Planeación del Servicio de almacenamiento seguro (SharePoint Server 2010)
Se aplica a: SharePoint Server 2010
Última modificación del tema: 2016-11-30
En Microsoft SharePoint Server 2010, el Servicio de almacenamiento seguro reemplaza la característica de servicio de inicio de sesión único (SSO). El Servicio de almacenamiento seguro es un servicio de autorización para notificaciones que incluye una base de datos segura para almacenar credenciales asociadas con identificadores de aplicación. Estos identificadores de aplicación se pueden usar para autorizar el acceso a orígenes de datos externos.
En este artículo:
Acerca del Servicio de almacenamiento seguro
Preparación del Servicio de almacenamiento seguro
Identificadores de aplicación
Asignaciones del Servicio de almacenamiento seguro
Servicio de almacenamiento seguro y autenticación de notificaciones
Acerca del Servicio de almacenamiento seguro
El Servicio de almacenamiento seguro es un servicio de autorización que se ejecuta en un servidor de aplicaciones. El Servicio de almacenamiento seguro proporciona una base de datos que se usa para almacenar credenciales (que constan de identidad de usuario y contraseña) para los identificadores de aplicación que pueden usar las aplicaciones para autorizar el acceso a recursos compartidos. Por ejemplo, SharePoint Server 2010 puede usar la base de datos de almacenamiento seguro para almacenar y recuperar las credenciales para tener acceso a orígenes de datos externos. El Servicio de almacenamiento seguro proporciona compatibilidad para almacenar las credenciales de varios sistemas back-end mediante varios identificadores de aplicación.
Preparación del Servicio de almacenamiento seguro
Cuando esté preparado para implementar el Servicio de almacenamiento seguro, debe tener en cuenta las siguientes instrucciones importantes:
Ejecute el Servicio de almacenamiento seguro en un grupo de aplicaciones independiente que no sea usado por otro servicio.
Ejecute el Servicio de almacenamiento seguro en un servidor de aplicaciones independiente que no se use para otro servicio.
Cree la base de datos de almacenamiento seguro en un servidor de aplicaciones independiente que ejecute SQL Server. No use la misma instalación de SQL Server que contiene las bases de datos de contenido.
Antes de generar una nueva clave de cifrado, haga una copia de seguridad de la base de datos de almacenamiento seguro. Además, debe hacer una copia de seguridad de la base de datos de almacenamiento seguro después de su creación y cada vez que se vuelven a cifrar las credenciales. Cuando se genera una clave nueva, las credenciales pueden volver a cifrarse con esa clave. Si se produce un error en la actualización de la clave u olvida la frase de contraseña, no podrá usar las credenciales.
Realice una copia de seguridad de la clave de cifrado después de configurar inicialmente el Servicio de almacenamiento seguro y realice una copia de seguridad de la clave cada vez que se genere una clave.
No almacene el medio de copia de seguridad de la clave de cifrado en la misma ubicación que el medio de copia de seguridad de la base de datos de almacenamiento seguro. El hecho de que un usuario obtenga una copia de la base de datos y la clave puede suponer un riesgo para las credenciales almacenadas en la base de datos.
Identificadores de aplicación
Cada entrada del Servicio de almacenamiento seguro contiene un identificador de aplicación que se usa para recuperar un conjunto de credenciales de la base de datos de almacenamiento seguro. Cada identificador de aplicación puede tener permisos aplicados para que solo determinados usuarios o grupos puedan tener acceso a las credenciales que se almacenan para el identificador de aplicación. Las aplicaciones usan identificadores de aplicación para recuperar las credenciales de la base de datos de almacenamiento seguro en nombre de un usuario y pueden usar las credenciales recuperadas para tener acceso a un origen de datos.
Los identificadores de aplicación se usan para asignar usuarios a conjuntos de credenciales. Las asignaciones están disponibles para grupos o personas. En una asignación de grupo, cada usuario que sea miembro de un grupo de dominio específico se asigna al mismo conjunto de credenciales. En una asignación individual, cada usuario individual se asigna a un único conjunto de credenciales.
Asignaciones del Servicio de almacenamiento seguro
El Servicio de almacenamiento seguro admite asignaciones individuales y asignaciones de grupos. Además, mantiene un conjunto de credenciales para los identificadores de aplicación de los recursos almacenados en la base de datos de almacenamiento seguro. Las credenciales individuales para una aplicación se recuperan en función de los identificadores de aplicación. Las asignaciones individuales son útiles si necesita información de registro del acceso de usuarios individuales a los recursos compartidos. En el caso de las asignaciones de grupos, un nivel de seguridad comprueba las credenciales de grupo para varios usuarios del dominio en un conjunto único de credenciales para un recurso identificado mediante un identificador de aplicación almacenado en la base de datos de almacenamiento seguro. Las asignaciones de grupos son más fáciles de mantener que las asignaciones individuales y su rendimiento es superior.
Servicio de almacenamiento seguro y autenticación de notificaciones
El Servicio de almacenamiento seguro es un servicio para notificaciones. Acepta los tokens de seguridad y los descifra para obtener el identificador de aplicación y, a continuación, realiza una búsqueda. Cuando un servicio de token de seguridad (STS) de SharePoint Server 2010 emite un token de seguridad en respuesta a una solicitud de autenticación, el Servicio de almacenamiento seguro descifra el token y lee el valor del identificador de aplicación. El Servicio de almacenamiento seguro usa el identificador de aplicación para recuperar las credenciales de la base de datos de almacenamiento seguro. A continuación, las credenciales se usan para autorizar el acceso a los recursos.
See Also
Concepts
Configuración del Servicio de almacenamiento seguro (SharePoint Server 2010)