Configuración del Servicio de almacenamiento seguro (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2017-01-19

En este artículo se describen las opciones del Servicio de almacenamiento seguro de Microsoft SharePoint Server 2010, que permite a los diseñadores de soluciones crear aplicaciones de destino que asignan credenciales de usuario y grupo a las credenciales de orígenes de datos externos. Mediante el uso de estas aplicaciones de destino, los tipos de contenido externo de Servicio de conectividad a datos empresariales pueden interactuar con sus orígenes de datos externos para leer, crear y modificar datos almacenados en orígenes de datos externos. Para obtener una descripción general del Servicio de almacenamiento seguro, vea Planeación del Servicio de almacenamiento seguro (SharePoint Server 2010).

Antes de usar el Servicio de almacenamiento seguro para crear aplicaciones de destino, debe proporcionar una frase de contraseña. Mediante la frase de contraseña se genera una clave que se usa para cifrar y descifrar las credenciales almacenadas en la base de datos del Servicio de almacenamiento seguro. Si tiene que proporcionar la frase de contraseña inicial, cuando inicie una sesión de la aplicación Servicio de almacenamiento seguro se mostrará un mensaje que indica que genere una nueva clave para esta aplicación Servicio de almacenamiento seguro.

En este artículo:

  • Inicialización de una sesión de una aplicación del Servicio de almacenamiento seguro

  • Actualización de la clave de cifrado

  • Generación de una nueva clave de cifrado

  • Creación de una aplicación de destino

  • Establecimiento de credenciales para una aplicación de destino

  • Habilitación del registro de auditoría

Nota

Puede usar Administración central para realizar los procedimientos siguientes. Si desea usar Windows PowerShell, vea el tema sobre la configuración del Servicio de almacenamiento seguro mediante PowerShell (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0xC0A) en el Centro de scripts y las líneas sobre creación del servicio de almacenamiento seguro y proxy (Creating Secure Store Service and Proxy) de la siguiente entrada de blog de Todd Carter, denominada Al asistente le gustan sus GUID (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0xC0A). Además, si desea usar un registro de auditoría, deberá usar los parámetros AuditingEnabled y AuditlogMaxSize del cmdlet New-SPSecureStoreServiceApplication o Set-SPSecureStoreServiceApplication.

Inicialización de una sesión de una aplicación del Servicio de almacenamiento seguro

Se pueden usar comandos del grupo Editar de la cinta de opciones para inicializar una sesión de una aplicación del Servicio de almacenamiento seguro.

Para inicializar una sesión de una aplicación del Servicio de almacenamiento seguro

  1. Compruebe si tiene las siguientes credenciales administrativas:

    • Es necesario ser administrador de aplicación de servicio para la sesión del Servicio de almacenamiento seguro.

  2. En una sesión de la aplicación de Servicio de almacenamiento seguro, haga clic en la pestaña Administrar.

  3. En el grupo Administrador de claves, haga clic en Generar nueva clave.

  4. En la página Generar nueva clave, escriba la cadena de la frase de contraseña en el cuadro Frase de contraseña y escriba la misma cadena en el cuadro Confirmar frase de contraseña.

    Importante

    La cadena de una frase de contraseña debe tener al menos ocho caracteres y al menos tres de los cuatro elementos siguientes:

    • Caracteres en mayúsculas

    • Caracteres en minúsculas

    • Números

    • Cualquiera de los siguientes caracteres especiales

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Sugerencia

    La frase de contraseña que escribió no se almacenará. Asegúrese de anotarla y guardarla en un lugar seguro: la necesitará para actualizar la clave, por ejemplo, cuando agregue un nuevo servidor de aplicaciones a la granja o conjunto de servidores.

  5. Haga clic en Aceptar.

Es posible que se requiera la actualización de la clave de cifrado, si:

  • Agrega un nuevo servidor de aplicaciones a la granja o conjunto de servidores.

  • Restaura la copia de seguridad de una base de datos de Servicio de almacenamiento seguro que realizó previamente y cambió la clave de cifrado después de hacer la copia.

  • Si recibe el mensaje de error "No se puede obtener clave maestra".

Actualización de la clave de cifrado

Se pueden usar los comandos del grupo Administración de claves de la cinta de opciones para actualizar la clave de cifrado.

Para actualizar la clave de cifrado

  1. Compruebe si tiene las siguientes credenciales administrativas:

    • Es necesario ser administrador de aplicación de servicio para la sesión del Servicio de almacenamiento seguro.

  2. En una sesión de la aplicación de Servicio de almacenamiento seguro, haga clic en la pestaña Administrar.

  3. En el grupo Administrador de claves , haga clic en Actualizar clave.

  4. En el cuadro Frase de contraseña, escriba la frase de contraseña que utilizó inicialmente para generar la clave de cifrado.

    Ésta será la frase de contraseña que utilizó cuando inicializó la aplicación Servicio de almacenamiento seguro o la que usó cuando creó una nueva clave a través del comando Generar nueva clave.

  5. Haga clic en Aceptar.

Generación de una nueva clave de cifrado

Por razones de seguridad o como parte del mantenimiento periódico, puede decidir generar una nueva clave de cifrado; además, de manera opcional, puede hacer que el Servicio de almacenamiento seguro vuelva a cifrarse con la clave nueva.

Advertencia

Debe realizar una copia de seguridad de la base de datos de la aplicación Servicio de almacenamiento seguro antes de generar una clave nueva.

Para generar una nueva clave de cifrado

  1. Compruebe si tiene las siguientes credenciales administrativas:

    • Es necesario ser administrador de aplicación de servicio para la sesión del Servicio de almacenamiento seguro.

  2. En una sesión de la aplicación de Servicio de almacenamiento seguro, haga clic en la pestaña Administrar.

  3. En el grupo Administrador de claves, haga clic en Generar nueva clave.

  4. En la página Generar nueva clave, escriba la cadena de la frase de contraseña en el cuadro Frase de contraseña y escriba la misma cadena en el cuadro Confirmar frase de contraseña.

    Importante

    La cadena de una frase de contraseña debe tener al menos ocho caracteres y al menos tres de los cuatro elementos siguientes:

    • Caracteres en mayúsculas

    • Caracteres en minúsculas

    • Números

    • Cualquiera de los siguientes caracteres especiales

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Sugerencia

    La frase de contraseña que escribió no se almacenará. Asegúrese de anotarla y guardarla en un lugar seguro: la necesitará para actualizar la clave, por ejemplo, cuando agregue un nuevo servidor de aplicaciones a la granja o conjunto de servidores.

  5. Para hacer que la base de datos del Servicio de almacenamiento seguro vuelva a cifrarse, haga clic en Volver a cifrar base de datos con la nueva clave.

  6. Haga clic en Aceptar.

Creación de una aplicación de destino

El Servicio de almacenamiento seguro se usa para crear aplicaciones de destino. Una aplicación de destino asigna las credenciales de un usuario o de un grupo, o reclama un conjunto de credenciales a un origen de datos externo, como una base de datos de SQL Server o un servicio web. Una vez creada la aplicación de destino, puede asociarla con un tipo de contenido externo o modelo de aplicación para proporcionar acceso a un origen de datos externo.

Para crear una aplicación de destino

  1. Compruebe si tiene las siguientes credenciales administrativas:

    • Es necesario ser administrador de aplicación de servicio para la sesión del Servicio de almacenamiento seguro.

  2. En una sesión de la aplicación de Servicio de almacenamiento seguro, haga clic en la pestaña Administrar.

  3. En el grupo Administrar aplicaciones de destino, haga clic en Nueva.

  4. En el cuadro Id. de la aplicación de destino, escriba una cadena de texto.

    Ésta es la cadena exclusiva que la aplicación Servicio de almacenamiento seguro usará internamente para identificar esta aplicación de destino.

  5. En el cuadro Nombre para mostrar escriba una cadena de texto que se usará para mostrar el identificador de la aplicación de destino en la interfaz de usuario.

  6. En el cuadro Dirección de correo electrónico del contacto, escriba la dirección de correo electrónico del contacto principal para esta aplicación.

    Ésta puede ser cualquier dirección de correo electrónico legítima y no necesita ser la identidad de un administrador de la aplicación Servicio de almacenamiento seguro.

  7. Cuando se crea una aplicación de destino de tipo individual (ver a continuación), puede implementarse una página web personalizada que permite a los usuarios agregar credenciales individuales para el origen de datos de destino. Esto requiere un código personalizado para pasar las credenciales a la aplicación de destino. Si ya ha efectuado este paso, escriba la dirección URL completa de esta página en el campo Dirección URL de la página de la aplicación de destino. Hay tres opciones:

    • Usar la página proporcionada: a cualquier sitio web que use la aplicación de destino para tener acceso a datos externos se le agrega automáticamente una página de suscripción individual. La dirección URL de esta página es http:/<sitio de ejemplo>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<identificador de aplicación de destino>, donde <identificador de aplicación de destino> es la cadena escrita en el cuadro Id. de aplicación de destino. Al mostrar la ubicación de esta página, se permite que los usuarios agreguen sus credenciales para el origen de datos externo.

    • Usar página personalizada: se proporciona una página personalizada que permite a los usuarios proporcionar credenciales individuales. Escriba en este campo la dirección URL de la página personalizada.

    • Ninguna: no hay página de suscripción. Las credenciales individuales las agrega solo un administrador del Servicio de almacenamiento seguro mediante la aplicación del Servicio de almacenamiento seguro.

  8. En el cuadro Tipo de aplicación de destino, escriba el tipo de aplicación de destino: Grupo, para credenciales de grupo, o Individual, si se asignará cada individuo a un conjunto único de credenciales en el origen de datos externo.

    Nota

    Existen dos tipos principales para crear una aplicación de destino:

    • Grupo, para asignar todos los miembros de un grupo o de más grupos a un solo conjunto de credenciales en el origen de datos externo.

    • Individual, para asignar cada individuo a un conjunto único de credenciales en el origen de datos externo.

  9. Si las credenciales en el origen de datos externo son credenciales de Windows, seleccione la casilla de verificación Windows.

    Anule la selección de la casilla si las credenciales en el origen de datos externo no son credenciales de Windows.

  10. Haga clic en Siguiente para configurar los campos que se usarán para enviar las credenciales al origen de datos externo.

  11. Use la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro para configurar los distintos campos que pueden requerirse para proporcionar las credenciales al origen de datos externo. Dos campos se incluyen de forma predeterminada: Nombre de usuario y Contraseña.

    Para agregar un campo adicional para proporcionar credenciales al origen de datos externo, en la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro haga clic en Agregar campo.

    De forma predeterminada, el tipo del nuevo campo es Genérico. Se encuentran disponibles los siguientes tipos de campo:

    Campo Descripción

    Genérico

    Valores que no se ajustan a ninguna de las otras categorías

    Nombre de usuario

    Cuenta de usuario que identifica al usuario

    Contraseña

    Palabra o frase secreta

    PIN

    Número de identificación personal

    Clave

    Parámetro que determina el resultado funcional de un algoritmo de cifrado o cifrado

    Nombre de usuario de Windows

    Cuenta de usuario de Windows que identifica al usuario

    Contraseña de Windows

    Palabra o frase secreta para una cuenta de Windows

    • Para cambiar el tipo de un campo nuevo o existente, haga clic en la flecha que aparece al lado del tipo de campo y, a continuación, seleccione el nuevo tipo de campo.

      Nota

      Todo campo que se agregue deberá contener datos cuando se presente para establecer credenciales.

    • Puede cambiar el nombre que un usuario ve cuando interactúa con un campo. En la columna Nombre de campo de la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro, modifique un nombre de campo seleccionando el texto actual y escribiendo un texto nuevo.

    • Cuando un campo está enmascarado, los caracteres que escribe el usuario no se muestran, sino que aparecen reemplazados por caracteres que actúan como máscara, como el asterisco “*”. Para enmascarar un campo, haga clic en la casilla que corresponde a ese campo, en la columna Enmascarado de la página.

    • Para eliminar un campo, haga clic en el icono de eliminación de ese campo, en la columna Eliminar de la página.

    Cuando haya terminado de modificar los campos de credenciales, haga clic en Siguiente.

  12. En la página Especifique la configuración de pertenencia, en el campo Administradores de la aplicación de destino, incluya a todos los usuarios que tienen acceso para administrar la configuración de la aplicación de destino.

  13. Si la aplicación de destino es del tipo grupo, en el campo Miembros, incluya los grupos de usuarios que se asignarán a un conjunto de credenciales para esta aplicación de destino.

  14. Haga clic en Aceptar para terminar la configuración de la aplicación de destino.

Establecimiento de credenciales para una aplicación de destino

Después de crear una aplicación de destino, un administrador de esa aplicación puede establecer sus credenciales. Los Servicios de conectividad empresarial de Microsoft y otros servicios pueden usar estas credenciales para proporcionar acceso a un origen de datos externo. Si la aplicación de destino es de tipo Individual, se puede permitir a los usuarios individuales proporcionar sus propias credenciales.

Para establecer credenciales para una aplicación de destino

  1. Compruebe si tiene las siguientes credenciales administrativas:

    • Es necesario ser administrador de aplicación de servicio para la sesión del Servicio de almacenamiento seguro.

  2. En una sesión de la aplicación Servicio de almacenamiento seguro, elija el identificador de la aplicación de destino, haga clic en la flecha que aparece y, a continuación, en el menú, haga clic en Establecer credenciales.

    Si la aplicación de destino es del tipo Grupo, escriba las credenciales para el origen de datos externo. Los campos de configuración de las credenciales variarán de acuerdo con la información que el origen de datos externo requiera.

    Si la aplicación de destino es del tipo Individual, escriba el nombre de usuario del individuo que será asignado a un conjunto de credenciales en el origen de datos externo y escriba las credenciales para el origen de datos externo. Los campos de configuración de las credenciales variarán de acuerdo con la información que el origen de datos externo requiera.

Habilitación del registro de auditoría

Las entradas de auditoría para el Servicio de almacenamiento seguro se almacenan en la base de datos del Servicio de almacenamiento seguro. De manera predeterminada, el archivo de registro de auditoría está deshabilitado.

Una entrada de registro de auditoría almacena información acerca de una acción del Servicio de almacenamiento seguro, incluido el momento de la ejecución, si se realizó correctamente, el motivo por el que se produjo un error, el usuario del Servicio de almacenamiento seguro que la realizó y, opcionalmente, el usuario del Servicio de almacenamiento seguro en cuyo nombre se ha realizado la acción. Por lo tanto, una razón válida para habilitar un archivo de registro de auditoría es la solución de un problema de autenticación.

Nota

Si la base de datos del Servicio de almacenamiento seguro se establece como de solo lectura, se debe deshabilitar el archivo de registro de auditoría. En caso contrario, se mostrará el siguiente mensaje de error durante la autenticación: "No se puede completar la acción porque el servicio compartido de almacenamiento seguro no responde. Póngase en contacto con el administrador".

Para habilitar el registro de auditoría mediante Administración central

  1. Compruebe que la cuenta de usuario que está realizando este procedimiento pertenece al grupo de administradores del conjunto o granja de servidores de SharePoint.

  2. En Administración central, en la página principal, haga clic en Administración de aplicaciones.

  3. En la página Administración de aplicaciones, en la sección Aplicaciones de servicio, haga clic en Administrar aplicaciones de servicio.

  4. En la ficha Aplicación de servicio, haga clic en Almacenamiento seguro (el tipo debe estar asociado con la aplicación del Servicio de almacenamiento seguro).

  5. En la cinta de opciones, haga clic en Propiedades.

  6. En la sección Habilitar auditoría, haga clic para activar la casilla de verificación Registro de auditoría habilitado.

  7. Para cambiar el número de días que deben transcurrir para la depuración de las entradas del archivo de registro de auditoría, especifique un número de días en el campo Días hasta la purga. El valor predeterminado es 30 días.

  8. Haga clic en Aceptar.