Planeación del inicio de sesión único (SSO)
En este artículo:
Acerca del inicio de sesión único
Escenarios comunes de SSO
Arquitectura de SSO en Office SharePoint Server
Planeación de la configuración de SSO en la granja de servidores
Planeación de la configuración de definiciones de aplicaciones de empresa
Planeación de operaciones de SSO
Hojas de trabajo
Lea este artículo para planear el uso del inicio de sesión único (SSO) en Microsoft Office SharePoint Server 2007. En este artículo se describe la configuración de SSO en un entorno seguro, incluido el uso de SSO para conectarse a sistemas de datos back-end.
Acerca del inicio de sesión único
La característica de inicio de sesión único (SSO) de Office SharePoint Server 2007 asigna credenciales de usuario a sistemas de datos back-end. SSO permite obtener acceso a datos desde servidores y servicios externos a Office SharePoint Server 2007. Desde Elementos web de Office SharePoint Server 2007, es posible ver, crear y cambiar estos datos. La característica de SSO garantiza que:
Las credenciales de usuario se administran de forma segura.
Se aplican los niveles de permisos de usuario que se configuran en el origen de datos externo.
No se le pedirá a los usuarios que vuelvan a escribir sus credenciales al ver datos de orígenes de datos externos en Office SharePoint Server 2007.
Office SharePoint Server 2007 pueda conectarse a varios sistemas de datos externos independientemente de la plataforma y los requisitos de autenticación.
SSO requiere el uso de credenciales de Windows para las cuentas de usuario. En entornos donde se usa el inicio de sesión web único para autenticar cuentas de usuario, SSO puede usarse sólo si el subproceso actual que invoca las interfaces de programación de aplicaciones (API) de SSO tiene una identidad de Windows asociada a él.
Escenarios comunes de SSO
SSO se usa principalmente para escenarios de inteligencia empresarial. En Office SharePoint Server 2007, muchas características dependen de SSO, incluidas las siguientes:
Catálogo de datos profesionales
Excel Services
InfoPath Forms Services
Elementos web de datos profesionales
Elemento web de KPI
Elemento web de formulario de datos de Microsoft Office SharePoint Designer
Búsqueda de datos profesionales
Datos empresariales en listas
Además, se pueden incluir elementos web personalizados con conexión a orígenes de datos externos, incluidos aquellos que se basan en sistemas operativos distintos de Windows. Por ejemplo, puede establecer la conexión con las siguientes aplicaciones de empresa:
SAP Business Information Warehouse
Siebel eBusiness Applications
Microsoft BizTalk Server
Para obtener más información sobre los escenarios de inteligencia empresarial, vea Planeación de la inteligencia empresarial.
Arquitectura de SSO en Office SharePoint Server
En esta sección se describe cómo se implementa SSO en Office SharePoint Server 2007.
Servicio de inicio de sesión único de Microsoft
La característica de SSO de Office SharePoint Server 2007 usa el servicio de inicio de sesión único (SSOSrv) de Microsoft. En la siguiente ilustración, se muestra cómo se implementa el servicio de inicio de sesión único en una granja de servidores de Office SharePoint Server 2007.
.gif "Servicio de inicio de sesión único en una granja de servidores")
Servidor de clave de cifrado de SSO El primer equipo servidor en el que se habilita el servicio de inicio de sesión único se convierte en el servidor de clave de cifrado. El servidor de clave de cifrado genera y almacena la clave de cifrado. Esta clave se usa para cifrar y descifrar las credenciales almacenadas en la base de datos de SSO. El servidor de clave de cifrado debe ser un equipo servidor de aplicaciones, como un servidor de índices.
Servicio de inicio de sesión único Este servicio debe instalarse en todos los servidores web de la granja de servidores y, además, en los equipos que hospeden la función de servidor de aplicaciones de Excel Services. Si se usa una búsqueda en el Catálogo de datos profesionales, el servicio también deberá instalarse en el servidor de índices.
Base de datos de SSO Cuando se establece la configuración del servidor de SSO en el sitio de Administración central, Office SharePoint Server 2007 crea una base de datos de SSO en el servidor de base de datos que hospeda la base de datos de configuración. Si Microsoft SQL Server se encuentra instalado, la base de datos de SSO es una base de datos de SQL Server. De no ser así, el servicio de inicio de sesión único usa SQL Server 2005 Express Edition. La base de datos de SSO almacena las credenciales cifradas.
Nota
Si va a actualizar una versión anterior de SharePoint Portal Server, deberá volver a crear el entorno de SSO, así como una nueva base de datos de SSO. No es posible migrar ni actualizar SSO a Office SharePoint Server 2007.
Definiciones de aplicaciones de empresa
En un entorno de SSO, los sistemas y orígenes de datos externos back-end se denominan aplicaciones de empresa. Después de configurar el entorno de SSO, se pueden crear definiciones de aplicaciones de empresa. Para cada aplicación de empresa con la que Office SharePoint Server 2007 se conecta, existe una definición de aplicación de empresa correspondiente configurada por un administrador. O bien, se pueden configurar varias definiciones de aplicaciones de empresa para la misma aplicación de empresa física para proteger los distintos grupos que tienen acceso.
Una definición de aplicación de empresa establece:
La identidad de la aplicación de empresa (nombre para mostrar, nombre de programación y dirección de correo electrónico de contacto).
El tipo de cuentas de usuario que se asignan a las aplicaciones de empresa. Esto depende de si la aplicación de empresa (o, en algunos casos, el elemento web) aplica permisos basados en cuentas individuales o cuentas de grupo.
El tipo de credenciales que se recopilan de los usuarios (nombre de usuario, contraseña u otras credenciales, como una tarjeta inteligente).
La cuenta usada por los elementos web de Office SharePoint Server 2007 para conectarse a la aplicación de empresa.
La funcionalidad de inicio de sesión único permite escenarios en los que varios elementos web tienen acceso a diferentes aplicaciones de empresa. Cada una de estas aplicaciones de empresa puede usar un tipo de autenticación diferente. Las aplicaciones de empresa también pueden basarse en sistemas operativos que no sean Windows.
Vales de SSO
En un entorno empresarial donde un usuario interactúa con diversos sistemas y aplicaciones, es muy probable que el entorno no mantenga el contexto de usuario a través de varios procesos, productos y equipos. Este contexto de usuario es fundamental para proporcionar funciones de inicio de sesión único, ya que es necesario comprobar quién inició la solicitud original. En escenarios donde varios servidores participan en el traspaso de credenciales desde el servidor de clave de cifrado hasta la aplicación de empresa, el servicio de inicio de sesión único proporciona un vale de SSO (no un vale Kerberos). Los servidores usan este vale para obtener las credenciales correspondientes al usuario que realizó la solicitud original.
Por ejemplo, un entorno de nóminas puede configurarse para tener acceso a datos en un sistema SAP a través de BizTalk Server. Si un elemento web se conecta al sistema SAP, las credenciales se distribuyen a través del equipo de servidor BizTalk Server. En un entorno de SSO, un elemento web envía un vale de SSO al servicio en el equipo de servidor BizTalk Server que se conecta con el sistema SAP. Si el usuario pertenece a una cuenta o cuenta de grupo que se ha especificado en la definición de aplicación de empresa, el servicio canjea el vale de SSO por credenciales para el sistema SAP. Para que el servicio del equipo de servidor BizTalk Server canjee los vales de SSO, la cuenta que usa el servicio debe agregarse al grupo de administradores de SSO.
El servicio de inicio de sesión único emite un vale cuando un usuario de Windows lo solicita o cuando una aplicación lo solicita en su nombre. El servicio de inicio de sesión único sólo puede emitir un vale para el usuario que realiza la solicitud (no es posible solicitar un vale para otros usuarios). Un vale contiene el nombre cifrado de usuario y de dominio correspondientes al usuario actual y la fecha de expiración del vale.
Una vez que la aplicación de empresa comprueba la identidad del solicitante original, canjea el vale para obtener las credenciales del usuario que inició la solicitud. De forma predeterminada, los vales expiran en dos minutos. Los administradores de SSO pueden modificar el tiempo de expiración de los vales. La validez del vale debe ser suficiente para abarcar el intervalo de tiempo desde que se emite hasta que se canjea.
Administración de SSO
La administración de SSO implica dos tipos de los administradores:
Administradores de SSO Estos administradores establecen y configuran el SSO, administran las cuentas de SSO, realizan copias de seguridad de la clave de cifrado, y crean y cambian la clave de cifrado. Por motivos de seguridad, los administradores de SSO deben iniciar sesión en el servidor de clave de cifrado de forma local para establecer, configurar y administrar el SSO. Los administradores de SSO no pueden administrar la configuración del servidor de SSO desde un equipo servidor remoto.
Administradores de definición de aplicación de empresa Estos administradores crean y administran definiciones de aplicaciones de empresa, y actualizan las cuentas y credenciales que se usan para tener acceso a esas aplicaciones. Pueden administrar las definiciones de aplicaciones de empresa de forma remota.
Las cuentas y los permisos específicos para los administradores de SSO se detallan más adelante en este artículo.
Dependencias de red
En una granja de servidores de Office SharePoint Server 2007, el servicio de inicio de sesión único se basa en los nombres NetBIOS para la comunicación entre el servidor de clave de cifrado y el equipo servidor de base de datos. Si la resolución de nombres NetBIOS no está disponible para el equipo servidor de base de datos, se producirá un error de configuración de SSO.
Planeación de la configuración de SSO en la granja de servidores
En esta sección se describen las opciones de planeación para granjas de servidores. Estas opciones incluyen:
Decidir qué equipo servidor hospedará la función de servidor de clave de cifrado de SSO.
Configurar cuentas de SSO y garantizar que éstas se creen con los permisos adecuados.
Registrar las decisiones de configuración de la granja de servidores establecidas en la página Administrar configuración del servidor para inicio de sesión único de Administración central.
|
|---|
|
Servidor de clave de cifrado de SSO
Determine qué equipo de la granja de servidores hospedará la función de servidor de clave de cifrado de SSO. La configuración recomendada es seleccionar un servidor de aplicaciones, como el servidor de índices, por las siguientes razones:
Todos los servidores que ejecutan el servicio de inicio de sesión único deben tener la capacidad de comunicarse a través de la red con el servidor de clave de cifrado. Cuando se usa una granja de servidores con varios servidores web, algunas tecnologías de equilibrio de carga no permiten a los servidores web comunicarse entre sí.
Los usuarios finales no tienen acceso directo a los servidores de aplicaciones y, por lo general, estos servidores están protegidos por niveles adicionales de seguridad. Por ejemplo, se suelen implementar protocolos de seguridad, como IPSec o SSL, para proteger la comunicación entre los servidores de una granja de servidores. Además, algunas topologías de granja implementan un enrutador o firewall adicional entre los servidores web y los servidores de aplicaciones.
El servicio de inicio de sesión único debe instalarse en cualquier servidor de aplicaciones que hospede la función de Excel Services. Si se usa una búsqueda en el Catálogo de datos profesionales, el servicio de inicio de sesión único también deberá instalarse en el servidor de índices. Estos requisitos permiten que cada uno de estos servidores sean una buena elección para la función de servidor de clave de cifrado.
Asegúrese de que los administradores de SSO puedan iniciar sesión localmente en el servidor de clave de cifrado. Además, asegúrese de que la configuración de seguridad de Internet Explorer no impida la administración de SSO. Para ello, compruebe lo siguiente:
La opción predeterminada Inicio de sesión automático sólo en la zona de Intranet está seleccionada. (Para comprobarlo, en el menú Herramientas, haga clic en Opciones de Internet, haga clic en la ficha Seguridad, haga clic en el botón Nivel personalizado y, a continuación, en el cuadro de diálogoConfiguración de seguridad, vaya a la sección Autenticación de usuario).
La opción Preguntar por el nombre de usuario y la contraseña no está seleccionada.
Cuentas de SSO
Hay cuatro cuentas diferentes que son necesarias para configurar, ejecutar y administrar el sistema de SSO:
Cuenta de configuración de SSO
Cuenta de administrador de SSO
Cuenta de servicio de SSO
Cuenta de administrador de aplicación de empresa
En un entorno de evaluación, puede usar la cuenta de la granja de servidores para cada una de estas cuentas. Sin embargo, en un entorno seguro, deberá considerar qué cuentas se usarán y cómo se las configurará. En esta sección, se detallan los requisitos de cuenta y se proporcionan recomendaciones para configurar estas cuentas en un entorno seguro.
Las cuatro cuentas que son necesarias para configurar, ejecutar y administrar el sistema de SSO proporcionan separación de funciones y aislamiento de permisos. En las siguientes tablas se enumeran las cuentas y se describen las acciones que se realizan con ellas.
| Cuenta | Descripción |
|---|---|
Cuenta de configuración de SSO |
|
Cuenta de administrador de SSO |
|
Cuenta de servicio de SSO |
Ejecutar el servicio de inicio de sesión único en Windows |
Cuenta de administrador de aplicación de empresa |
Crear, modificar o eliminar definiciones de aplicaciones de empresa en Office SharePoint Server 2007 |
| Cuenta | Requisitos |
|---|---|
Cuenta de configuración de SSO |
|
Cuenta de administrador de SSO |
|
Cuenta de servicio de SSO |
|
Cuenta de administrador de aplicación de empresa |
|
En un entorno seguro, se recomienda configurar cuatro cuentas distintas y usar una cuenta de grupo, siempre que sea posible. Si se usa una cuenta de usuario para la cuenta de configuración de SSO, la cuenta de administrador de SSO y la cuenta de servicio de SSO, se debe usar la misma cuenta de usuario. En la siguiente tabla, se proporcionan recomendaciones para configurar estas cuentas.
| Cuenta | Entorno de evaluación | Entorno seguro |
|---|---|---|
Cuenta de configuración de SSO |
Cuenta de la granja de servidores |
Use la cuenta de usuario individual de un administrador que sea integrante del grupo Administradores de la granja de servidores. |
Cuenta de administrador de SSO |
Cuenta de la granja de servidores |
Cree una cuenta de grupo de dominio dedicada. Agregue los siguientes elementos a este grupo:
|
Cuenta de servicio de SSO |
Cuenta de la granja de servidores |
|
Cuenta de administrador de aplicación de empresa |
Cuenta de la granja de servidores |
Crear una cuenta de grupo de dominio dedicada. Agregue a este grupo los usuarios que tengan permiso para crear y administrar definiciones de aplicaciones de empresa. |
La siguiente ilustración muestra la configuración segura que se recomienda para estas cuentas.
.gif "Recomendaciones para configurar cuentas SSO")
Configuración de la base de datos
La configuración de la base de datos se usa para crear la base de datos de SSO e incluye:
Nombre del servidor Es el nombre NetBIOS del servidor de base de datos. No escriba el nombre de dominio completo (FQDN).
Nombre de la base de datos Es el nombre de la base de datos de SSO.
A menos que cree bases de datos de antemano, recomendamos que mantenga la configuración predeterminada.
Configuración del tiempo de espera
La configuración del tiempo de espera incluye lo siguiente:
Tiempo de espera de vale (en minutos) Se usa para establecer la cantidad de minutos que pueden transcurrir antes de que expire un vale de SSO. Asegúrese de que el valor de tiempo de espera del vale sea suficiente para abarcar desde el momento que se emitió hasta el momento en que lo canjea la aplicación de empresa. La configuración recomendada que otorga tiempo suficiente para el canje de vales es de dos minutos. Si los vales no se canjean en dos minutos, es posible que existan problemas de red o de otro tipo que impidan la conexión entre equipos.
Eliminar entradas del registro de auditorías de más de Se usa para establecer la cantidad de días durante los que se conservarán los registros en el registro de auditoría antes de su eliminación.
La configuración predeterminada para el tiempo de espera es la recomendada como punto de inicio.
Planeación de la configuración de definiciones de aplicaciones de empresa
En esta sección se describen las opciones de planeación para las definiciones de aplicaciones de empresa.
| Acción de hoja de cálculo |
|---|
Use la hoja de trabajo de definiciones de aplicaciones de empresa con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0xC0A) (en inglés) para registrar sus opciones de planeación. Complete esta hoja de trabajo para cada definición de aplicación de empresa que va a agregar. |
Después de crear una definición de aplicación de empresa, no puede modificar las siguientes propiedades:
Nombre de la definición de aplicación de empresa
Tipo de cuenta (de grupo o individual, de grupo o individual con autenticación de Windows, o grupo que usa una cuenta restringida)
Campos de información de cuenta de inicio de sesión
Información de contacto y aplicación
La información de contacto y aplicación incluye las siguientes opciones de configuración:
Nombre para mostrar Nombre descriptivo de la aplicación de empresa.
Nombre de la aplicación Nombre de programación de la aplicación de empresa. Éste es el nombre que los elementos web usarán para llamar a la definición de aplicación de empresa.
Dirección de correo electrónico del contacto Dirección de correo electrónico con la que los usuarios pueden contactar para la aplicación de empresa.
Tipo de cuenta
El tipo de cuenta hace referencia al tipo de cuenta que se usa para asignar credenciales de usuario a la aplicación de empresa: ya sea una cuenta individual o una cuenta de grupo. Si cada usuario tiene una cuenta en la aplicación de empresa, elija Individual. Si la aplicación de empresa usa una cuenta para todos los usuarios, elija Grupo.
Debe tener en cuenta que la autorización de seguridad puede ser realizada por la aplicación de empresa o por el elemento web que se conecta a la aplicación de empresa. La configuración de la autorización de seguridad afecta el tipo de cuenta que usará la aplicación de empresa. Por ejemplo, la autorización para tener acceso a datos personales en una aplicación de recibos de pago puede configurarse mediante uno de los dos métodos siguientes:
Los usuarios tienen sus propias cuentas en el sistema de recibos de pago para obtener acceso a sus recibos de pago. En este caso, la aplicación de empresa usa cuentas individuales.
El elemento web que se usa para tener acceso a los datos de recibos de pago aplica la autorización de seguridad. En este caso, el elemento web realiza la autorización del usuario basándose en sus credenciales y el sistema de recibos de pago usa una cuenta de grupo para todos los usuarios. Por consiguiente, la definición de aplicación de empresa para este escenario usa una cuenta de grupo.
Además, si se usa una cuenta de grupo, la definición de aplicación de empresa puede configurarse para que use una cuenta con privilegios. Si elige una cuenta con privilegios, las credenciales se almacenan aparte de las credenciales normales, y se usa una API diferente para tener acceso a las credenciales con privilegios. Las cuentas con privilegios se usan en escenarios en los que una aplicación intermedia, como el Catálogo de datos profesionales, impone restricciones de seguridad adicionales en los datos que se recuperan sobre la base de credenciales.
Las aplicaciones que usan credenciales restringidas deben aplicar una mayor autorización y restricción de datos basándose en los datos que se devuelven al usar credenciales con privilegios. Los administradores de granjas de servidores deben asegurarse de que todas las aplicaciones que usen cuentas con privilegios realicen la autorización y restricción de datos de manera uniforme. De lo contrario, si una aplicación que no realiza la autorización y restricción adicional tiene acceso a las cuentas con privilegios, puede poner en peligro la seguridad al usar credenciales con privilegios para tener acceso a datos que, de otra manera, se restringirían.
Elija Grupo que utiliza una cuenta restringida sólo en los siguientes casos:
La cuenta es una cuenta de grupo.
Se usa el Catálogo de datos profesionales para la conexión a la aplicación de empresa.
La aplicación intermedia que se conecta a la aplicación de empresa cumple los términos de uso de cuentas con privilegios.
Los datos son confidenciales.
Tipo de autenticación
El tipo de autenticación hace referencia al método con el que el servidor de Office SharePoint Server 2007 se conecta a la aplicación de empresa: con autenticación de Windows o sin autenticación. Esta autenticación sólo se aplica a las credenciales que usa el servidor que ejecuta Office SharePoint Server 2007 para iniciar sesión en la aplicación de empresa. La autenticación de credenciales de usuario no se ve afectada.
Si la aplicación de empresa está hospedada en un equipo que ejecuta Windows, seleccione Autenticación de Windows. Si está hospedada en un equipo que no ejecuta Windows, deje esta opción en blanco. Si no se usa la autenticación de Windows, las credenciales de inicio de sesión no se cifran. Si se selecciona la autenticación de Windows y el sistema de aplicaciones de empresa no admite la autenticación de Windows, se generará un error en la conexión de SSO.
Información de cuenta de inicio de sesión para los usuarios
Los campos proporcionados para la información de cuenta de inicio de sesión determinan qué datos son necesarios para iniciar sesión. De forma predeterminada, se especifican sólo el nombre de usuario y la contraseña. Puede especificar hasta cinco datos diferentes que se deberán incluir. Por ejemplo, se puede requerir un nombre de servidor SAP o un número de cliente SAP. Se les pedirá a los usuarios que escriban las credenciales en las siguientes circunstancias:
Se produce un error de autenticación o no se encuentran las credenciales.
El elemento web está programado para pedir las credenciales a los usuarios.
La información de cuenta de inicio de sesión se usa para las definiciones de aplicaciones de empresa que usan cuentas individuales. No recomendamos que se solicite información de cuenta de inicio de sesión para las definiciones de aplicaciones de empresa que usan cuentas de grupo.
La información de cuenta de inicio de sesión que se configure aquí debe coincidir con los requisitos de inicio de sesión de la aplicación de empresa. Además, también deberá determinar si el sistema necesita enmascarar estas credenciales cuando el usuario las proporcione.
Normalmente, sólo se requieren un nombre de usuario y una contraseña. Algunos entornos de alta seguridad pueden requerir elementos adicionales de identificación de usuario. Además, algunos sistemas podrían requerir información adicional de los usuarios para identificar la aplicación. Por ejemplo, para tener acceso a Oracle, los usuarios podrían especificar la información que se muestra en la siguiente tabla.
| En este campo | Se especifica esta información |
|---|---|
Campo 1 |
Nombre de usuario de Oracle |
Campo 2 |
Contraseña de usuario de Oracle (seleccione Sí para la opción de máscara) |
Campo 3 |
Nombre de la base de datos de Oracle |
Para tener acceso a la aplicación SAP, los usuarios podrían especificar la información que se muestra en la siguiente tabla.
| En este campo | Se especifica esta información |
|---|---|
Campo 1 |
Nombre de usuario de SAP |
Campo 2 |
Contraseña de SAP (seleccione Sí para la opción de máscara) |
Campo 3 |
Número del sistema SAP |
Campo 4 |
Número del cliente SAP |
Campo 5 |
Idioma |
Información de cuenta para la aplicación empresarial
Si usa una cuenta de grupo para la conexión con la aplicación de empresa, debe proporcionar las credenciales de la cuenta. Después de agregar una definición de aplicación de empresa, un administrador de SSO o un integrante de la cuenta de administrador de la aplicación de empresa especifica el nombre de cuenta y la contraseña que se usan para la conexión con el equipo servidor externo haciendo clic en Administrar la información de cuenta para una definición de aplicación de empresa en el sitio de Administración central.
| Actividad de hoja de trabajo |
|---|
Use la hoja de trabajo de definiciones de aplicaciones de empresa con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0xC0A) (en inglés) para registrar el nombre de la cuenta de grupo. |
El administrador que especifica la información de la cuenta en el sitio de Administración central también debe conocer la contraseña de la cuenta de grupo.
Si usa cuentas individuales para la conexión con la aplicación de empresa, no es necesario especificar la información de cuenta en el sitio de Administración central.
Planeación de operaciones de SSO
Administración de la clave de cifrado
La clave de cifrado se emplea como parte del proceso de cifrado para las credenciales que se usan con SSO. La clave ayuda a descifrar las credenciales cifradas que están almacenadas en la base de datos de SSO. La primera vez que se configuran el inicio de sesión único y las definiciones de aplicaciones de empresa en la página Administrar la configuración del servidor para inicio de sesión único de Administración central, la clave de cifrado se crea automáticamente. La administración de la clave de cifrado incluye la auditoría de la clave de cifrado y su regeneración.
Auditoría de la clave de cifrado
Es posible habilitar la auditoría de los cambios que se realizan en la clave de cifrado. Si la clave se lee o se escribe, se registra un evento de seguridad en el registro de seguridad. El registro de seguridad puede verse mediante el Visor de eventos. La habilitación del registro implica:
Modificar una clave de registro de SSO.
Crear una directiva de equipo local en el Editor de objetos de directiva de grupo.
Regeneración de la clave de cifrado
Debido a que la clave de cifrado protege las credenciales de seguridad, se debe volver a generar de forma periódica; por ejemplo, cada 90 días. Además, se deberá volver a generar la clave si las credenciales de cuenta se ven comprometidas.
El proceso de cifrado es una operación de larga ejecución. Recomendamos que cambie la clave de cifrado durante períodos de poca actividad. El cifrado de la clave tiene el siguiente impacto en el entorno de SSO:
Durante el proceso de cifrado, las operaciones de escritura (como la actualización de credenciales y el cambio de definiciones de aplicaciones de empresa) no están permitidas.
Las operaciones de lectura, como la recuperación de credenciales, continúan funcionando de forma habitual.
Debe haber iniciado sesión en el servidor de clave de cifrado local para volver a cifrar la clave de cifrado. Además, debe ser un integrante de la cuenta de administrador de SSO.
Si se reinicia el servidor de clave de cifrado o se detiene el servicio de inicio de sesión único en el servidor de clave de cifrado durante el proceso de cifrado, es preciso comprobar si hay errores en el registro de eventos. Si el registro de eventos indica un error, debe reiniciar el proceso de cifrado. Si el proceso de cifrado se anula de alguna manera, deberá volver a ejecutarse. Si el proceso de cifrado se anula, vuelve a su estado original.
Cuando se crea una clave de cifrado, puede optar por cifrar las credenciales existentes con la nueva clave. Si no cifra las credenciales existentes con la nueva clave de cifrado, los usuarios deberán volver a escribir sus credenciales para las definiciones de aplicaciones de empresa individuales, y los administradores de definiciones de aplicaciones de empresa de grupo deberán volver a escribir las credenciales de grupo.
Al cifrar el almacén de credenciales del servicio de inicio de sesión único, los eventos se registran en el registro de eventos de la aplicación de Microsoft Windows Server 2003. Una vez que se inicia el cifrado, se puede supervisar el registro de eventos de la aplicación para comprobar que se haya cifrado el almacén de credenciales. El identificador de evento 1032 se agrega al registro de eventos de la aplicación cuando se inicia el cifrado. El identificador de evento 1033 se agrega cuando finaliza el cifrado. Si se producen errores durante el cifrado, se agrega un evento en el registro.
Al decidir las opciones de planeación para administrar la clave de cifrado, tenga en cuenta lo siguiente:
¿Con qué frecuencia piensa cifrar la clave de cifrado?
¿Las credenciales existentes deben cifrarse con la nueva clave de cifrado al mismo tiempo?
¿En qué otras circunstancias se cifrará la clave de cifrado?
| Actividad de hoja de trabajo |
|---|
Use la hoja de trabajo de configuración de granjas de servidores con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0xC0A) (en inglés) para registrar las opciones de planeación deseadas. |
Copia de seguridad del entorno de SSO
La copia de seguridad del entorno de SSO implica realizar una copia de seguridad de las siguientes dos entidades independientes:
Clave de cifrado
Base de datos de SSO
Se debe realizar una copia de seguridad de la clave de cifrado después de la configuración inicial de SSO y luego cada vez que se regenere la clave. No es necesario realizar una copia de seguridad de la clave de cifrado de forma periódica, a menos que este proceso esté vinculado al de la regeneración de la clave de cifrado. No es posible realizar una copia de seguridad de la clave de cifrado de forma remota. Es necesario ser integrante de la cuenta de administrador de SSO y haber iniciado sesión en el servidor de clave de cifrado local para realizar una copia de seguridad de la clave. La copia de seguridad de la clave de cifrado sólo puede realizarse en un medio de almacenamiento extraíble, no en un disco duro local. La copia de seguridad de la clave de cifrado se realiza desde la página Administrar la clave de cifrado de Administración central.
Se debe realizar una copia de seguridad de la base de datos de SSO después de su creación inicial y luego cada vez que se cifran las credenciales. Además, se pueden incluir las copias de seguridad de la base de datos de SSO con las copias de seguridad programadas para la base de datos de la granja de servidores. Las copias de seguridad programadas incluirán otros cambios en la base de datos de SSO, como nuevas definiciones de aplicaciones de empresa y actualización de las credenciales.
No se debe almacenar el medio de copia de seguridad de la clave de cifrado en la misma ubicación que el medio de copia de seguridad de la base de datos de SSO. Si un usuario obtiene una copia de la base de datos y de la clave, las credenciales almacenadas en la base de datos podrían verse comprometidas. Lo ideal es guardar la copia de seguridad de la clave de cifrado en un lugar seguro.
Al decidir las opciones de planeación para realizar copias de seguridad del entorno de SSO, tenga en cuenta lo siguiente:
La frecuencia de realización de copias de seguridad de la clave de cifrado.
El plan para realizar la copia de seguridad de la base de datos de SSO. El plan más eficaz consiste en incluir la base de datos de SSO junto con las copias de seguridad periódicas de la granja de servidores.
| Actividad de hoja de trabajo |
|---|
Use la hoja de trabajo de configuración de granjas de servidores con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0xC0A) (en inglés) para registrar las opciones de planeación deseadas. |
Restauración del entorno de SSO
Existen diversos escenarios que requieren la restauración del entorno de SSO. En algunos casos, se debe restaurar sólo la clave de cifrado o sólo la base de datos de SSO. En la siguiente tabla, se describen varios escenarios de restauración y se indica lo que es necesario restaurar.
| Escenario | Lo que se debe restaurar |
|---|---|
Transferencia de la función de servidor de clave de cifrado a otro servidor. |
Clave de cifrado |
Cambio de la cuenta de servicio de SSO. |
Clave de cifrado |
Restauración del servidor de base de datos con errores. |
Base de datos de SSO |
Migración de la granja de servidores de Office SharePoint Server 2007 a otro grupo de servidores. |
Clave de cifrado y base de datos de SSO |
Recuperación ante un desastre en toda la granja de servidores. |
Clave de cifrado y base de datos de SSO |
En el resto de esta sección, se detallan las tareas específicas de restauración del entorno de SSO, en función de cada escenario.
Para transferir la función de servidor con clave de cifrado a otro equipo servidor, siga estos pasos:
Transferencia de la función de servidor de clave de cifrado a otro servidor
Realice una copia de seguridad de la clave de cifrado.
Deshabilite el servicio de inicio de sesión único en todos los equipos de la granja de servidores.
Inicie sesión en el nuevo servidor de clave de cifrado.
Inicie el servicio de inicio de sesión único.
Establezca la configuración de SSO de la granja de servidores en el sitio de Administración central. Especifique la base de datos de SSO existente.
Restaure la clave de cifrado.
Inicie el servicio de inicio de sesión único en todos los servidores web de la granja de servidores.
Cambio de la cuenta de servicio de SSO
El identificador de seguridad (SID) de la cuenta de servicio de SSO se usa como parte de la fórmula para cifrar las credenciales de SSO. Por consiguiente, para cambiar la cuenta de servicio de SSO, debe volver a configurar el entorno de SSO. Realice los siguientes pasos para cambiar la cuenta de servicio de SSO:
Cambio de la cuenta de servicio de SSO
Realice una copia de seguridad de la clave de cifrado.
En todos los servidores de la granja de servidores que ejecuten el servicio de inicio de sesión único, vuelva a configurar el servicio con la nueva cuenta de servicio.
Cambie la configuración de SSO de la granja de servidores en el sitio de Administración central con la nueva cuenta de servicio de SSO. Especifique la base de datos de SSO existente.
Restaure la clave de cifrado.
Cifre las credenciales de la base de datos de SSO. Para cifrar las credenciales, se usa la clave de cifrado restaurada.
Restauración del servidor de base de datos de SSO únicamente
Si se produce un error en el servidor que hospeda la base de datos de SSO, se deberá restaurar sólo la base de datos de SSO. Para ello, siga el mismo método que se usa para restaurar cualquier otra base de datos en el entorno de Office SharePoint Server 2007. Si restaura la base de datos de SSO en un servidor diferente, cambie la configuración de SSO de la granja de servidores con el nombre del nuevo servidor de base de datos.
Restauración de todo el entorno de SSO
Existen diversos escenarios que requieren la restauración de la clave de cifrado y de la base de datos de SSO. Siga estos pasos para restaurar todo el entorno de SSO:
Restauración de todo el entorno de SSO
Restaure la base de datos de SSO en el servidor de base de datos previsto.
Configure SSO siguiendo el mismo proceso de configuración de un nuevo entorno de SSO, excepto que deberá especificar el nombre del servidor y el nombre de base de datos de la base de datos de SSO existente.
Restaure la clave de cifrado en el nuevo entorno de SSO.
Respuesta ante un peligro para la seguridad de SSO
Un peligro para la seguridad puede incluir la pérdida de medios de copia de seguridad, la pérdida de contraseñas u otro evento que podría poner en peligro las credenciales almacenadas en la base de datos de SSO o los datos almacenados en las aplicaciones de empresa. Si se presenta un peligro para la seguridad que podría afectar el entorno de SSO, siga estos pasos:
Respuesta ante un peligro para la seguridad
Vuelva a generar la clave de cifrado.
Cifre las credenciales de la base de datos de SSO (se usa la nueva clave de cifrado).
Cambie las contraseñas de las aplicaciones de empresa que podrían verse comprometidas.
Sugiera a los usuarios que cambien sus contraseñas si éstas pudieran verse comprometidas.
Si el peligro para la seguridad es potencialmente grave, puede interrumpir el servicio de inicio de sesión único para detener inmediatamente el acceso a las credenciales almacenadas en la base de datos de SSO. Si debe interrumpir el servicio de inicio de sesión único, siga estos pasos para restaurar de forma segura el servicio en la granja de servidores de Office SharePoint Server 2007 existente:
Restauración del servicio de Inicio de sesión único en la granja de servidores existente
Restaure el entorno de SSO en un servidor aislado.
Vuelva a generar la clave de cifrado.
Cifre las credenciales de la base de datos de SSO.
Realice una copia de seguridad del entorno de SSO.
Restaure el entorno de SSO en la granja de servidores de Office SharePoint Server 2007 existente.
Hojas de trabajo
Use las siguientes hojas de trabajo para planear el inicio de sesión único:
Hoja de trabajo de definiciones de aplicaciones de empresa con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0xC0A) (en inglés)
Hoja de trabajo de configuración de granjas de servidores con inicio de sesión único (en inglés) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0xC0A) (en inglés)
Descarga de este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.