Configurar el Servicio de almacenamiento seguro en SharePoint 2013

 

Se aplica a:SharePoint Server 2013 Enterprise

Última modificación del tema:2015-03-09

Resumen: configure el almacenamiento de las credenciales de autorización en el Servicio de almacenamiento seguro en una granja de SharePoint Server 2013. Incluye una demostración en vídeo.

En este artículo se describe cómo configurar el Servicio de almacenamiento seguro en una granja de SharePoint Server 2013. Almacén seguro tiene importantes consideraciones de planeamiento asociadas. Asegúrese de leer Planear el Servicio de almacenamiento seguro en SharePoint Server 2013 antes de comenzar con los procedimientos de este artículo.

En este artículo:

Este vídeo muestra los pasos necesarios para configurar una aplicación de servicio de Aplicación de servicio de Servicio de almacenamiento seguro en SharePoint Server 2013, como se describe en este artículo.

Vídeo: Configurar el Servicio de almacenamiento seguro en SharePoint 2013

Icono Vídeo (botón de reproducción)

Para configurar el almacenamiento seguro, realice los siguientes pasos:

  1. Registre una cuenta administrada en SharePoint Server 2013 para ejecutar el grupo de aplicaciones de almacenamiento seguro.

  2. Inicie Servicio de almacenamiento seguro en un servidor de aplicaciones de la granja.

  3. Cree una Aplicación de servicio de Servicio de almacenamiento seguro.

Para ejecutar el grupo de aplicaciones, debe tener una cuenta de dominio estándar. No se requieren permisos específicos para esta cuenta. Una vez que haya creado la cuenta en Active Directory, realice los siguientes pasos para registrarla enSharePoint Server 2013.

Para registrar una cuenta administrada:
  1. En la página principal del sitio web de Administración central de SharePoint, en la navegación izquierda, haga clic en Seguridad.

  2. En la página Seguridad, dentro de la sección Seguridad general, haga clic en Configurar cuentas administradas.

  3. En la página Cuentas administradas, haga clic en Registrar una cuenta administrada.

  4. En el cuadro Nombre de usuario, escriba el nombre de la cuenta.

  5. En el cuadro Contraseña, escriba la contraseña de la cuenta.

  6. Si desea que SharePoint Server 2013 administre el cambio de contraseña de la cuenta, active la casilla Habilitar el cambio de contraseña automático y especifique los parámetros de cambio de contraseña que desea usar.

  7. Haga clic en Aceptar.

Una vez que haya configurado la cuenta registrada, debe iniciar el Servicio de almacenamiento seguro en un servidor de aplicaciones de la granja. El almacenamiento seguro administra información confidencial, por lo que le recomendamos que use un servidor de aplicaciones independiente y exclusivo para el Servicio de almacenamiento seguro, con el fin de mejorar la seguridad.

Para iniciar el Servicio de almacenamiento seguro
  1. En la página principal de Administración central, en la sección Configuración del sistema, haga clic en Administrar servicios en el servidor.

  2. Encima de la lista Servicio, haga clic en la lista desplegable Servidor y, a continuación, haga clic en Cambiar servidor.

  3. Seleccione el servidor de aplicaciones donde desea que se ejecute el Servicio de almacenamiento seguro.

  4. En la lista Servicio, haga clic en Iniciar junto a Servicio de almacenamiento seguro.

Una vez iniciado el servicio, debe crear una Aplicación de servicio de Servicio de almacenamiento seguro. Lleve a cabo el siguiente procedimiento para crear la aplicación de servicio.

Para crear una aplicación de servicio del Servicio de almacenamiento seguro
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. En la página Administrar aplicaciones de servicio, haga clic en Nuevo y, a continuación, en Servicio de almacenamiento seguro.

  3. En el cuadro Nombre de aplicación de servicio, escriba un nombre para la aplicación de servicio (por ejemplo, Servicio de almacenamiento seguro).

  4. En el cuadro Servidor de bases de datos, escriba la sesión de SQL Server donde desea crear la base de datos de almacenamiento seguro.

    NotaNota:
    La base de datos de almacenamiento seguro contiene información confidencial, por lo que le recomendamos que implemente la base de datos de almacenamiento seguro en una sesión de SQL Server diferente del resto de las SharePoint Server 2013.
  5. Seleccione la opción Crear nuevo grupo de aplicaciones y escriba un nombre para el grupo de aplicaciones en el cuadro de texto.

  6. Seleccione la opción Configurable y, en la lista desplegable, elija la cuenta para la que antes creó la cuenta administrada.

  7. Haga clic en Aceptar.

Se configuró el Servicio de almacenamiento seguro. El siguiente paso es generar una clave de cifrado para cifrar la base de datos de almacenamiento seguro.

Antes de usar el Servicio de almacenamiento seguro, debe generar una clave de cifrado. Esta clave se usa para cifrar y descifrar las credenciales almacenadas en la base de datos del Servicio de almacenamiento seguro.

La primera vez que obtiene acceso a la aplicación de Servicio de almacenamiento seguro, su única opción es generar una clave de cifrado nueva. Cuando la haya generado, estará disponible el resto de las funciones de almacenamiento seguro.

Para generar una nueva clave de cifrado
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. Haga clic en la aplicación de Servicio de almacenamiento seguro.

  3. En el grupo Administración de claves, haga clic en Generar nueva clave.

  4. En la página Generar nueva clave, escriba una cadena de frase de contraseña en el cuadro Frase de contraseña y escriba la misma cadena en el cuadro Confirmar frase de contraseña. Esta frase de contraseña se usa para cifrar la base de datos de almacenamiento seguro.

    ImportanteImportante:
    La cadena de una frase de contraseña debe tener al menos ocho caracteres y al menos tres de los cuatro elementos siguientes:
    • Caracteres en mayúsculas

    • Caracteres en minúsculas

    • Números

    • Cualquiera de los siguientes caracteres especiales

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    ImportanteImportante:
    La frase de contraseña que escriba no se almacenará. Asegúrese de anotarla y guardarla en un lugar seguro: la necesitará para actualizar la clave, por ejemplo, cuando agregue un nuevo servidor de aplicaciones a la granja de servidores.
  5. Haga clic en Aceptar.

Por razones de seguridad o como parte del mantenimiento periódico, puede decidir generar una nueva clave de cifrado; también puede forzar al Servicio de almacenamiento seguro para que vuelva a cifrarse con la clave nueva. Puede usar este mismo procedimiento para hacerlo.

PrecauciónPrecaución:
Debe realizar una copia de seguridad de la base de datos de la aplicación de Servicio de almacenamiento seguro antes de generar una clave nueva.

Si actualiza la clave de cifrado, esta se propaga a todos los servidores de aplicaciones de la granja. Tal vez tenga que actualizar la clave de cifrado si se presenta alguna de las siguientes situaciones:

  • Agrega un nuevo servidor de aplicaciones a la granja de servidores.

  • Restaura la copia de seguridad de una base de datos del Servicio de almacenamiento seguro que realizó previamente, y cambió la clave de cifrado después de hacer la copia.

  • Recibe el mensaje de error “No se puede obtener la clave maestra”.

  • Actualizó su granja desde SharePoint Server 2010.

Para actualizar la clave de cifrado
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. Haga clic en la aplicación de Servicio de almacenamiento seguro.

  3. En el grupo Administración de claves, haga clic en Actualizar clave.

  4. En el cuadro Frase de contraseña, escriba la frase de contraseña que utilizó primero para generar la clave de cifrado.

    Es la frase de contraseña que utilizó cuando inicializó la aplicación de servicio del Servicio de almacenamiento seguro, o la que usó cuando creó una nueva clave a través del comando Generar nueva clave.

  5. Haga clic en Aceptar.

El almacenamiento de credenciales en un almacenamiento seguro se logra mediante una aplicación de destino de almacenamiento seguro. Una aplicación de destino asigna las credenciales de un usuario, un grupo o una notificación a un conjunto de credenciales cifradas almacenadas en la base de datos de almacenamiento seguro. Una vez creada una aplicación de destino, puede asociarla a un tipo de contenido o modelo de aplicación externo, o bien usarla con una aplicación de servicio de inteligencia empresarial como Servicios de Excel o Servicios de Visio, para proporcionar acceso a un origen de datos externo. Cuando una aplicación de servicio de SharePoint Server 2013 llama a la aplicación de destino, el almacenamiento seguro confirma que el usuario que realiza la solicitud es un usuario autorizado de la aplicación de destino y, entonces, recupera las credenciales cifradas. Luego, la aplicación de servicio SharePoint Server 2013 usa estas credenciales en nombre del usuario.

Para crear una aplicación de destino, debe hacer lo siguiente:

  1. Cree la aplicación de destino propiamente dicha, especificando el tipo de credenciales que desea almacenar en la base de datos de almacenamiento seguro, los administradores de la aplicación de destino y los propietarios de las credenciales.

  2. Especifique las credenciales que desea almacenar.

Las aplicaciones de destino se configuran en la página Aplicación de servicio de almacenamiento seguro en Administración central. Lleve a cabo el siguiente procedimiento para crear una aplicación de destino.

Para crear una aplicación de destino
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. Haga clic en la aplicación de Servicio de almacenamiento seguro.

  3. En el grupo Administrar aplicaciones de destino, haga clic en Nueva.

  4. En el cuadro Id. de la aplicación de destino, escriba una cadena de texto.

    Esa es la cadena exclusiva que usará externamente para identificar a esta aplicación de destino.

  5. En el cuadro Nombre para mostrar, escriba una cadena de texto que se usará para mostrar el identificador de la aplicación de destino en la interfaz de usuario.

  6. En el cuadro Dirección de correo electrónico del contacto, escriba la dirección de correo electrónico del contacto principal de esta aplicación de destino.

    Puede ser cualquier dirección de correo electrónico legítima, y no es necesario que sea la identidad de un administrador de la aplicación de Servicio de almacenamiento seguro.

  7. Cuando se crea una aplicación de destino de tipo Individual (véase a continuación), se puede implementar una página web personalizada que permita a los usuarios agregar credenciales individuales para el origen de datos de destino. Esto requiere un código personalizado para pasar las credenciales a la aplicación de destino. Si ya efectuó este paso, escriba la dirección URL completa de esta página en el campo Dirección URL de la página de la aplicación de destino. Hay tres opciones:

    • Usar la página predeterminada: a cualquier sitio web que use la aplicación de destino para tener acceso a datos externos se le agrega automáticamente una página de registro individual. La dirección URL de esta página es http:/<sitio de ejemplo>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<identificador de aplicación de destino>, donde <identificador de aplicación de destino> es la cadena escrita en el cuadro Id. de aplicación de destino. Puede comunicar al público la ubicación de esta página para permitir que los usuarios agreguen sus credenciales del origen de datos externo.

    • Usar página personalizada: se proporciona una página personalizada que permite a los usuarios proporcionar credenciales individuales. Escriba en este campo la dirección URL de la página personalizada.

    • Ninguna: no hay página de registro. Las credenciales individuales las agrega solamente un administrador del Servicio de almacenamiento seguro que utilice la aplicación de Servicio de almacenamiento seguro.

  8. En la lista desplegable Tipo de aplicación de destino, elija el tipo de aplicación de destino: Grupo, para credenciales de grupo, o Individual, si se asignará cada usuario a un conjunto único de credenciales en el origen de datos externo.

    NotaNota:
    Hay dos tipos principales de creación de una aplicación de destino:
    • Grupo, para asignar todos los miembros de un grupo o más grupos a un solo conjunto de credenciales en el origen de datos externo.

    • Individual, para asignar cada usuario a un conjunto único de credenciales en el origen de datos externo.

  9. Haga clic en Siguiente.

  10. Use la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro para configurar los diversos campos de los que se puede requerir que proporcionen las credenciales al origen de datos externo. De forma predeterminada, se incluyen dos campos: Nombre de usuario de Windows y Contraseña de Windows.

    Para agregar un campo adicional con el fin de proporcionar credenciales al origen de datos externo, en la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro, haga clic en Agregar campo.

    De forma predeterminada, el tipo del nuevo campo es Genérico. Se encuentran disponibles los siguientes tipos de campo:

     

    Campo Descripción

    Genérico

    Valores que no se ajustan a ninguna de las otras categorías

    Nombre de usuario

    Cuenta de usuario que identifica al usuario

    Contraseña

    Palabra o frase secreta

    PIN

    Número de identificación personal

    Clave

    Parámetro que determina el resultado funcional de un cifrado o algoritmo de cifrado

    Nombre de usuario de Windows

    Cuenta de usuario de Windows que identifica al usuario

    Contraseña de Windows

    Palabra o frase secreta de una cuenta de Windows

    Certificado

    Un certificado

    Contraseña de certificado

    La contraseña del certificado

    • Para cambiar el tipo de un campo nuevo o existente, haga clic en la flecha que aparece al lado del tipo de campo y, a continuación, seleccione el nuevo tipo de campo.

      NotaNota:
      Todo campo que se agregue deberá contener datos obligatoriamente cuando configure las credenciales para esta aplicación de destino.
    • Puede cambiar el nombre que ve un usuario cuando interactúa con un campo. En la columna Nombre de campo de la página Especifique los campos de credenciales para la aplicación de destino almacenamiento seguro, para modificar un nombre de campo, seleccione el texto actual y escriba otro texto.

    • Cuando un campo está enmascarado, los caracteres que escribe el usuario no se muestran, sino que aparecen reemplazados por caracteres que actúan como máscara, como el asterisco (“*”). Para enmascarar un campo, haga clic en la casilla que corresponde a ese campo en la columna Enmascarado de la página.

    • Para eliminar un campo, haga clic en el icono de eliminación de ese campo en la columna Eliminar de la página.

    Cuando haya terminado de modificar los campos de credenciales, haga clic en Siguiente.

  11. En la página Especifique la configuración de pertenencia, en el campo Administradores de la aplicación de destino, incluya a todos los usuarios que tienen acceso para administrar la configuración de la aplicación de destino.

  12. Si la aplicación de destino es del tipo Grupo, en el campo Miembros, incluya los grupos de usuarios que se asignarán a un conjunto de credenciales para esta aplicación de destino.

  13. Haga clic en Aceptar para terminar de configurar la aplicación de destino.

Después de crear una aplicación de destino, un administrador de esa aplicación puede establecer sus credenciales. La aplicación que llama usa estas credenciales para proporcionar acceso a un origen de datos externo. Si la aplicación de destino es de tipo Individual, se puede permitir a los usuarios individuales que proporcionen sus propias credenciales.

Para establecer credenciales para una aplicación de destino
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. Haga clic en la aplicación de Servicio de almacenamiento seguro.

  3. En la lista de aplicaciones de destino, elija la aplicación de destino para la que desea establecer credenciales, haga clic en la flecha que aparece y, a continuación, en el menú, haga clic en Establecer credenciales.

    Si la aplicación de destino es del tipo Grupo, escriba las credenciales para el origen de datos externo. Los campos de configuración de las credenciales variarán de acuerdo con la información que requiera el origen de datos externo.

    Si la aplicación de destino es del tipo Individual, escriba el nombre de usuario del individuo que se asignará a este conjunto de credenciales en el origen de datos externo, y escriba las credenciales para el origen de datos externo. Los campos de configuración de las credenciales variarán de acuerdo con la información que requiera el origen de datos externo.

  4. Haga clic en Aceptar.

Una vez que haya establecido las credenciales para la aplicación de destino, estará lista para que la utilice un servicio de SharePoint Server 2013 como Servicios de conectividad empresarial o Servicios de Excel.

Las entradas de auditoría del Servicio de almacenamiento seguro se almacenan en la base de datos del Servicio de almacenamiento seguro. De manera predeterminada, el archivo de registro de auditoría está deshabilitado.

Una entrada de registro de auditoría almacena información acerca de una acción del Servicio de almacenamiento seguro, como el momento de la ejecución, si se realizó correctamente, el motivo por el que se produjo un error, el usuario del Servicio de almacenamiento seguro que la realizó y, si se desea, el usuario del Servicio de almacenamiento seguro en cuyo nombre se realizó la acción. Por lo tanto, una razón válida para habilitar un archivo de registro de auditoría sería solucionar un problema de autenticación.

Para habilitar el registro de auditoría mediante Administración central
  1. En la página principal de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  2. Seleccione la Aplicación de Servicio de almacenamiento seguro. (Es decir, seleccione la aplicación de servicio, pero no haga clic en el vínculo para ir a la página de configuración de la aplicación de Servicio de almacenamiento seguro).

  3. En la cinta de opciones, haga clic en Propiedades.

  4. En la sección Habilitar auditoría, haga clic para activar la casilla Registro de auditoría habilitado.

  5. Para cambiar el número de días que deben transcurrir para la depuración de las entradas del archivo de registro de auditoría, especifique un número de días en el campo Días hasta la purga. El valor predeterminado es 30 días.

  6. Haga clic en Aceptar.

En este vídeo, se muestran los pasos necesarios para configurar una aplicación de Servicio de almacenamiento seguro.

NotaNota:
En este vídeo, se utiliza SharePoint Server 2010. Las aplicaciones de destino funcionan del mismo modo en SharePoint Server 2013.

Vídeo: Cómo se usan las aplicaciones de destino en el almacenamiento seguro

Icono Vídeo (botón de reproducción)

Mostrar: