Pianificare il servizio di archiviazione sicura in SharePoint Server

Articolo
02/23/2018

**Si applica a:**SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-07-07

Riepilogo: pianificare l'archiviazione delle credenziali di autorizzazione in un database crittografato tramite il servizio di archiviazione sicura in SharePoint Server 2013 e SharePoint Server 2016.

Il servizio di archiviazione sicura è un servizio di autorizzazione in grado di riconoscere attestazioni che include un database crittografato per l'archiviazione delle credenziali.

Contenuto dell'articolo:

Informazioni sul servizio di archiviazione sicura
Preparazione del servizio di archiviazione sicura
Applicazioni di destinazione del servizio di archiviazione sicura
Mapping delle credenziali di archiviazione sicura
Servizio di archiviazione sicura e autenticazione attestazioni

Informazioni sul servizio di archiviazione sicura

Il servizio di archiviazione sicura è un servizio di autorizzazione che viene eseguito in SharePoint Server. Include un database utilizzato per l'archiviazione delle credenziali, che di solito sono costituite da identità utente e password ma che possono anche contenere altri campi definiti espressamente. SharePoint Server può ad esempio utilizzare il database di archiviazione sicura per archiviare e recuperare credenziali per l'accesso alle origini dati esterne. Il servizio di archiviazione sicura supporta l'archiviazione di più set di credenziali per più sistemi back-end.

Di seguito sono indicati alcuni scenari di utilizzo per l'archiviazione sicura:

Excel Online in Office Online Server può utilizzare l'archiviazione sicura per fornire accesso alle origini dati esterne nelle cartelle di lavoro pubblicate in SharePoint Server 2016. Può essere utilizzata in sostituzione del passaggio delle credenziali dell'utente all'origine dati, un processo che spesso richiede la configurazione della delega Kerberos.
Excel Services in SharePoint Server 2013 può utilizzare l'archiviazione sicura per fornire accesso alle origini dati esterne nelle cartelle di lavoro pubblicate. Può essere utilizzata in sostituzione del passaggio delle credenziali dell'utente all'origine dati, un processo che spesso richiede la configurazione della delega Kerberos. Excel Services richiede l'archiviazione sicura per configurare un account di servizio automatico per l'autenticazione dei dati.
Visio Services può utilizzare l'archiviazione sicura per fornire accesso alle origini dati esterne nei diagrammi connessi ai dati pubblicati. Può essere utilizzata in sostituzione del passaggio delle credenziali dell'utente all'origine dati, un processo che spesso richiede la configurazione della delega vincolata Kerberos. Visio Services richiede l'archiviazione sicura per configurare un account di servizio automatico per l'autenticazione dei dati.
PerformancePoint Services può utilizzare l'archiviazione sicura per fornire accesso alle origini dati esterne. PerformancePoint Services richiede l'archiviazione sicura per configurare un account di servizio automatico per l'autenticazione dei dati.
PowerPivot richiede l'archiviazione sicura per l'aggiornamento pianificato delle cartelle di lavoro di PowerPivot.
Servizi di integrazione applicativa Microsoft può utilizzare l'archiviazione sicura per mappare le credenziali dell'utente a un set di credenziali per un sistema esterno. È possibile mappare le credenziali di ogni utente a un account univoco nel sistema esterno oppure un set di utenti autenticati a un singolo account di gruppo. Servizi di integrazione applicativa può utilizzare l'archiviazione sicura anche per archiviare certificati per l'accesso a un'origine dati locale da SharePoint Online.
Il runtime di SharePoint può utilizzare l'archiviazione sicura per archiviare le credenziali necessarie per comunicare con i servizi di Azure, se una delle app utente richiede il runtime di SharePoint per il provisioning e l'utilizzo dei servizi di Azure.

Preparazione del servizio di archiviazione sicura

Quando si prepara la distribuzione di servizio di archiviazione sicura, tenere conto delle importanti linee guida seguenti:

Prima di generare una nuova chiave di crittografia, eseguire il backup del database di archiviazione sicura. È inoltre consigliabile eseguire il backup del database di archiviazione sicura subito dopo la creazione e, in seguito, ogni volta che si esegue la crittografia delle credenziali. Quando si genera una nuova chiave, le credenziali possono essere crittografate con la nuova chiave. Se l'aggiornamento della chiave ha esito negativo o si dimentica la passphrase, le credenziali non saranno più utilizzabili.
Eseguire il backup della chiave di crittografia subito dopo la configurazione di archiviazione sicura e, in seguito, ogni volta che viene rigenerata.
Non archiviare i supporti di backup della chiave di crittografia nella stessa posizione dei supporti di backup del database di archiviazione sicura. Se un utente ottiene una copia sia del database che della chiave, le credenziali archiviate nel database potrebbero essere compromesse.

Poiché archiviazione sicura viene utilizzato per archiviare informazioni riservate, per una maggiore sicurezza è consigliabile tenere conto delle linee guida seguenti:

Eseguire servizio di archiviazione sicura in un pool di applicazioni separato non utilizzato per altri servizi.
Creare il database di archiviazione sicura in un server separato che esegue SQL Server. Non utilizzare la stessa istanza di SQL Server che contiene i database del contenuto.

Applicazioni di destinazione del servizio di archiviazione sicura

Un'applicazione di destinazione è una raccolta di informazioni per il mapping di uno o più utenti a un set di credenziali crittografate archiviate nel database di archiviazione sicura. Le applicazioni di destinazione contengono le seguenti informazioni che è necessario definire:

Se si tratta di un mapping individuale o di gruppo.
Quali campi archiviare nel database di archiviazione sicura. Per impostazione predefinita, vengono archiviati il nome utente e la password di Windows, ma è possibile selezionare tipi di campi aggiuntivi, a seconda dell'applicazione.
Utenti con autorizzazioni di amministrazione per l'applicazione di destinazione.
Singolo utente o gruppo a cui si mappano le credenziali.

Ogni applicazione di destinazione dispone di un ID applicazione univoco che viene definito e utilizzato per fare riferimento all'applicazione di destinazione da applicazioni esterne come Excel Online o SharePoint Designer.

Mapping delle credenziali di archiviazione sicura

Il servizio di archiviazione sicura supporta il mapping sia individuale che di gruppo. In un mapping di gruppo ogni utente membro di un gruppo di dominio specifico viene mappato allo stesso set di credenziali. In un mapping individuale ogni utente viene mappato a un set di credenziali dedicato. Il mapping individuale è utile quando è necessario registrare informazioni sugli accessi dei singoli utenti alle risorse condivise. Per i mapping di gruppo, un livello di sicurezza mappa le credenziali per più utenti di dominio in base a un unico set di credenziali archiviate nel database di archiviazione sicura. Rispetto al mapping individuale, il mapping di gruppo è più semplice da gestire e può offrire prestazioni migliori.

Servizio di archiviazione sicura e autenticazione attestazioni

Il servizio di archiviazione sicura è un servizio in grado di riconoscere attestazioni. Può accettare token di sicurezza e decrittografarli per ottenere l'ID applicazione e quindi eseguire una ricerca. Quando un servizio token di sicurezza di SharePoint Server emette un token di sicurezza in risposta a una richiesta di autenticazione, il servizio di archiviazione sicura decrittografa il token e legge il valore dell'ID applicazione. Il servizio di archiviazione sicura utilizza l'ID applicazione per recuperare le credenziali dal database di archiviazione sicura. Le credenziali vengono quindi utilizzate per accedere alle risorse.