Share via

在 SharePoint 中配置 Secure Store Service

  • 项目

适用于:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

本文介绍如何在 SharePoint Server 服务器场中配置 Secure Store Service。 Secure Store 具有与其关联的重要规划注意事项。 确保在开始本文中的过程之前阅读在 SharePoint Server 中规划 Secure Store Service

在 SharePoint Server 中配置安全存储

Secure Store 服务在应用程序和前端服务器角色下运行。 在创建 Secure Store 服务应用程序时会自动设置。

若要配置安全存储,请执行下列步骤:

  1. 在 SharePoint Server 中注册管理帐户以运行安全存储应用程序池。

  2. 在场中的应用程序服务器上启动安全存储服务。 仅 (SharePoint Server 2013)

  3. 创建 Secure Store Service 服务应用程序。

若要运行应用程序池,您必须具有标准域帐户。 此帐户不需要特定权限。 在 Active Directory 中创建帐户之后,请执行以下步骤以使用 SharePoint Server 注册它。

注册管理帐户的具体步骤

  1. 在 SharePoint 管理中心网站主页的左侧导航窗格中,单击“安全性”

  2. 在"安全性"页的"一般安全性"部分,单击"配置管理帐户"。

  3. 在"管理帐户"页上,单击"注册管理帐户"。

  4. 在"用户名"框中,键入帐户的名称。

  5. 在“密码”框中,键入帐户的密码。

  6. 如果希望 SharePoint Server 处理对帐户密码的更改,请选中“启用自动更改密码”框,并指定要使用的密码更改参数。

  7. Click OK.

如果使用 SharePoint Server 2013,则必须在场中的应用程序服务器上启动安全存储服务。 (如果使用 SharePoint Server 2016,则 MinRole.)

启动 Secure Store Service (SharePoint Server 2013)

  1. 在管理中心主页上,单击“系统设置”部分的“管理服务器上的服务”。

  2. 在"服务"列表上面,单击"服务器"下拉列表,然后单击"更改服务器"。

  3. 选择要运行 Secure Store Service 的应用程序服务器。

  4. 在“服务”列表中,单击“Secure Store Service”旁边的“启动”。

接下来,必须创建一个 Secure Store Service Service 应用程序。 使用以下过程可创建该服务应用程序。

创建 Secure Store Service 服务应用程序的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 在“管理服务应用程序”页上,单击“新建”,再单击“Secure Store Service”

  3. 在“服务应用程序名称”框中,键入服务应用程序的名称(例如,Secure Store Service)。

  4. 在“数据库服务器”框中,键入要在其中创建安全存储数据库的 SQL Server 的实例。

    注意

    因为安全存储数据库包含敏感信息,所以建议您从 SharePoint Server 的其余部分将安全存储数据库部署到 SQL Server 的其他实例。

  5. 选择“新建应用程序池”选项,在文本框中为应用程序池键入名称。

  6. 选择"可配置"选项,并从下拉列表中选择之前为其创建了管理帐户的帐户。

  7. 单击“确定”

Secure Store Service 现已配置。 下一步是生成用于加密安全存储数据库的加密密钥。

使用安全存储加密密钥

使用 Secure Store Service 之前,必须生成加密密钥。 该密钥用于对存储在 Secure Store Service 数据库中的凭据进行加密和解密。

生成加密密钥

首次访问 Secure Store Service 应用程序时,您的唯一选项是生成新的加密密钥。 生成密钥之后,其余安全存储功能将变为可用。

生成新的加密密钥的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在"密钥管理"组中,单击"生成新密钥"。

  4. On the Generate New Key page, type a pass phrase string in the Pass Phrase box, and type the same string in the Confirm Pass Phrase box. This pass phrase is used to encrypt the Secure Store database.

    重要

    密码短语字符串必须至少为八个字符,并且必须至少具有以下四个元素中的三个: > 大写字符 > 小写字符 > 数字 > 以下任何特殊字符 > “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    重要

    [!重要说明] 系统不会存储您输入的通行短语。 请确保将其写下并存放在安全的地方。 您将需要它来刷新密钥,例如在向服务器场添加新的应用程序服务器时。

  5. 单击“确定”

作为安全预防措施或作为定期维护的一部分,您可能会决定生成新的加密密钥,并强制依据新的密钥对 Secure Store Service 进行重新加密。 可使用这一相同过程来执行此操作。

警告

在生成新的密钥之前,应备份 Secure Store Service 应用程序的数据库。

刷新安全存储加密密钥

刷新加密密钥会将密钥传播到服务器场中的所有应用程序服务器。 如果出现以下任何情况,则您可能需要刷新加密密钥:

  • 向服务器场添加新的应用程序服务器。

  • 还原以前备份的 Secure Store Service 数据库,而且此后更改了加密密钥。

  • 收到“无法获取主密钥”错误消息。

刷新加密密钥的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在“密钥管理”组中,单击“刷新密钥”

  4. 在"通行短语"框中,键入最初用于生成加密密钥的通行短语。

    此短语是您在初始化 Secure Store Service 服务应用程序时使用的通行短语,或者是您在使用"生成新密钥"命令创建新密钥时使用的通行短语。

  5. 单击“确定”

在安全存储中存储凭据

在安全存储中存储凭据可通过使用安全存储目标应用程序来实现。 目标应用程序可将用户、组或声明的凭据映射到安全存储数据库中存储的一组加密凭据。 创建目标应用程序之后,可以将其与外部内容类型或应用程序模型关联,或者将其与 Excel Online 或 Visio Services 等商业智能服务一起使用,以提供对外部数据源的访问权。 当 SharePoint Server 服务应用程序调用目标应用程序时,安全存储将确认发出请求的用户是否是目标应用程序的授权用户,然后检索已加密凭据。 这些凭据稍后将由 SharePoint Server 服务应用程序代表用户使用。

要创建目标应用程序,必须执行以下操作:

  1. 创建目标应用程序本身,指定要在安全存储数据库中存储的凭据的类型、目标应用程序的管理员和凭据所有者。

  2. 指定要存储的凭据。

创建目标应用程序

目标应用程序在管理中心的“Secure Store Service 应用程序”页上配置。 使用以下过程可创建目标应用程序。

创建目标应用程序

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在"管理目标应用程序"组中,单击"新建"。

  4. 在"目标应用程序 ID"框中,键入文本字符串。

    这是将在外部用于标识此目标应用程序的唯一字符串。

  5. 在"显示名称"框中,键入文本字符串,它将用于在用户界面中显示目标应用程序的标识符。

  6. 在"联系人电子邮件"框中,键入此目标应用程序的主联系人的电子邮件地址。

    此地址可以是任何合法的电子邮件地址,并且不一定非得是 Secure Store Service 应用程序管理员的标识。

  7. When you create a target application of type Individual (see below), you can implement a custom Web page that lets users add individual credentials for the destination data source. This requires custom code to pass the credentials to the target application. If you did this, type the full URL of this page in the Target Application Page URL field. There are three options:

  • 使用默认页面:任何使用目标应用程序访问外部数据的网站都将具有自动添加的单个注册页。 此页面的 URL 将是 http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>,其中 <TargetApplicationID> 是在“ 目标应用程序 ID ”框中键入的字符串。 By publicizing the location of this page, you can enable users to add their credentials for the external data source.

  • 使用自定义页:您提供自定义网页,用户通过该网页可以提供个人凭据。 在此字段中键入自定义页的 URL。

  • :没有注册页。 只能由使用 Secure Store Service 应用程序的 Secure Store Service 管理员来添加个人凭据。

  1. 在"目标应用程序类型"下拉列表中,选择目标应用程序类型:对于组凭据,键入"组";如果将各个用户映射到外部数据源上唯一的一组凭据,则键入"个人"。

    注意

    创建目标应用程序有两种主要类型: > 组,用于将一个或多个组的所有成员映射到外部数据源上的单个凭据集。 > 个人,用于将每个用户映射到外部数据源上的唯一凭据集。

  2. 单击下一个

  3. Use the Specify the credential fields for your Secure Store Target Application page to configure the various fields which may be required to provide credentials to the external data source. By default, two fields are listed: Windows User Name and Windows Password.

    要添加其他向外部数据源提供凭据的字段,请在"为安全存储目标应用程序指定凭据字段"页上单击"添加字段"。

    By default, the type of the new field is Generic. The following field types are available:

字段 说明
通用
不适合任何其他类别的值。
用户名
标识用户的用户帐户。
Password
机密的字词或短语。
PIN
个人标识号。

一个参数,确定加密算法或加密程序的功能性输出。
Windows 用户名
标识用户的 Windows 用户帐户。
Windows 密码
针对 Windows 帐户的机密字词或短语。
证书
一个证书。
证书密码
证书的密码。

  • 要更改新字段或现有字段的类型,请单击字段类型旁边出现的箭头,然后选择新的字段类型。

    注意

    对于您添加的每个字段,在为此目标应用程序设置凭据时,它们都需要具有数据。

  • You can change the name that a user sees when interacting with a field. In the Field Name column of the Specify the credential fields for your Secure Store Target Application page, change a field name by selecting the current text and typing new text.

  • 在字段被屏蔽时,用户键入的每个字符将不会显示出来,而是替换为屏蔽字符(例如星号"****")。 要屏蔽某字段,请在该页的"已屏蔽"列中选中该字段的复选框。

  • 要删除某字段,请在该页的"删除"列中单击该字段的删除图标。

    完成凭据字段的编辑时,单击"下一步"。

  1. 在"指定成员资格设置"页中,"目标应用程序管理员"字段中列出了有权管理目标应用程序设置的所有用户。

  2. 如果目标应用程序类型为"组",则"成员"字段中列出了用户组,它们映射到此目标应用程序的一组凭据。

  3. 单击“确定”完成目标应用程序的配置。

设置安全存储目标应用程序的凭据

创建目标应用程序后,目标应用程序的管理员可以为其设置凭据。 这些凭据由调用应用程序使用,以提供对外部数据源的访问。 如果目标应用程序类型为"个人",则还可让用户提供他们自己的凭据。

设置目标应用程序的凭据的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在目标应用程序列表中,指向要为其设置凭据的目标应用程序,单击显示的箭头,然后在菜单中单击"设置凭据"。

    如果目标应用程序类型为"组",则键入外部数据源的凭据。 根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

    如果目标应用程序类型为"个人",则键入将映射到外部数据源上这一组凭据的个人的用户名,然后键入外部数据源的凭据。 根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

  4. Click OK.

为目标应用程序设置凭据之后,Business Connectivity Services、Excel Services 或 Visio Services 等 SharePoint Server 服务即可使用它。

启用安全存储审核日志

Secure Store Service 的审核条目存储在 Secure Store Service 数据库中。 默认情况下禁用审核日志文件。

审核日志条目存储有关 Secure Store Service 操作的信息,如执行操作的时间、操作是否成功、为什么会失败(如果未成功)、执行操作的 Secure Store Service 用户以及(可选)代表其执行操作的 Secure Store Service 用户。 因此,启用审核日志文件的正当理由是:解决身份验证问题。

使用管理中心启用审核日志的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 选择安全存储服务应用程序。 (即选择服务应用程序,但不要单击链接转到“安全存储服务应用程序设置”页。)

  3. 在功能区上单击"属性"。

  4. 从"启用审核"部分,单击以选中"审核日志已启用"框。

  5. To change the number of days that entries will be purged from the audit log file, specify a number in days in the Days Until Purge field. The default value is 30 days.

  6. 单击“确定”

另请参阅

其他资源

Secure Store Service cmdlets in SharePoint 2013