Настройка единого входа (Office SharePoint Server)

Единый вход (SSO) — это функция Microsoft Office SharePoint Server, которая предоставляет хранение и сопоставления учетных данных, например имена и пароли учетных записей. С помощью единого входа приложения, основанные на сайтах порталов, могут получать информацию из сторонних приложений и серверных систем, например систем планирования корпоративных ресурсов (ERP) и управления связей с потребителями (CRM).

Использование функциональности единого входа позволяет пользователям выполнять проверку подлинности, только когда они получают доступ к приложениям, основанным на сайтах порталов, которым требуется получение информации из других бизнес-приложений и систем.

Настройка единого входа состоит из пяти задач:

• Настройка и запуск службы единого входа Microsoft

• Настройка единого входа для Office SharePoint Server 2007

• Управление ключом шифрования

• Управление определениями корпоративных приложений

• Управление сведениями учетных записей для определений корпоративных приложений

Обратите внимание, что следует зайти на веб-сайт центра администрирования SharePoint на сервере фермы, чтобы настроить единый вход (SSO) для Office SharePoint Server 2007. При попытке настроить единый вход на рабочей станции или любом компьютере, который не подключен к серверу фермы, будет выведено следующее сообщение об ошибке: "Службу единого входа нельзя настроить с данного сервера. Чтобы настроить службу единого входа, перейдите на компьютер, на котором она выполняется, и задайте эти параметры локально".

Выполните процедуры, описанные в следующих разделах, чтобы настроить единый вход для среды Office SharePoint Server 2007.

Настройка и запуск службы единого входа Microsoft

Для использования единого входа необходимо, чтобы на всех интерфейсных серверах Microsoft Windows фермы была установлена служба единого входа Microsoft (служба SSOSrv). Эта служба также должна быть установлена на всех серверах, где запущены службы Excel. При использовании поиска по каталогу бизнес-данных служба SSOSrv также должна быть установлена на сервере индексирования..

Настройка службы SSOSrv осуществляется при помощи консоли "Службы". При этом необходима учетная запись для входа в систему. Учетная запись для входа в систему должна соответствовать всем следующим критериям:

• Должна быть учетной записью пользователя домена. Она не может быть групповой учетной записью.

• Должна быть учетной записью фермы Office SharePoint Server.

• Должна быть участником группы локальных администраторов на сервере ключа шифрования (сервер ключа шифрования — это первый сервер, на котором запускается служба SSOSrv).

• Должна быть участником роли администраторов безопасности и роли db_creator на компьютере, на котором запущен Microsoft SQL Server.

• Должна быть учетной записью, аналогичной записи администратора с единым входом, либо входить в состав групповой учетной записи, которая является учетной записью администратора с единым входом.

Настройка и запуск службы единого входа Microsoft

1. На сервере в меню Пуск выберите Панель управления, затем Администрирование и щелкните Управление компьютером.

2. В консоли "Управление компьютером" расширьте Службы и приложения, затем щелкните Службы.

3. Щелкните правой кнопкой мыши Службы единого входа Microsoft, затем выберите Свойства.

4. На вкладке Общие измените значение Тип запуска на Автоматический.

5. На вкладке Общие под надписью Состояние: щелкните Запустить.

6. Нажмите кнопку ОК для сохранения изменений и закройте окно Свойства.

7. Повторите шаги от 1 до 6 для каждого сервера фермы, где это необходимо.

Настройка единого входа для Office SharePoint Server 2007

Управление параметрами сервера для единого входа включает задание соответствующих учетных записей администраторов, сервера базы данных единого входа и его имени, а также параметры журнала аудита и времени ожидания.

Настройка единого входа для Office SharePoint Server 2007

1. В центре администрирования на верхней навигационной панели щелкните Операции.

2. На странице "Операции" в разделе Настройка безопасности выберите Управление параметрами единого входа.

3. На странице "Управление параметрами единого входа" в разделе Параметры сервера щелкните Управление параметрами сервера.

4. На странице "Управление параметрами единого входа" в поле Имя учетной записи раздела Учетная запись администратора единого входа укажите имя учетной записи администратора единого входа в форме домен/группа или домен/имя_пользователя.

   Примечание

   Учетная запись администратора единого входа указывает набор людей, которые могут создавать, удалять или изменить определения приложений. Учетная запись администратора также может выполнять резервное копирование ключа шифрования.

   Пользователь или группа, указанная в качестве администратора единого входа, должна принадлежать ко всем следующим категориям:

   • Глобальная группа Windows либо учетная запись индивидуального пользователя. Эта учетная запись не может быть доменной групповой учетной записью или списком рассылки.

   • Та же учетная запись, что и учетная запись службы с единым входом (если указан пользователь). Если указана группа, то учетная запись службы с единым входом должна входить в эту группу.

   • Та же учетная запись, что и учетная запись конфигурации для единого входа (если указан пользователь). Если указана группа, учетная запись конфигурации для единого входа должна входить в эту группу.

   • Участник группы администраторов фермы в центре администрирования.

   Если указана группа, то все пользователи, которые добавлены к этой группе для администрирования единого входа, должны быть участниками локальной группы администраторов на сервере ключа шифрования. Не делайте эту учетную запись участником локальной группы администраторов на сервере ключа шифрования.

5. В разделе Учетная запись администратора определения корпоративного приложения в поле Учетная запись укажите имя учетной записи группы или пользователя, имеющих право устанавливать и управлять определениями корпоративных приложений. Укажите имя в форме домен/группа или домена/имя_пользователя.

   Учетная запись администратора определения корпоративных приложений имеет право управлять учетными данными этого определения, включая изменение его пароля и изменение или удаление учетных данных для индивидуальных определений приложений.

   Указываемый пользователь или группа должны принадлежать одной из следующих категорий.

   • Глобальная группа Windows либо учетная запись индивидуального пользователя. Эта учетная запись не может быть доменной групповой учетной записью или списком рассылки.

   • Участник группы читателей SharePoint в центра администрирования.

6. В разделе Параметры базы данных в поле Имя сервера укажите имя NetBIOS для сервера базы данных единого входа (например, имя_компьютера или имя_компьютера\сервер_SQL). Не следует вводить полное имя домена.

7. В поле Имя базы данных укажите имя сервера базы данных единого входа.

   Примечание

   До начала создания баз данных рекомендуется использовать сервер базы данных по умолчанию и сервер единого входа.

8. В разделе Параметры времени ожидания в поле Время ожидания билета (в минутах) укажите значение времени (в минутах), через которое истекает билет единого входа. Время ожидания должно быть достаточным для промежутка между выпуском билета и изъятием его из обращения. Рекомендуемое значение — две минуты.

9. В поле Удалять из журнала аудита записи, возраст которых превышает (в днях) укажите значение времени (в днях), в течение которого будут храниться записи в журнале до удаления.

10. Нажмите кнопку ОК.

Управление ключом шифрования

Первый сервер, на котором была включена служба SSOSrv, становится сервером ключа шифрования. Сервер ключа шифрования используется для создания и хранения ключа шифрования. Ключ шифрования используется для шифрования и дешифрования учетных данных, хранящихся в базе данных службы единого входа.

Поскольку защита учетных данных зависит от ключа шифрования, рекомендуется периодически создавать новый ключ шифрования (например, каждые 90 дней). Кроме того, рекомендуется создавать новый ключ шифрования немедленно при появлении подозрения о раскрытии учетных данных.

При создании нового ключа необходимо выполнять его резервное копирование. Нет необходимости выполнять резервное копирование в каких-либо других случаях (за исключением переноса роли сервера ключа шифрования с одного сервера на другой). Резервное копирование ключа шифрования можно выполнить только локально на сервере; удаленное резервное копирование не предусмотрено.

Процедура резервного копирования и восстановления также может быть использована для переноса роли сервера ключа шифрования с одного сервера на другой (кроме этого, для переноса роли сервера требуется выполнить другие дополнительные действия).

Управление ключом шифрования

1. В центре администрирования на верхней навигационной панели щелкните Операции.

2. На странице "Операции" в разделе Настройка безопасности выберите Управление параметрами единого входа.

3. На странице "Управление параметрами единого входа" в разделе Параметры сервера щелкните Управление ключом шифрования.

Со страницы "Управление ключом шифрования" можно выполнить три задачи управления:

• Создание нового ключа шифрования

• Резервное копирование ключа шифрования

• Восстановление ключа шифрования

Создание нового ключа шифрования

1. На странице "Управление ключом шифрования" в разделе Ключ шифрования щелкните Создать ключ шифрования.

2. На странице "Создать ключ шифрования" установите флажок Выполнить повторное шифрование всех учетных данных с помощью нового ключа шифрования.

   Важно!

   Если существующие учетные данные не будут повторно зашифрованы новым ключом шифрования, пользователям необходимо повторно ввести свои учетные данные в соответствующие приложения, а администраторам следует повторно ввести учетные данные групп для определений групп в приложениях.

3. Нажмите кнопку ОК.

Резервное копирование ключа шифрования

1. На странице "Управление ключом шифрования" в списке Диск в разделе Резервное копирование ключа шифрования выберите съемный носитель, на котором требуется сохранить резервную копию ключа шифрования.

2. Нажмите кнопку Резервное копирование.

Восстановление ключа шифрования

необходимо всегда выполнять резервное копирование ключа шифрования, когда выполняется резервное копирование базы данных единого входа, поскольку база данных бесполезна без ключа шифрования. Кроме того, при смене сервера ключа шифрования обязательно следует выполнить резервное копирование ключа шифрования с последующим его восстановлением на новом сервере.

1. На странице "Управление ключом шифрования" в списке Диск раздела Восстановление ключа шифрования выберите съемный носитель, на котором сохранена резервная копия ключа шифрования для восстановления.

2. Нажмите кнопку Восстановить.

Управление определениями корпоративных приложений

В среде с единым входом серверные внешние источники данных и системы рассматриваются как корпоративные приложения. Для каждого такого приложения, к которому подключается Office SharePoint Server 2007, необходимо настроить соответствующее определение корпоративного приложения.

1. В центре администрирования на верхней навигационной панели щелкните Операции.

2. На странице "Операции" в разделе Настройка безопасности выберите Управление параметрами единого входа.

3. На странице "Управление параметрами единого входа" щелкните Управление параметрами определений корпоративных приложений.

Управление сведениями учетных записей для определений корпоративных приложений

При наличии группового подключения к корпоративному приложению необходимо предоставить участникам группы учетные данные учетной записи. Если индивидуальные пользователи подключаются к приложению непосредственно, можно задать или восстановить пароли либо удалить пользователей из определения корпоративного приложения.

1. В центре администрирования на верхней навигационной панели щелкните Операции.

2. На странице "Операции" в разделе Настройка безопасности выберите Управление параметрами единого входа.

3. На странице "Управление параметрами единого входа" в разделе Параметры определения корпоративного приложения щелкните Управление сведениями учетных записей для определений корпоративных приложений.

4. На странице "Управление сведениями учетных записей для определений корпоративных приложений" в списке Определение корпоративного приложения раздела Сведения учетной записи выберите необходимое определение приложения.

5. В поле Имя учетной записи группы введите имя группы, имеющей доступ к корпоративному приложению.

6. В разделе Определение корпоративного приложения выберите что-то из следующего:

   Параметр	Цель
   Обновить сведения учетной записи	Введите учетные данные впервые или обновите учетные данные, которые используются для подключения к корпоративному приложению.
   Удалить сохраненные сведения данной учетной записи из этого определения корпоративного приложения	Удаление текущих учетных данных, которые используются для подключения к корпоративному приложению.
   Удалить сохраненные сведения данной учетной записи из всех определений корпоративных приложений	Удаление текущих учетных данных подключения к выбранному корпоративному приложению из всех определений приложений. Учетные данные удаляются только для индивидуальных учетных записей, но не для групповых.

   Если выбрано Обновить сведения учетной записивыполните следующие шаги:

   1. Нажмите Настройка.

   2. На странице "Укажите сведения учетной записи" в разделе Вход в систему введите имя пользователя и пароль для учетной записи, которая будет использоваться для подключения к корпоративному приложению.

   3. Нажмите кнопку ОК.

7. Нажмите кнопку Готово.

Загрузите эту книгу

Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати:

• Установка Office SharePoint Server 2007 (на английском языке)

Полный список доступных книг приведен в разделе Техническая библиотека Office SharePoint Server.