Planear el Servicio de almacenamiento seguro en SharePoint Server

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

El Servicio de almacenamiento seguro es un servicio de autorización para notificaciones que incluye una base de datos cifrada para almacenar credenciales.

Información sobre el Servicio de almacenamiento seguro

El Servicio de almacenamiento seguro es un servicio de autorización que se ejecuta en SharePoint Server. El Servicio de almacenamiento seguro proporciona una base de datos que se usa para almacenar credenciales. Estas credenciales normalmente se componen de una identidad de usuario y una contraseña, pero también pueden contener otros campos que definamos. Por ejemplo, SharePoint Server puede usar la base de datos de almacenamiento seguro para almacenar y recuperar las credenciales para obtener acceso a orígenes de datos externos. El Servicio de almacenamiento seguro permite almacenar varios conjuntos de credenciales de varios sistemas back-end.

Los escenarios de uso de almacenamiento seguro son los siguientes:

  • Excel Online en Office Online Server puede usar el almacenamiento seguro para proporcionar acceso a orígenes de datos externos en libros publicados en SharePoint Server 2016. Puede usar esto en lugar de pasar las credenciales de un usuario al origen de datos (un proceso para el que, con frecuencia, es necesario configurar la delegación limitada de kerberos).

  • Servicios de Excel en SharePoint Server 2013 puede utilizar el almacenamiento seguro para proporcionar a acceso a orígenes de datos externos en libros de trabajo publicados. Esto puede usarse como un sustituto a pasar credenciales de un usuario al origen de datos, un proceso que a menudo requiere configurar la delegación Kerberos. Servicios de Excel necesita el almacenamiento seguro si desea configurar una cuenta de servicio desatendida para la autenticación de datos.

  • Servicios de Visio puede usar el almacenamiento seguro para ofrecer acceso a orígenes de datos externos en diagramas conectados a datos publicados. Puede hacerse esto en lugar de pasar las credenciales de un usuario al origen de datos, un proceso que, a menudo requiere configurar la delegación limitada de kerberos. Servicios de Visio necesita el almacenamiento seguro si queremos configurar una cuenta de servicio desatendida para la autenticación de datos.

  • PerformancePoint Services puede utilizar el almacenamiento seguro para proporcionar a acceso a orígenes de datos externos. PerformancePoint Services necesita el almacenamiento seguro si desea configurar una cuenta de servicio desatendida para la autenticación de datos.

  • Power Pivot necesita el almacenamiento seguro para la actualización programada de libros de trabajo de PowerPivot.

  • Servicios de conectividad empresarial de Microsoft puede utilizar el almacenamiento seguro para asignar las credenciales de un usuario a un conjunto de credenciales de un sistema externo. Puede asignar las credenciales de cada usuario a una cuenta única en el sistema externo o puede asignar un conjunto de usuarios autenticados a una sola cuenta de grupo. Los Servicios de conectividad empresarial también pueden usar el Almacén seguro para almacenar certificados para acceder a un origen de datos local desde SharePoint en Microsoft 365.

  • El motor en tiempo de ejecución de SharePoint puede utilizar el almacenamiento seguro para almacenar las credenciales necesarias para comunicarse con los servicios de Azure, si alguna de las aplicaciones de usuario necesita el motor en tiempo de ejecución de SharePoint para proporcionar y usar los servicios de Azure.

Preparación del Servicio de almacenamiento seguro

Cuando esté preparado para implementar el Servicio de almacenamiento seguro, debe tener en cuenta las siguientes instrucciones importantes:

  • Antes de generar una nueva clave de cifrado, haga una copia de seguridad de la base de datos de Almacén seguro. Además, debe hacer una copia de seguridad de la base de datos de Almacén seguro después de su creación y cada vez que se vuelven a cifrar las credenciales. Cuando se genera una clave nueva, las credenciales pueden volver a cifrarse con esa clave. Si se produce un error en la actualización de la clave u olvida la frase de contraseña, no podrá usar las credenciales.

  • Realice una copia de seguridad de la clave de cifrado después de configurar inicialmente Almacenamiento seguro y realice una copia de seguridad de la clave cada vez que se genere una clave.

  • No almacene el medio de copia de seguridad de la clave de cifrado en la misma ubicación que el medio de copia de seguridad de la base de datos de almacenamiento seguro. El hecho de que un usuario obtenga una copia de la base de datos y la clave puede suponer un riesgo para las credenciales almacenadas en la base de datos.

Debido a que Almacenamiento seguro se utiliza para almacenar información confidencial, para mejorar la seguridad es recomendable tener en cuenta las siguientes directrices:

  • Ejecute el Servicio de almacenamiento seguro en un grupo de aplicaciones independiente que no sea usado por otro servicio.

  • Cree la base de datos de Almacén seguro en un servidor independiente que ejecute SQL Server. No use la misma instancia de SQL Server que contiene las bases de datos de contenido.

Aplicaciones de destino de almacenamiento seguro

Una aplicación de destino es una colección de información que asigna uno o varios usuarios a un conjunto de credenciales cifradas almacenadas en la base de datos de almacenamiento seguro. Las aplicaciones de destino contienen la siguiente información que define:

  • Si es una asignación de grupo o individual.

  • Qué campos se almacenan en la base de datos de almacenamiento seguro. (El valor predeterminado es Nombre de usuario y Contraseña de Windows, pero se pueden seleccionar otros tipos de campo, en función de la aplicación).

  • Usuarios con permisos para administrar la aplicación de destino.

  • La persona o el grupo al que se van a asignar las credenciales.

Cada aplicación de destino tiene un identificador de aplicación único que se define y se usa para hacer referencia a la aplicación de destino desde aplicaciones externas como Excel Online o SharePoint Designer.

Asignaciones de credenciales de almacenamiento seguro

El Servicio de almacenamiento seguro admite asignaciones individuales y asignaciones de grupo. En una asignación de grupo, cada usuario que es miembro de un grupo de dominio específico se asigna al mismo conjunto de credenciales. En una asignación individual, cada usuario se asigna a un conjunto único de credenciales. Las asignaciones individuales son útiles si necesita registrar información sobre el acceso de cada usuario a los recursos compartidos. Para asignaciones de grupos, una capa de seguridad asigna credenciales para varios usuarios del dominio contra un único conjunto de credenciales que se almacenan en la base de datos de almacenamiento seguro. Las asignaciones de grupo son más fáciles de mantener que las asignaciones individuales y pueden proporcionar un mejor rendimiento

Servicio de almacenamiento seguro y autenticación de notificaciones

El Servicio de almacenamiento seguro es un servicio para notificaciones. Acepta los tokens de seguridad y los descifra para obtener el identificador de aplicación y, a continuación, realiza una búsqueda. Cuando un servicio de token de seguridad (STS) de SharePoint Server emite un token de seguridad en respuesta a una solicitud de autenticación, el Servicio de almacenamiento seguro descifra el token y lee el valor del identificador de aplicación. El Servicio de almacenamiento seguro usa el identificador de aplicación para recuperar las credenciales de la base de datos de almacenamiento seguro. A continuación, las credenciales se usan para autorizar el acceso a los recursos.

Vea también

Otros recursos

Configurar el Servicio de almacenamiento seguro en SharePoint Server