Konfigurieren von einmaligem Anmelden (Office SharePoint Server)

  • Artikel

Einmaliges Anmelden (Single Sign-On, SSO) ist ein Microsoft Office SharePoint Server-Feature für die Speicherung und Zuordnung von Anmeldeinformationen, wie Kontonamen und Kennwörtern. Mit SSO können portalwebsitebasierte Anwendungen Informationen von Drittherstelleranwendungen und Back-End-Systemen, wie ERP- (Enterprise Resource Planning) und CRM- (Customer Relations Management) -Systemen abrufen.

Mit der SSO-Funktion müssen sich Benutzer beim Zugriff auf portalwebsitebasierte Anwendungen, die Informationen von anderen Geschäftsanwendungen und -systemen benötigen, nur einmal authentifizieren.

Das Konfigurieren von einmaligem Anmelden besteht aus fünf Aufgaben:

  • Konfigurieren und Starten des Microsoft-Diensts für einmaliges Anmelden

  • Konfigurieren von einmaligem Anmelden für Office SharePoint Server 2007

  • Verwalten des Verschlüsselungsschlüssels

  • Verwalten von Enterpriseanwendungsdefinitionen

  • Verwalten von Kontoinformationen für eine Enterpriseanwendungsdefinition

Beachten Sie, dass Sie auf einem Farmserver bei der Website für die SharePoint-Zentraladministration angemeldet sein müssen, um SSO für Microsoft Office SharePoint Server 2007 zu konfigurieren. Wenn Sie versuchen, SSO an Arbeitsstationen oder auf Computern zu konfigurieren, die keine Farmserver sind, wird folgende Fehlermeldung angezeigt: "Einmaliges Anmelden kann von diesem Server aus nicht konfiguriert werden. Konfigurieren Sie einmaliges Anmelden, indem Sie zu dem Computer wechseln, auf dem der Dienst für einmaliges Anmelden ausgeführt wird, und geben Sie diese Einstellung lokal an."

Folgen Sie den Schritten in den Abschnitten zum Konfigurieren von einmaligem Anmelden für die Microsoft Office SharePoint Server 2007-Umgebung.

So konfigurieren und starten Sie den Microsoft-Dienst für einmaliges Anmelden

Zur Verwendung der Einzelanmeldung muss der Microsoft-Dienst für einmaliges Anmelden (SSOSrv) auf allen Microsoft Windows-Front-End-Webservern der Farm installiert werden. SSOSrv muss auch auf allen Servern mit Excel Services installiert werden. Wenn die Geschäftsdatenkatalog-Suche verwendet wird, muss SSOSrv auch auf dem Indexserver installiert werden.

SSOSrv wird mithilfe der Konsole für Dienste konfiguriert. Zum Konfigurieren des Diensts wird ein Anmeldekonto benötigt. Das Anmeldekonto muss alle der folgenden Kriterien erfüllen:

  • Es muss sich um ein Domänenbenutzerkonto handeln. Es darf kein Gruppenkonto sein.

  • Es muss sich um ein Office SharePoint Server-Farmkonto handeln.

  • Es muss Mitglied der lokalen Gruppe Administratoren auf dem Server für den Verschlüsselungsschlüssel sein. (Der Server für den Verschlüsselungsschlüssel ist der erste Server, auf dem Sie SSOSrv starten.)

  • Es muss Mitglied der Rollen Sicherheitsadministratoren und db_creator auf dem Computer mit Microsoft SQL Server sein.

  • Es muss sich entweder um das SSO-Administratorkonto oder um ein Mitglied des Gruppenkontos handeln, das das SSO-Administratorkonto ist.

So konfigurieren und starten Sie den Microsoft-Dienst für einmaliges Anmelden

  1. Klicken Sie auf dem Server im Startmenü auf Systemsteuerung, dann auf Verwaltung und dann auf Computerverwaltung.

  2. Erweitern Sie in der Computerverwaltung die Option Dienste und Anwendungen, und klicken Sie dann auf Dienste.

  3. Klicken Sie mit der rechten Maustaste auf Microsoft Dienst für einmaliges Anmelden, und wählen Sie dann Eigenschaften aus.

  4. Ändern Sie auf der Registerkarte Allgemein die Option für Starttyp in Automatisch.

  5. Klicken Sie auf der Registerkarte Allgemein im Bereich Servicestatus auf Start.

  6. Klicken Sie auf OK, um die Änderungen zu speichern und das Fenster Eigenschaften zu schließen.

  7. Wiederholen Sie die Schritte 1 bis 6 für jeden entsprechenden Server in der Farm.

Konfigurieren von einmaligem Anmelden für Office SharePoint Server 2007

Das Verwalten von Servereinstellungen für einmaliges Anmelden umfasst die Angabe der entsprechenden Administratorkonten, des Datenbankservers und Servernamens für einmaliges Anmelden sowie der Timeout- und Überwachungsprotokolleinstellungen.

Hinweis

Sie müssen die Zentraladministration auf dem Computer mit Microsoft Office SharePoint Server 2007 öffnen, um die Servereinstellungen für einmaliges Anmelden zu verwalten.

Konfigurieren von einmaligem Anmelden für Office SharePoint Server 2007

  1. Klicken Sie in der Zentraladministration auf der oberen Navigationsleiste auf Vorgänge.

  2. Klicken Sie auf der Seite Vorgänge im Abschnitt Sicherheitskonfiguration auf Einstellungen für einmaliges Anmelden verwalten.

  3. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten im Abschnitt Servereinstellungen auf Servereinstellungen verwalten.

  4. Geben Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten im Abschnitt Administratorkonto für einmaliges Anmelden in das Feld Kontoname den Namen des entsprechenden Kontos ein, und zwar im Format Domäne/Gruppe oder Domäne/Benutzername.

    Hinweis

    Das SSO-Administratorkonto gibt den Satz von Personen an, die Anwendungsdefinitionen erstellen, löschen oder ändern können. Mithilfe des Administratorkontos kann auch der Verschlüsselungsschlüssel gesichert werden.

    Der Benutzer oder die Gruppe, die Sie als Administrator für einmaliges Anmelden angeben, muss alle der folgenden Bedingungen erfüllen:

    • Es muss sich entweder um eine globale Windows-Gruppe oder um ein einzelnes Benutzerkonto handeln. Dieses Konto darf kein Konto einer lokalen Gruppe der Domäne und keine Verteilerliste sein.

    • Es muss dasselbe Konto wie das SSO-Dienstkonto sein, wenn ein Benutzer angegeben ist. Wenn eine Gruppe angegeben ist, muss das SSO-Dienstkonto Mitglied dieser Gruppe sein.

    • Es muss dasselbe Konto wie das SSO-Konfigurationskonto sein, wenn ein Benutzer angegeben ist. Wenn eine Gruppe angegeben ist, muss das SSO-Konfigurationskonto Mitglied dieser Gruppe sein.

    • Es muss sich um ein Mitglied der Gruppe Farmadministratoren in der Zentraladministration handeln.

    Wenn eine Gruppe angegeben ist, müssen alle Benutzer, die der Gruppe für den Zweck der Verwaltung von SSO hinzugefügt werden, Mitglieder der lokalen Gruppe Administratoren auf dem Server für den Verschlüsselungsschlüssel sein. Dieses Konto darf nicht Mitglied der lokalen Gruppe Administratoren auf dem Server für den Verschlüsselungsschlüssel sein.

  5. Geben Sie den Kontonamen der Gruppe oder des Benutzers, der Enterpriseanwendungsdefinitionen einrichten und verwalten kann, im Abschnitt Administratorkonto für die Enterpriseanwendungsdefinition in das Feld Kontoname ein. Geben Sie den Namen im Format Domäne/Gruppe oder Domäne/Benutzername ein.

    Das Administratorkonto für Enterpriseanwendungsdefinitionen kann Anmeldeinformationen einer Enterpriseanwendungsdefinition verwalten, einschließlich Ändern des Kennworts für eine Enterpriseanwendungs-Gruppendefinition und Ändern oder Löschen von Anmeldeinformationen für eine einzelne Enterpriseanwendungsdefinition.

    Der angegebene Benutzer oder die angegebene Gruppe muss die folgenden Merkmale aufweisen:

    • Es muss sich entweder um eine globale Windows-Gruppe oder um ein einzelnes Benutzerkonto handeln. Dieses Konto darf kein Konto einer lokalen Gruppe der Domäne und keine Verteilerliste sein.

    • Es muss sich um ein Mitglied der SharePoint-Lesergruppe in der Zentraladministration handeln.

  6. Geben Sie im Abschnitt Datenbankeinstellungen in das FeldServername den NetBIOS-Namen des SSO-Datenbankservers ein (z. B. Computer_Name oder Computer_Name\SQL_Server_Instanz). Geben Sie nicht den vollqualifizierten Domänennamen ein.

  7. Geben Sie in das Feld Datenbankname den Namen des Datenbankservers für einmaliges Anmelden ein.

    Hinweis

    Sofern Sie keine Datenbanken vorbereiten, wird empfohlen, den standardmäßigen Datenbankserver und den SSO-Datenbankserver zu verwenden.

  8. Geben Sie im Abschnitt Timeouteinstellungen in das Feld Ticket-Timeout (in Minuten) einen Wert für die Minuten bis zum Ablauf eines SSO-Tickets ein. Das Timeout sollte mindestens vom Zeitpunkt der Ticketausgabe bis zum Einlösen des Tickets durch die Enterpriseanwendung dauern. Als Wert werden zwei Minuten empfohlen.

  9. Geben Sie im Feld Überwachungsprotokolldatensätze löschen, die älter sind als (in Tagen) einen Wert für die Anzahl der Tage ein, für die das Überwachungsprotokoll Datensätze beibehalten soll, bevor diese gelöscht werden.

  10. Klicken Sie auf OK.

Verwalten des Verschlüsselungsschlüssels

Der erste Server, auf dem SSOSrv aktiviert wird, wird zum Server für den Verschlüsselungsschlüssel. Der Server für den Verschlüsselungsschlüssel generiert und speichert den Verschlüsselungsschlüssel. Der Verschlüsselungsschlüssel dient zum Verschlüsseln und Entschlüsseln der Anmeldeinformationen, die in der SSO-Datenbank gespeichert sind.

Da der Verschlüsselungsschlüssel Sicherheitsanmeldeinformationen schützt, wird empfohlen, regelmäßig (z. B. alle 90 Tage) einen neuen Verschlüsselungsschlüssel zu erstellen. Außerdem wird empfohlen, sofort einen neuen Verschlüsselungsschlüssel zu erstellen, wenn Sie vermuten, dass Kontoanmeldeinformationen gefährdet sind.

Der Verschlüsselungsschlüssel muss jedes Mal gesichert werden, wenn ein neuer Schlüssel erstellt wird. Abgesehen davon müssen Sie den Verschlüsselungsschlüssel niemals sichern (außer, wenn Sie die Rolle des Servers mit dem Verschlüsselungsschlüssel von einem Server zu einem anderen verschieben). Sie müssen den Verschlüsselungsschlüssel vom Server mit dem Verschlüsselungsschlüssel lokal sichern. Der Schlüssel kann nicht remote gesichert werden.

Sie können auch die Sicherung und Wiederherstellung für Verschlüsselungsschlüssel verwenden, um die Verschlüsselungsschlüssel-Serverrolle von einem Server auf einen anderen zu verschieben. (Zum Verschieben der Verschlüsselungsschlüssel-Serverrolle müssen noch weitere Aufgaben ausgeführt werden.)

Hinweis

Zum Verwalten des Verschlüsselungsschlüssels müssen Sie auf dem Computer mit Microsoft Office SharePoint Server 2007 die Zentraladministration öffnen.

Verwalten des Verschlüsselungsschlüssels

  1. Klicken Sie in der Zentraladministration auf der oberen Navigationsleiste auf Vorgänge.

  2. Klicken Sie auf der Seite Vorgänge im Abschnitt Sicherheitskonfiguration auf Einstellungen für einmaliges Anmelden verwalten.

  3. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten im Abschnitt Servereinstellungen auf Verschlüsselungsschlüssel verwalten.

Auf der Seite Verschlüsselungsschlüssel verwalten können Sie drei Verwaltungsaufgaben ausführen:

  • Erstellen eines neuen Verschlüsselungsschlüssels

  • Sichern eines Verschlüsselungsschlüssels

  • Wiederherstellen eines Verschlüsselungsschlüssels

Erstellen eines neuen Verschlüsselungsschlüssels

  1. Klicken Sie auf der Seite Verschlüsselungsschlüssel verwalten im Abschnitt Verschlüsselungsschlüssel auf Verschlüsselungsschlüssel erstellen.

  2. Aktivieren Sie auf der Seite Verschlüsselungsschlüssel verwalten das Kontrollkästchen Alle Anmeldeinformationen mit dem neuen Verschlüsselungsschlüssel erneut verschlüsseln.

    Wichtig

    Wenn Sie die vorhandenen Anmeldeinformationen nicht mit dem neuen Verschlüsselungsschlüssel erneut verschlüsseln, müssen Benutzer ihre Anmeldeinformationen für einzelne Anwendungsdefinitionen erneut eingeben, und Administratoren müssen die Gruppenanmeldeinformationen für Gruppenanwendungsdefinitionen erneut eingeben.

  3. Klicken Sie auf OK.

Sichern eines Verschlüsselungsschlüssels

  1. Klicken Sie auf der Seite Verschlüsselungsschlüssel verwalten in der Liste Laufwerk im Abschnitt Verschlüsselungsschlüsselsicherung auf das Wechselmedium, auf dem Sie die Verschlüsselungsschlüsselsicherung speichern möchten.

  2. Klicken Sie auf Sichern.

Wiederherstellen eines Verschlüsselungsschlüssels

Sie sollten auch den Verschlüsselungsschlüssel beim Sichern der SSO-Datenbank immer sichern, da die Datenbank ohne den Verschlüsselungsschlüssel nutzlos ist. Darüber hinaus sollten Sie vor dem Ersetzen eines Servers für den Verschlüsselungsschlüssel unbedingt den Verschlüsselungsschlüssel sichern, sodass dieser auf dem neuen Server für den Verschlüsselungsschlüssel wiederhergestellt werden kann.

  1. Klicken Sie auf der Seite Verschlüsselungsschlüssel verwalten in der Liste Laufwerk im Abschnitt Verschlüsselungsschlüsselwiederherstellung auf das Wechselmedium, von dem Sie die Verschlüsselungsschlüsselsicherung wiederherstellen möchten.

  2. Klicken Sie auf Wiederherstellen.

Verwalten von Enterpriseanwendungsdefinitionen

In der SSO-Umgebung werden externe Back-End-Datenquellen und -Systeme als Enterpriseanwendungen bezeichnet. Für jede Enterpriseanwendung, mit der Microsoft Office SharePoint Server 2007 eine Verbindung herstellt, muss eine entsprechende Enterpriseanwendungsdefinition konfiguriert werden.

  1. Klicken Sie in der Zentraladministration auf der oberen Navigationsleiste auf Vorgänge.

  2. Klicken Sie auf der Seite Vorgänge im Abschnitt Sicherheitskonfiguration auf Einstellungen für einmaliges Anmelden verwalten.

  3. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten auf Einstellungen für Enterpriseanwendungsdefinitionen verwalten.

Verwalten von Kontoinformationen für eine Enterpriseanwendungsdefinition

Wenn Sie eine Gruppe verwenden, um eine Verbindung zu der Enterpriseanwendung herzustellen, müssen Sie die Kontoanmeldeinformationen für die Gruppe bereitstellen. Wenn einzelne Benutzer mit der Enterpriseanwendung direkt eine Verbindung herstellen, können Sie Benutzerkennwörter voreinstellen oder zurücksetzen, oder Sie können Benutzer aus der Enterpriseanwendungsdefinition löschen.

  1. Klicken Sie in der Zentraladministration auf der oberen Navigationsleiste auf Vorgänge.

  2. Klicken Sie auf der Seite Vorgänge im Abschnitt Sicherheitskonfiguration auf Einstellungen für einmaliges Anmelden verwalten.

  3. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden verwalten im Abschnitt Einstellungen zur Enterpriseanwendungsdefinition auf Kontoinformationen für Enterpriseanwendungsdefinitionen verwalten.

  4. Klicken Sie auf der Seite Kontoinformationen für Enterpriseanwendungsdefinitionen verwalten im Abschnitt Kontoinformationen in der Liste Enterpriseanwendungsdefinition auf die Anwendungsdefinition, für die Sie Kontoinformationen verwalten möchten.

  5. Geben Sie in das Feld Gruppenkontoname den Namen der Gruppe ein, die auf die Enterpriseanwendung zugreifen darf.

  6. Wählen Sie im Abschnitt Enterpriseanwendungsdefinition eine der folgenden Möglichkeiten aus:

    Option Zweck

    Kontoinformationen aktualisieren

    Geben Sie die Anmeldeinformationen zum ersten Mal ein, oder aktualisieren Sie diese, um eine Verbindung mit der Enterpriseanwendung herzustellen.

    Gespeicherte Anmeldeinformationen für dieses Konto von dieser Enterpriseanwendungsdefinition löschen

    Löschen Sie die gegenwärtig zum Herstellen der Verbindung mit der Enterpriseanwendung verwendeten Anmeldeinformationen.

    Gespeicherte Anmeldeinformationen für dieses Konto von allen Enterpriseanwendungsdefinitionen löschen

    Löschen Sie die gegenwärtig zum Verbinden mit der ausgewählten Enterpriseanwendung verwendeten Anmeldeinformationen aus allen Enterpriseanwendungsdefinitionen. Das Löschen gespeicherter Anmeldeinformationen löscht Anmeldeinformationen nur für einzelne Konten. Anmeldeinformationen für Gruppenkonten werden nicht gelöscht.

    Führen Sie die folgenden Schritte aus, wenn Sie Kontoinformationen aktualisieren auswählen:

    1. Klicken Sie auf Festlegen.

    2. Geben Sie auf der Kontoinformationenseite im Abschnitt Anmeldeinformationen den Benutzernamen und das Kennwort für das Konto ein, das für die Verbindung mit der Enterpriseanwendung verwendet wird.

    3. Klicken Sie auf OK.

  7. Klicken Sie auf Fertig.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie in der Technischen Bibliothek zu Office SharePoint Server.