Configurar o Serviço de Repositório Seguro (SharePoint Server 2010)

  • Artigo

 

Aplica-se a: SharePoint Server 2010

Tópico modificado em: 2017-01-19

Este artigo descreve as operações de Serviço de Repositório Seguro do Microsoft SharePoint Server 2010 que permitem que os designers de soluções criem aplicativos de destino que mapeiam credenciais de usuário e grupo para as credenciais de fontes de dados externas. Durante o uso desses aplicativos de destino, tipos de conteúdo externos no Serviço de Conectividade de Dados Corporativos poderão interagir com suas fontes de dados externas para ler, gravar, criar e editar dados armazenados nas fontes de dados externas. Para obter uma visão geral do Serviço de Repositório Seguro, consulte Planejar o Serviço de Repositório Seguro (SharePoint Server 2010).

Antes de usar o Serviço de Repositório Seguro para criar aplicativos de destino, você deve fornecer uma senha. A senha é usada para gerar uma chave utilizada para criptografar e descriptografar as credenciais armazenadas no banco de dados do Serviço de Repositório Seguro. Se você tiver que fornecer a senha inicial, receberá a seguinte mensagem quando abrir uma instância do aplicativo de Serviço de Repositório Seguro: "Gere uma nova chave para este aplicativo de Serviço de Repositório Seguro".

Neste artigo:

  • Inicializar uma instância de um aplicativo de Serviço de Repositório Seguro

  • Atualizar a chave de criptografia

  • Gerar uma nova chave de criptografia

  • Criar um aplicativo de destino

  • Definir credenciais para um aplicativo de destino

  • Habilitar o log de auditoria

Observação

Você pode usar a Administração Central para concluir os procedimentos a seguir. Se desejar usar o Windows PowerShell, consulte o artigo sobre configuração do Serviço de Repositório Seguro com o PowerShell (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x416) no Centro de Scripts e o trecho sobre criação do Serviço de Repositório Seguro e Proxy da postagem de blog de Todd Carter sobre GUIDs do assistente (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x416). Além disso, se desejar usar um log de ​​auditoria, você precisará usar os parâmetros AuditingEnabled e AuditlogMaxSize do cmdlet New-SPSecureStoreServiceApplication ou o cmdlet Set-SPSecureStoreServiceApplication.

Inicializar uma instância de um aplicativo de Serviço de Repositório Seguro

Você pode usar comandos no grupo Editar da Faixa de Opções para inicializar uma instância de um aplicativo de Serviço de Repositório Seguro.

Para inicializar uma instância de um aplicativo de Serviço de Repositório Seguro

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você deve ser um Administrador do Aplicativo de Serviço da instância do Serviço de Repositório Seguro.

  2. Em uma instância de um aplicativo de Serviço de Repositório Seguro, clique na guia Gerenciar.

  3. No grupo de Gerenciamento de Chaves, clique em Gerar Nova Chave.

  4. Na página Gerar Nova Chave, digite uma cadeia na caixa Senha e a repita na caixa Confirmar Senha.

    Importante

    Uma cadeia de caracteres de senha deve ter pelo menos oito caracteres e no mínimo três dos seguintes elementos:

    • Caracteres maiúsculos

    • Caracteres minúsculos

    • Números

    • Qualquer um dos seguintes caracteres especiais

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Dica

    A senha inserida não será armazenada. Não se esqueça de anotá-la e armazená-la em um local seguro. Você precisará dela para atualizar a chave, por exemplo, quando adicionar um novo servidor de aplicativo ao farm de servidores.

  5. Clique em OK.

Talvez seja necessário atualizar a chave de criptografia se:

  • Você adicionar um novo servidor de aplicativos ao farm de servidores.

  • Você restaurar um banco de dados do Serviço de Repositório Seguro de um backup anterior e tiver alterado a chave de criptografia desde então.

  • Você receber uma mensagem de erro do tipo “Não é possível obter a chave mestra”.

Atualizar a chave de criptografia

Você pode usar comandos no grupo Gerenciamento de Chave da Faixa de Opções para atualizar a chave de criptografia.

Para atualizar a chave de criptografia

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você deve ser um Administrador do Aplicativo de Serviço da instância do Serviço de Repositório Seguro.

  2. Em uma instância de um aplicativo de Serviço de Repositório Seguro, clique na guia Gerenciar.

  3. No grupo Gerenciamento de Chave, clique em Atualizar Chave.

  4. Na caixa Senha, digite a senha usada inicialmente para gerar a chave de criptografia.

    Essa será a senha que você utilizou ao inicializar o aplicativo de Serviço de Repositório Seguro ou que usou ao criar uma nova chave com o comando Gerar uma Nova Chave.

  5. Clique em OK.

Gerar uma nova chave de criptografia

Por medida de segurança ou como parte da manutenção regular, você pode optar por gerar uma nova chave de criptografia e forçar a repetição da criptografia do Serviço de Repositório Seguro com base na nova chave, se desejar.

Aviso

Faça backup do banco de dados do aplicativo Serviço de Repositório Seguro antes de gerar uma nova chave.

Para gerar uma nova chave de criptografia

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você deve ser um Administrador do Aplicativo de Serviço da instância do Serviço de Repositório Seguro.

  2. Em uma instância de um aplicativo de Serviço de Repositório Seguro, clique na guia Gerenciar.

  3. No grupo Gerenciamento de Chave, clique em Gerar Nova Chave.

  4. Na página Gerar Nova Chave, digite uma cadeia na caixa Senha e a repita na caixa Confirmar Senha.

    Importante

    Uma cadeia de caracteres de senha deve ter pelo menos oito caracteres e no mínimo três dos seguintes elementos:

    • Caracteres maiúsculos

    • Caracteres minúsculos

    • Números

    • Qualquer um dos seguintes caracteres especiais

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Dica

    A senha inserida não será armazenada. Não se esqueça de anotá-la e armazená-la em um local seguro. Você precisará dela para atualizar a chave, por exemplo, quando adicionar um novo servidor de aplicativo ao farm de servidores.

  5. Para forçar a nova criptografia do banco de dados do Serviço de Repositório Seguro, clique em Criptografar novamente o banco de dados usando a nova chave.

  6. Clique em OK.

Criar um aplicativo de destino

Use o Serviço de Repositório Seguro para criar aplicativos de destino. Um aplicativo de destino mapeia as credenciais de um usuário, grupo ou declaração para um conjunto de credenciais em uma fonte de dados externa, como um banco de dados do SQL Server ou um serviço Web. Após a criação de um aplicativo de destino, você pode associá-lo a um tipo de conteúdo externo ou modelo de aplicativo para fornecer acesso a uma fonte de dados externa.

Para criar um aplicativo de destino

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você deve ser um Administrador do Aplicativo de Serviço da instância do Serviço de Repositório Seguro.

  2. Em uma instância de um aplicativo de Serviço de Repositório Seguro, clique na guia Gerenciar.

  3. No grupo Gerenciar Aplicativos de Destino, clique em Novo.

  4. Na caixa ID do Aplicativo de Destino, digite uma cadeia de caracteres de texto.

    Essa é a cadeia de caracteres de texto exclusiva que será usada internamente pelo aplicativo de Serviço de Repositório Seguro para identificar esse aplicativo de destino.

  5. Na caixa Nome para Exibição, digite uma cadeia de caracteres de texto que será usada para exibir o identificador do aplicativo de destino na interface do usuário.

  6. Na caixa Email de Contato, digite o endereço de email do contato primário para esse aplicativo de destino.

    Esse pode ser qualquer endereço de email legítimo e não tem que ser a identidade de um administrador do aplicativo de Serviço de Repositório Seguro.

  7. Quando você cria um aplicativo de destino do tipo Individual (veja abaixo), pode implementar uma página da Web personalizada que permite aos usuários adicionar credenciais individuais para a fonte de dados de destino. Isso requer código personalizado para passar as credenciais ao aplicativo de destino. Se você fez isso, digite a URL completa dessa página no campo URL da Página do Aplicativo de Destino. Há três opções:

    • Usar página fornecida: qualquer site que utilizar o aplicativo de destino para acessar dados externos terá uma página de inscrição individual adicionada automaticamente. A URL dessa página será http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>, em que <TargetApplicationID> é a cadeia de caracteres digitada na caixa ID do Aplicativo de Destino. Ao publicar o local desta página, você pode permitir que os usuários adicionem suas credenciais à fonte de dados externa.

    • Usar página personalizada: você fornece uma página da Web personalizada que permite que os usuários forneçam credenciais individuais. Digite a URL da página personalizada neste campo.

    • Nenhum: não há nenhuma página de inscrição. As credenciais individuais são adicionadas somente por um administrador do Serviço de Repositório Seguro usando o aplicativo de Serviço de Repositório Seguro.

  8. Na caixa Tipo de Aplicativo de Destino, digite o tipo de aplicativo de destino: Grupo, para credenciais de grupo ou Indivíduo, se cada indivíduo for mapeado para um conjunto exclusivo de credenciais na fonte de dados externa.

    Observação

    Há dois tipos primários para a criação de um aplicativo de destino:

    • Grupo, para o mapeamento de todos os membros de um ou mais grupos para um conjunto exclusivo de credenciais na fonte de dados externa.

    • Indivíduo, para o mapeamento de cada indivíduo para um conjunto exclusivo de credenciais na fonte de dados externa.

  9. Se as credenciais na fonte de dados externa forem credenciais do Windows, marque a caixa de seleção Windows.

    Desmarque a caixa de seleção se as credenciais na fonte de dados externa não forem credenciais do Windows.

  10. Clique em Avançar para configurar os campos a serem usados para enviar credenciais à fonte de dados externa.

  11. Use a página Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro para configurar os vários campos que podem ser necessários para fornecer credenciais para a fonte de dados externa. Dois campos são listados por padrão: Nome do Usuário e Senha.

    Para adicionar mais um campo para fornecer credenciais para a fonte de dados externa, na página Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro, clique em Adicionar Campo.

    Por padrão, o tipo de campo novo é Genérico. Os seguintes tipos de campo estão disponíveis:

    Campo Descrição

    Genérico

    Valores que não se enquadram em nenhuma outra categoria.

    Nome do Usuário

    Uma conta de usuário que o identifica.

    Senha

    Uma palavra ou frase secreta.

    PIN

    Um número de identificação pessoal.

    Chave

    Um parâmetro que determina a saída funcional de um algoritmo criptográfico ou da criptografia.

    Nome de Usuário do Windows

    Uma conta de usuário do Windows que o identifica.

    Senha do Windows

    Uma palavra ou frase secreta para uma conta do Windows.

    • Para alterar o tipo de campo novo ou existente, clique na seta que aparece ao lado do tipo de campo e selecione o novo tipo de campo.

      Observação

      Todos os campos que você adicionar deverá ter dados quando enviado para definir credenciais.

    • Você pode alterar o nome que um usuário visualiza ao interagir com um campo. Na coluna Nome de Campo da página Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro, altere um nome de campo selecionando o texto atual e digitando o novo texto.

    • Quando um campo é mascarado, os caracteres digitados por um usuário não são exibidos, mas substituído por um caractere de máscara, como um asterisco “*”. Para mascarar um campo, clique na caixa de seleção para esse campo na coluna Mascarado da página.

    • Para excluir um campo, clique no ícone Excluir desse campo na coluna Excluir da página.

    Quando terminar de editar os campos de credenciais, clique em Avançar.

  12. Na página Especifique as configurações de associação, na lista Administradores do Aplicativo de Destino, liste todos os usuários que têm acesso para gerenciar as configurações do aplicativo de destino.

  13. Se o tipo de aplicativo de destino for grupo, no campo Membros, liste os grupos de usuários a serem mapeados para um conjunto de credenciais para esse aplicativo de destino.

  14. Clique em OK para concluir a configuração do aplicativo de destino.

Definir credenciais para um aplicativo de destino

Depois de criar um aplicativo de destino, um administrador desse aplicativo de destino pode definir credenciais para ele. Essas credenciais serão usadas pelo Microsoft Serviços Corporativos de Conectividade e outros serviços para fornecer acesso a uma fonte de dados externa. Se o aplicativo de destino for do tipo Indivíduo, você poderá permitir que os indivíduos forneçam suas próprias credenciais, se desejar.

Para definir credenciais para um aplicativo de destino

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você deve ser um Administrador do Aplicativo de Serviço da instância do Serviço de Repositório Seguro.

  2. Em uma instância de um aplicativo de Serviço de Repositório Seguro, aponte para o identificador do aplicativo de destino, clique na seta exibida e, no menu, clique em Definir credenciais.

    Se o aplicativo de destino for do tipo Grupo, digite as credenciais da fonte de dados externa. Dependendo das informações necessárias para a fonte de dados externa, os campos para a configuração de credenciais variarão.

    Se o aplicativo de destino for do tipo Indivíduo, digite o nome de usuário do indivíduo que será mapeado para um conjunto de credenciais na fonte de dados externa e digite as credenciais para a fonte de dados externa. Dependendo das informações necessárias para a fonte de dados externa, os campos para a configuração de credenciais variarão.

Habilitar o log de auditoria

As entradas de auditoria para o serviço de Repositório Seguro são armazenadas no banco de dados de Serviço de Repositório Seguro. Por padrão, o arquivo do log de auditoria está desabilitado.

Uma entrada de log de auditoria armazena informações sobre uma ação do Serviço de Repositório Seguro, incluindo quando ele foi executado, se teve êxito, por que não falhou, caso não tenha tido êxito, o usuário do Serviço de Repositório Seguro que o executou, e, opcionalmente, o usuário do Serviço de Repositório Seguro em cujo nome ele foi executado. Assim, uma razão válida para habilitar um arquivo de log de ​​auditoria é solucionar um problema de autenticação.

Observação

Se o banco de dados do Serviço de Repositório Seguro estiver definido como somente leitura, o arquivo de log de auditoria deverá ser desabilitado; caso contrário, a seguinte mensagem de erro será exibida durante a autenticação:. "Não é possível concluir esta ação, pois o Serviço de Repositório Seguro não está respondendo. Contate o administrador".

Para habilitar o log de auditoria usando a Administração Central

  1. Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores de Farm do SharePoint.

  2. Na home page da Administração Central, clique em Gerenciamento de Aplicativos.

  3. Na página Gerenciamento de Aplicativos, na seção Aplicativos de Serviço, clique em Gerenciar aplicativos de serviço.

  4. Na guia Aplicativo de Serviço, clique em Repositório Seguro (o tipo deve estar associado ao Aplicativo de Serviço de Repositório Seguro).

  5. Na faixa de opções, clique em Propriedades.

  6. Na seção Habilitar Auditoria, clique para marcar a caixa de seleção Log de auditoria habilitado.

  7. Para alterar o número de dias até que as entradas sejam limpas do arquivo de log de ​​auditoria, especifique um número de dias no campo Dias Até a Limpeza. O valor padrão é de 30 dias.

  8. Clique em OK.