel aktualisieren.

  4. Geben Sie im Feld Passphrase die Passphrase ein, die Sie anfänglich zum Generieren des Schlüssels verwendet haben.

    Dies ist entweder die Passphrase, die Sie bei der Initialisierung der Secure Store Service-Dienstanwendung verwendet haben, oder die Passphrase, die Sie beim Erstellen eines neuen Schlüssels mithilfe des Befehls Neuen Schlüssel generieren verwendet haben.

  5. Klicken Sie auf OK.

Speichern von Anmeldeinformationen für das einmalige Anmelden

Für die Speicherung von Anmeldeinformationen für das einmalige Anmelden wird eine Zielanwendung für das einmalige Anmelden verwendet. Durch eine Zielanwendung werden die Anmeldeinformationen eines Benutzers, einer Gruppe oder eines Anspruchs einem Satz verschlüsselter, in der Datenbank für einmaliges Anmelden gespeicherter Anmeldeinformationen zugeordnet. Nach Erstellung einer Zielanwendung können Sie diese einem externen Inhaltstyp oder einem Anwendungsmodell zuordnen oder sie mit einem Business Intelligence-Dienst wie Excel Online oder Visio Services verwenden, um den Zugriff auf eine externe Datenquelle zu ermöglichen. Wenn die Zielanwendung von einer SharePoint Server-Dienstanwendung aufgerufen wird, wird vom einmaligen Anmelden bestätigt, dass der Benutzer, von dem die Anforderung stammt, ein autorisierter Benutzer der Zielanwendung ist. Daraufhin werden die verschlüsselten Anmeldeinformationen abgerufen. Die Anmeldeinformationen werden dann im Namen des Benutzers von der SharePoint Server-Dienstanwendung verwendet.

Gehen Sie zum Erstellen einer Zielanwendung wie folgt vor:

  1. Erstellen Sie die eigentliche Zielanwendung, und geben Sie dabei die Art der Anmeldeinformationen, die in der Datenbank für einmaliges Anmelden gespeichert werden sollen, sowie die Administratoren für die Zielanwendung und die Besitzer der Anmeldeinformationen an.

  2. Geben Sie die zu speichernden Anmeldeinformationen an.

Erstellen einer Zielanwendung

Zielanwendungen werden in der Zentraladministration auf der Seite "Secure Store Service-Anwendung (Anwendung für einmaliges Anmelden)" erstellt. Gehen Sie zum Erstellen einer Zielanwendung wie folgt vor:

So erstellen Sie eine Zielanwendung

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Zielanwendungen verwalten auf Neu.

  4. Geben Sie im Feld Zielanwendungs-ID eine Textzeichenfolge ein.

    Dies ist die eindeutige Zeichenfolge zur externen Identifizierung der Zielanwendung.

  5. Geben Sie im Feld Display Name eine Textzeichenfolge ein, die auf der Benutzeroberfläche anstelle der ID der Zielanwendung angezeigt wird.

  6. Geben Sie im Feld E-Mail-Adresse des Kontakts die E-Mail-Adresse des primären Kontakts für die Zielanwendung ein.

    Dies kann jede gültige E-Mail-Adresse sein. Es muss sich nicht um die Identität eines Administrators der Secure Store Service-Anwendung handeln.

  7. Wenn Sie eine Zielanwendung vom Typ Individual (siehe unten) erstellen, können Sie eine benutzerdefinierte Webseite implementieren, auf der Benutzer individuelle Anmeldeinformationen für die Zieldatenquelle hinzufügen können. Hierzu müssen die Anmeldeinformationen durch benutzerdefinierten Code an die Zielanwendung übergeben werden. Wenn Sie so vorgegangen sind, geben Sie die vollständige URL dieser Seite im Feld Target Application Page URL ein. Drei Optionen sind verfügbar:

    • Standardseite verwenden: Websites, die über die Zielanwendung auf externe Daten zugreifen, wird automatisch eine individuelle Anmeldeseite hinzugefügt. Die URL dieser Seite lautet "http:/<Beispielwebsite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<Zielanwendungs-ID>". Dabei steht "<Zielanwendungs-ID>" für die im Feld Zielanwendungs-ID eingegebenen Zeichenfolge. Durch Veröffentlichen des Orts dieser Seite ermöglichen Sie den Benutzern das Hinzufügen ihrer Anmeldeinformationen für die externe Datenquelle.

    • Use custom page: Sie stellen eine benutzerdefinierte Webseite bereit, auf der Benutzer individuelle Anmeldeinformationen angeben können. Geben Sie die URL der benutzerdefinierten Seite in diesem Feld ein.

    • Keine: Es steht keine Anmeldeseite zur Verfügung. Individuelle Anmeldeinformationen werden nur von einem Secure Store Service-Administrator mithilfe der Secure Store Service-Anwendung hinzugefügt.

  8. Wählen Sie in der Dropdownliste Zielanwendungstyp die Art der Zielanwendung aus: Gruppe für Gruppenanmeldeinformationen oder Einzelperson, wenn jedem Benutzer ein eindeutiger Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet werden soll.

    Hinweis

    Bei der Erstellung einer Zielanwendung stehen zwei Haupttypen zur Verfügung:

    • Gruppe: Alle Gruppenmitglieder werden einem einzelnen Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet.

    • Einzelperson: Jeder Benutzer wird einem eindeutigen Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet.

  9. Klicken Sie auf Weiter.

  10. Konfigurieren Sie auf der Seite Geben Sie die Anmeldeinformationsfelder für die Zielanwendung für einmaliges Anmelden an die verschiedenen Felder, die erforderlich sind, um Anmeldeinformationen für die externe Datenquelle anzugeben. Standardmäßig sind zwei Felder aufgeführt: Windows-Benutzername und Windows-Kennwort.

    Um ein weiteres Feld für die Angabe von Anmeldeinformationen für die externe Datenquelle hinzuzufügen, klicken Sie auf der Seite Specify the credential fields for your Secure Store Target Application auf Add Field.

    Bei dem neuen Feld handelt es sich standardmäßig um ein Feld vom Typ Allgemein. Folgende Feldtypen sind verfügbar:

    Feld Beschreibung

    Allgemein

    Werte, die in keine andere Kategorie passen.

    Benutzername

    Ein Benutzerkonto zur Identifizierung des Benutzers.

    Kennwort

    Ein geheimes Wort oder ein geheimer Ausdruck.

    PIN

    Eine Geheimzahl.

    Schlüssel

    Ein Parameter, der die funktionale Ausgabe eines Kryptografiealgorithmus oder einer Chiffre bestimmt.

    Windows-Benutzername

    Ein Windows-Benutzerkonto zur Identifizierung des Benutzers.

    Windows-Kennwort

    Ein geheimes Wort oder ein geheimer Ausdruck für ein Windows-Konto.

    Zertifikat

    Ein Zertifikat.

    Zertifikatkennwort

    Das Kennwort für das Zertifikat.

    • Zum Ändern des Typs eines neuen oder vorhandenen Felds klicken Sie auf den Pfeil neben dem Typ des Felds und wählen dann den neuen Feldtyp aus.

      Hinweis

      Jedes hinzugefügte Feld muss Daten enthalten, wenn Sie die Anmeldeinformationen für diese Zielanwendung festlegen.

    • Sie können den Namen ändern, der dem Benutzer bei der Interaktion mit einem Feld angezeigt wird. Ändern Sie auf der Seite Geben Sie die Anmeldeinformationsfelder für die Zielanwendung für einmaliges Anmelden an in der Spalte Feldname einen Feldnamen, indem Sie den aktuellen Text markieren und neuen Text eingeben.

    • Wenn ein Feld maskiert ist, werden vom Benutzer eingegebene Zeichen nicht angezeigt, sondern durch ein Maskenzeichen (beispielsweise ein Sternchen) ersetzt. Klicken Sie zum Maskieren eines Felds in der Spalte Verborgen der Seite auf das Kontrollkästchen für das Feld.

    • Klicken Sie zum Löschen eines Felds in der Spalte Löschen der Seite auf das Löschsymbol für das Feld.

    Klicken Sie nach Abschluss der Bearbeitung der Felder für die Anmeldeinformationen auf Weiter.

  11. Listen Sie auf der Seite Specify the membership settings im Feld Target Application Administrators alle Benutzer auf, die Zugriff zum Verwalten der Einstellungen der Zielanwendung haben.

  12. Wenn die Zielanwendung vom Typ Group ist, listen Sie im Feld Members die Benutzergruppen auf, denen ein Satz von Anmeldeinformationen für die Zielanwendung zugewiesen wird.

  13. Klicken Sie auf OK, um das Konfigurieren der Zielanwendung abzuschließen.

Festlegen von Anmeldeinformationen für eine Secure Store-Zielanwendung

Nach dem Erstellen einer Zielanwendung kann ein Administrator für die Zielanwendung die zugehörigen Anmeldeinformationen festlegen. Diese Anmeldeinformationen werden von der aufrufenden Anwendung verwendet, um den Zugriff auf eine externe Datenquelle zu ermöglichen. Handelt es sich um eine Zielanwendung vom Typ "Einzelperson" können Sie Benutzern die Angabe eigener Anmeldeinformationen ermöglichen.

So legen Sie Anmeldeinformationen für eine Zielanwendung fest

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Zeigen Sie in der Liste mit den Zielanwendungen auf die Zielanwendung, für die Sie Anmeldeinformationen festlegen möchten, klicken Sie auf den angezeigten Pfeil, und klicken Sie anschließend im Menü auf Anmeldeinformationen festlegen.

    Ist die Zielanwendung vom Typ Group, geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die entsprechenden Felder variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.

    Handelt es sich um eine Zielanwendung vom Typ "Einzelperson", geben Sie den Benutzernamen der Person ein, der diese Anmeldeinformationen für die externe Datenquelle zugeordnet werden sollen, und geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die Felder zum Angeben von Anmeldeinformationen variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.

  4. Klicken Sie auf OK.

Nach dem Festlegen der Anmeldeinformationen für die Zielanwendung kann diese von einem SharePoint Server-Dienst wie Business Connectivity Services, Excel Services oder Visio Services verwendet werden.

Aktivieren des Secure Store-Überwachungsprotokolls

Überwachungseinträge für Secure Store Service werden in der Secure Store Service-Datenbank gespeichert. Standardmäßig ist das Überwachungsprotokoll deaktiviert.

In einem Überwachungsprotokolleintrag werden Informationen zu einer Secure Store Service-Aktion gespeichert. Hierzu zählen beispielsweise der Zeitpunkt der Ausführung, Angaben zur erfolgreichen Ausführung bzw. zu Fehlern, Gründe für Fehler (falls die Aktion nicht erfolgreich war), Angaben zum Secure Store Service-Benutzer, der die Aktion ausgeführt hat, sowie (optional) Angaben zum Secure Store Service-Benutzer, in dessen Auftrag die Aktion ausgeführt wurde. Es empfiehlt sich also, eine Überwachungsprotokolldatei zum Behandeln von Authentifizierungsproblemen zu aktivieren.

So aktivieren Sie das Überwachungsprotokoll mithilfe der Zentraladministration

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Wählen Sie die Dienstanwendung für einmaliges Anmelden aus. (Mit anderen Worten: Wählen Sie die Dienstanwendung aus, klicken Sie aber nicht auf auf den Link, um zur Seite mit den Einstellungen für die Secure Store Service-Anwendung zu wechseln.)

  3. Klicken Sie auf dem Menüband auf Eigenschaften.

  4. Aktivieren Sie im Abschnitt Überwachung aktivieren das Kontrollkästchen Überwachungsprotokoll aktiviert.

  5. Wenn Sie die Anzahl von Tagen ändern möchten, nach denen die Einträge aus der Überwachungsprotokolldatei gelöscht werden, geben Sie eine Anzahl von Tagen in das Feld Tage bis zur Löschung ein. Die Standardeinstellung beträgt 30 Tage.

  6. Klicken Sie auf OK.

See also

Cmdlets für Secure Store Service in SharePoint Server 2016