配置单一登录 (Office SharePoint Server)

  • 项目

单一登录 (SSO) 是 Microsoft Office SharePoint Server 的一项功能,它为帐户名称和密码等凭据提供存储和映射功能。使用 SSO,基于门户网站的应用程序可以从第三方应用程序和后端系统(如企业资源规划 (ERP) 系统和客户关系管理 (CRM) 系统)中检索信息。

借助于单一登录功能,当用户访问基于门户网站的应用程序(需要从其他业务应用程序和系统获得信息)时,只需对用户验证一次身份。

配置单一登录包含五个任务:

  • 配置和启动 Microsoft Single Sign-On Service

  • 为 Office SharePoint Server 2007 配置单一登录

  • 管理加密密钥

  • 管理企业应用程序定义

  • 管理企业应用程序定义的帐户信息

请注意,您必须登录到场服务器上的 SharePoint 管理中心网站才能为 Office SharePoint Server 2007 配置单一登录 (SSO)。如果您尝试在不是场服务器的工作站或任何计算机上配置 SSO,则将看到错误消息,说明“无法从此服务器配置单一登录。若要配置单一登录,请转到运行单一登录服务的计算机,并在本地指定这些设置”。

请按照后续部分中的过程为 Office SharePoint Server 2007 环境配置 SSO。

配置和启动 Microsoft Single Sign-On Service

若要使用单一登录,必须在服务器场中的所有 Microsoft Windows 前端 Web 服务器上安装 Microsoft Single Sign-On Service (SSOSrv)。此外,还必须在运行 Excel Services 的所有服务器上安装 SSOSrv。如果使用“业务数据目录”搜索,则还必须在索引服务器上安装 SSOSrv。

SSOSrv 通过“服务”控制台进行配置。配置该服务时,需要使用登录帐户。登录帐户必须满足以下所有条件:

  • 必须是域用户帐户。它不能是组帐户。

  • 必须为 Office SharePoint Server 服务器场帐户。

  • 必须为加密密钥服务器上的本地 Administrators 组的成员(加密密钥服务器是启动 SSOSrv 的第一台服务器)。

  • 在运行 Microsoft SQL Server 的计算机上,必须为安全管理员角色和数据库创建者角色的成员。

  • 必须与单一登录管理员帐户相同,或是作为单一登录管理员帐户的组帐户的成员。

配置和启动 Microsoft Single Sign-On Service

  1. 在服务器上,依次单击“开始”、“控制面板”、“管理工具”,然后单击“计算机管理”。

  2. 在“计算机管理”控制台中,展开“服务和应用程序”,然后单击“服务”。

  3. 右键单击“Microsoft Single Sign-On Service”,然后选择“属性”。

  4. 在“常规”选项卡上,将“启动类型”更改为“自动”。

  5. 在“常规”选项卡上的“服务状态”下,单击“启动”。

  6. 单击“确定”以保存所做的更改并关闭“属性”窗口。

  7. 对服务器场中的每个相应服务器重复步骤 1 到 6。

为 Office SharePoint Server 2007 配置单一登录

管理单一登录的服务器设置包括指定相应的管理员帐户、单一登录数据库服务器和服务器名称以及超时和审核日志设置。

备注

必须在运行 Office SharePoint Server 2007 的计算机上打开管理中心,才能管理单一登录的服务器设置。

为 Office SharePoint Server 2007 配置 SSO

  1. 在管理中心的顶部导航栏上,单击“操作”。

  2. 在“操作”页上的“安全性配置”部分中,单击“管理单一登录的设置”。

  3. 在“管理单一登录的设置”页上的“服务器设置”部分中,单击“管理服务器设置”。

  4. 在“管理单一登录的设置”页上“单一登录管理员帐户”部分中的“帐户名称”框中,使用域/组 或域/用户名 的形式键入单一登录管理员帐户名称。

    备注

    单一登录管理员帐户指定可以创建、删除或修改应用程序定义的一组用户。管理员帐户还可以备份加密密钥。

    指定作为单一登录管理员的用户或组必须满足以下所有条件:

    • Windows 全局组或个人用户帐户。此帐户不能为域本地组帐户或通讯组列表。

    • 如果指定了用户,则为与单一登录服务帐户相同的帐户。如果指定了组,则单一登录服务帐户必须为该组的成员。

    • 如果指定了用户,则与单一登录的配置帐户相同。如果指定了组,则单一登录的配置帐户必须为该组的成员。

    • 管理中心上 Farm Administrators 组的成员。

    如果指定了组,则为了管理单一登录而添加到该组的所有用户都必须为加密密钥服务器上的本地 Administrators 组的成员。不要使此帐户成为加密密钥服务器上的本地 Administrators 组的成员。

  5. 在“企业应用程序定义管理员帐户”部分中的“帐户名称”框中,键入可设置和管理企业应用程序定义的组或用户的帐户名称。请使用域/组 或域/用户名 的形式键入此名称。

    企业应用程序定义管理员帐户可以管理企业应用程序定义的凭据,包括更改组企业应用程序定义的密码,以及更改或删除单个企业应用程序定义的凭据。

    指定的用户或组必须为:

    • Windows 全局组或个人用户帐户。此帐户不能为域本地组帐户或通讯组列表。

    • 管理中心上 Reader SharePoint 组的成员。

  6. 在“数据库设置”部分中的“服务器名称”框中,键入单一登录数据库服务器的 NetBIOS 名称(例如,计算机名称 或计算机名\SQL Server 实例)。不要键入完全限定域名。

  7. 在“数据库名称”框中,输入单一登录数据库服务器的名称。

    备注

    如果您没有预先创建数据库,我们建议您使用默认数据库服务器和单一登录数据库服务器。

  8. 在“超时设置”部分中的“票证超时(分钟)”框中,键入一个以分钟为单位的值,以指示在单一登录票证过期之前经过的时间。超时应在发出票证与企业应用程序兑现票证之间持续足够长的时间。两分钟是推荐的值。

  9. 在“删除早于该时间的审核日志记录(天)”框中,键入一个以天为单位的值,以指示审核日志在删除记录之前将其保留的时间。

  10. 单击“确定”。

管理加密密钥

启用了 SSOSrv 的第一台服务器将成为加密密钥服务器。加密密钥服务器会生成并存储加密密钥。加密密钥用于对 SSO 数据库中存储的凭据进行加密和解密。

由于加密密钥保护安全凭据,因此建议您定期(例如,每 90 天)创建新的加密密钥。如果您怀疑帐户凭据已泄露,我们还建议您立即创建新的加密密钥。

每次创建新的加密密钥时,都必须备份加密密钥。此外的其他任何时候都不必备份加密密钥(除非您将加密密钥服务器角色从一台服务器移到了另一台)。您必须在加密密钥服务器上本地备份加密密钥;无法对密钥进行远程备份。

通过使用加密密钥备份和还原,您还可以将加密密钥服务器角色从一台服务器移到另一台(移动加密密钥服务器角色时,还必须完成其他任务)。

备注

必须在运行 Office SharePoint Server 2007 的计算机上打开管理中心,才能管理加密密钥。

管理加密密钥

  1. 在管理中心的顶部导航栏上,单击“操作”。

  2. 在“操作”页上的“安全性配置”部分中,单击“管理单一登录的设置”。

  3. 在“管理单一登录的设置”页上的“服务器设置”部分中,单击“管理加密密钥”。

从“管理加密密钥”页上,可以执行三项管理任务:

  • 创建新的加密密钥

  • 备份加密密钥

  • 还原加密密钥

创建新的加密密钥

  1. 在“管理加密密钥”页上,在“加密密钥”部分中,单击“创建加密密钥”。

  2. 在“创建加密密钥”页上,选择“使用新的加密密钥重新加密所有凭据”复选框。

    Important重要说明:

    如果不使用新的加密密钥重新加密现有的凭据,用户必须重新键入其单个应用程序定义的凭据,管理员也必须重新键入组应用程序定义的组凭据。

  3. 单击“确定”。

备份加密密钥

  1. 在“管理加密密钥”页上,在“加密密钥备份”部分的“驱动器”列表中,单击要在其上存储加密密钥备份的可移动介质驱动器。

  2. 单击“备份”。

还原加密密钥

在备份单一登录数据库时,应该始终备份加密密钥,因为如果没有加密密钥,数据库将毫无用处。此外,在替换加密密钥服务器之前,请确保已备份加密密钥,以便在新的加密密钥服务器上还原它。

  1. 在“管理加密密钥”页上“加密密钥还原”部分的“驱动器”列表中,单击要从中还原加密密钥备份的可移动介质驱动器。

  2. 单击“还原”。

管理企业应用程序定义

在单一登录环境中,后端外部数据源和系统称为企业应用程序。对于 Office SharePoint Server 2007 连接到的每个企业应用程序,都需要配置一个相应的企业应用程序定义。

  1. 在管理中心的顶部导航栏上,单击“操作”。

  2. 在“操作”页上的“安全性配置”部分中,单击“管理单一登录的设置”。

  3. 在“管理单一登录的设置”页上,单击“管理企业应用程序定义的设置”。

管理企业应用程序定义的帐户信息

如果使用组来连接企业应用程序,则需要为要使用的组提供帐户凭据。如果单个用户直接连接到企业应用程序,则可预设或重置用户密码,或者可以从企业应用程序定义中删除用户。

  1. 在管理中心的顶部导航栏上,单击“操作”。

  2. 在“操作”页上的“安全性配置”部分中,单击“管理单一登录的设置”。

  3. 在“管理单一登录的设置”页上的“企业应用程序定义设置”部分中,单击“管理企业应用程序定义的帐户信息”。

  4. 在“管理企业应用程序定义的帐户信息”页上“帐户信息”部分的“企业应用程序定义”列表中,单击要为其管理帐户信息的应用程序定义。

  5. 在“组帐户名”框中,键入允许访问企业应用程序的组的名称。

  6. 在“企业应用程序定义”部分中,选择下列选项之一:

    选项 用途

    更新帐户信息

    首次输入凭据,或更新用于连接到企业应用程序的凭据。

    从此企业应用程序定义中删除为此帐户存储的凭据

    删除当前用于连接到企业应用程序的凭据。

    从所有企业应用程序定义中删除为此帐户存储的凭据

    删除当前用于从所有企业应用程序定义连接到所选企业应用程序的凭据。删除存储的凭据只会删除单个帐户的凭据;不会删除组帐户的凭据。

    如果您选择“更新帐户信息”,请完成以下步骤:

    1. 单击“设置”。

    2. 在“提供帐户信息”页上的“登录信息”部分中,键入将用来连接到企业应用程序的帐户的用户名和密码。

    3. 单击“确定”。

  7. 单击“完成”。

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007