在 SharePoint Server 中规划 Secure Store Service

  • 项目

 

**上一次修改主题:**2017-07-07

**摘要:**计划使用 SharePoint Server 2013 和 SharePoint Server 2016 中的 Secure Store Service 将授权凭据存储在加密数据库中。

Secure Store Service 是一项主张感知授权服务,其中包含用于存储凭据的加密数据库。

本文内容:

  • 关于 Secure Store Service

  • Secure Store Service 准备

  • 目标应用程序

  • 安全存储凭据映射

  • Secure Store Service 和声明身份验证

关于 Secure Store Service

Secure Store Service 是运行在 SharePoint Server 上的授权服务。Secure Store Service 提供一个用于存储凭据的数据库。这些凭据通常由用户标识和密码组成,不过也可包含您定义的其他字段。例如,SharePoint Server 可以使用安全存储数据库来存储和检索用于访问外部数据源的凭据。Secure Store Service 为存储多个后端系统的多组凭据提供了支持。

安全存储的使用方案包括:

  • Office Online Server 中的 Excel Online 可使用安全存储提供对已发布在 SharePoint Server 2016 中的工作簿的外部数据源的访问。这可以用作将用户凭据传递给数据源(此过程通常需要配置 Kerberos 约束委派)的替代方式。

  • SharePoint Server 2013 中的 Excel Services 可使用安全存储提供对已发布工作簿中的外部数据源的访问。这可以用作将用户凭据传递给数据源(此过程通常需要配置 Kerberos 委托)的替代方式。如果您需要为数据身份验证配置无人参与服务帐户,则 Excel Services 需要安全存储。

  • Visio Services 可使用安全存储提供对已发布的数据连接图表中的外部数据源的访问。这可以用作将用户凭据传递给数据源(此过程通常需要配置 Kerberos 约束委派)的替代方式。如果您需要为数据身份验证配置无人参与服务帐户,则 Visio Services 需要安全存储。

  • PerformancePoint Services 可使用安全存储提供对外部数据源的访问。如果您需要为数据身份验证配置无人参与服务帐户,则 PerformancePoint Services 需要安全存储。

  • Power Pivot 需要安全存储以便对 PowerPivot 工作簿进行计划刷新。

  • Microsoft Business Connectivity Services 可使用安全存储将用户凭据映射到外部系统中的一组凭据。您可将每个用户的凭据映射到外部系统中的唯一帐户,也可以将一组经过身份验证的用户映射到单个组帐户。Business Connectivity Services 还可以使用安全存储来存储用于访问 SharePoint Online 中的本地数据源的凭据。

  • SharePoint 运行时可使用安全存储来存储与 Azure 服务进行通信所必需的凭据(如果任何用户应用程序需要 SharePoint 运行时来设置和使用 Azure 服务)。

Secure Store Service 准备

准备部署 Secure Store Service 时,请注意以下重要准则:

  • 生成新的加密密钥之前,请备份Secure Store数据库。您应该在最初创建Secure Store数据库之后对其进行备份,然后在每次重新加密凭据时再次对其进行备份。新的密钥生成后,凭据可由新的密钥重新进行加密。如果密钥刷新失败,或忘记了密码,凭据将不可使用。

  • 在最初设置Secure Store之后备份加密密钥,然后在每次重新生成密钥时再次对其进行备份。

  • 不要将加密密钥的备份媒体与安全存储数据库的备份媒体存放在相同的位置。如果用户同时获得数据库和密钥的副本,则存储在数据库中的凭据可能会泄露。

由于Secure Store用于存储敏感信息,为了提高安全性,我们建议您考虑以下指南:

  • 在不用于任何其他服务的单独的应用程序池中运行 Secure Store Service。

  • 在运行 SQL Server 的单独的服务器上创建Secure Store数据库。不要使用包含内容数据库的相同的 SQL Server 实例。

Secure Store 中的目标应用程序

目标应用程序 是一组信息,它将一个或多个用户映射到存储在安全存储数据库中的一组加密凭据。目标应用程序包含您定义的以下信息:

  • 这是单用户映射还是组映射。

  • 哪些字段将存储在安全存储数据库中。(默认值为 Windows 用户名和 Windows 密码,但可选择其他字段类型,具体取决于应用程序。)

  • 具有管理目标应用程序的权限的用户。

  • 要将凭据映射到的单用户或组。

每个目标应用程序均具有您定义的唯一应用程序 ID,此 ID 可用于从外部应用程序(如 Excel Online 或 SharePoint Designer)引用目标应用程序。

安全存储凭据映射

Secure Store Service 支持单用户映射和组映射。在组映射中,作为特定域组成员的每个用户都将映射到相同的凭据集。在单用户映射中,每个用户将映射到唯一的凭据集。如果需要记录有关对共享资源的单用户访问权限的信息,则单用户映射非常有用。对于组映射,安全层会根据存储在安全存储数据库中的一组凭据映射多个域用户的凭据。组映射比单用户映射更容易维护,并且可以提供改进的性能。

Secure Store Service 和声明身份验证

Secure Store Service 是一项主张感知服务。该服务可以接受安全令牌,并对安全令牌进行解密以获得应用程序 ID,然后执行查找。当 SharePoint Server 安全令牌服务 (STS) 发出一个安全令牌以响应身份验证请求时,Secure Store Service 将对该令牌进行解密并读取应用程序 ID 值。Secure Store Service 使用应用程序 ID 从安全存储数据库中检索凭据,然后使用凭据授予对资源的访问权限。

See also

在 SharePoint 中配置 Secure Store Service