Planejar o logon único
Atualizado em: 2009-04-23
Neste artigo:
Sobre o logon único
Cenários de SSO comuns
Arquitetura SSO do Office SharePoint Server
Planejar definições de SSO de nível de farm
Planejar configurações de definição de aplicativo empresarial
Planejar-se para operações de SSO
Planilhas
Use este artigo para planejar o uso do logon único (SSO) no Microsoft Office SharePoint Server 2007. Este artigo descreve como o SSO é configurado em um ambiente seguro, incluindo como usar o SSO para se conectar a sistemas de dados de back-end.
Sobre o logon único
O recurso SSO no Office SharePoint Server 2007 mapeia as credenciais do usuário para sistemas de dados de back-end. Usando o SSO, você pode acessar os dados de computadores servidores e serviços externos do Office SharePoint Server 2007. Nas Web Parts do Office SharePoint Server 2007, é possível exibir, criar e alterar esses dados. O recurso SSO garante que:
As credenciais do usuário sejam gerenciadas com segurança.
Os níveis de permissão do usuário configurados na fonte de dados externa sejam impostos.
Os usuários não sejam solicitados a redigitar as credenciais ao exibir dados de fontes externas no Office SharePoint Server 2007.
O Office SharePoint Server 2007 não pode se conectar a vários sistemas de dados externos, independentemente dos requisitos de plataforma e autenticação.
O SSO requer o uso das credenciais do Windows para contas de usuário. Em ambientes em que o SSO da Web é usado para autenticar contas de usuário, o SSO só pode ser usado se o thread atual que está invocando APIs (interfaces de programação de aplicativos) SSO tem uma identidade do Windows associada a ele.
Cenários de SSO comuns
O SSO é usado principalmente para cenários de business intelligence. No Office SharePoint Server 2007, muitos recursos dependem do SSO, incluindo estes:
Catálogo de Dados Corporativos
Serviços do Excel
InfoPath Forms Services
Web Parts de Dados Corporativos
Web Part do KPI
Microsoft Office SharePoint Designer Web Part de Formulário de Dados
Pesquisa de dados corporativos
Dados corporativos em listas
Além disso, você pode introduzir Web Parts personalizadas que se conectam a fontes de dados externas, incluindo aquelas baseadas em sistemas operacionais diferentes do Windows. Por exemplo, é possível se conectar aos seguintes aplicativos empresariais:
SAP Business Information Warehouse
Siebel eBusiness Applications
Microsoft BizTalk Server
Para obter mais informações sobre cenários de business intelligence, consulte Planejar business intelligence.
Arquitetura SSO do Office SharePoint Server
Esta seção descreve como o SSO é implementado no Office SharePoint Server 2007.
Serviço Logon Único da Microsoft
O recurso SSO no Office SharePoint Server 2007 usa o serviço Logon Único da Microsoft (SSOSrv). A figura a seguir mostra como o serviço Logon Único é implementado em um farm de servidores do Office SharePoint Server 2007.
.gif "Serviço de logon único em um farm de servidor")
Servidor de chave de criptografia SSO O primeiro computador servidor no qual o serviço Logon Único é habilitado se torna o servidor de chave de criptografia, que gera e armazena a chave de criptografia, que por sua vez é usada para criptografar e descriptografar as credenciais armazenadas no banco de dados SSO. O servidor de chave de criptografia deve ser um computador servidor de aplicativos, como o servidor de indexação.
Serviço Logon Único Este serviço precisa ser instalado em todos os computadores servidores Web do farm de servidores. Também precisa ser instalado em qualquer computador que esteja hospedando a função de servidor de aplicativos dos Serviços do Excel. Se for usada uma pesquisa no Catálogo de Dados Corporativos, o serviço precisará ser instalado no serviço de índice também.
Banco de dados SSO Quando você configura as definições de servidor SSO no site da Administração Central, o Office SharePoint Server 2007 cria um banco de dados SSO no computador servidor de banco de dados que hospeda o banco de dados de configuração. Se o Microsoft SQL Server estiver instalado, o banco de dados SSO será um banco de dados SQL Server. Se o Microsoft SQL Server não estiver instalado, o serviço Logon Único usará o SQL Server 2005 Express Edition. O banco de dados SSO armazena as credenciais criptografadas.
Dica
Se estiver atualizando de uma versão anterior do SharePoint Portal Server, você precisará recriar o ambiente SSO, incluindo a criação de um novo banco de dados SSO. O SSO não pode ser migrado ou atualizado para o Office SharePoint Server 2007.
Definições de aplicativos empresariais
Em um ambiente SSO, os sistemas e fontes de dados externos de back-end são denominados aplicativos empresariais. Após a configuração do ambiente SSO, você pode criar definições de aplicativos empresariais. Para cada aplicativo empresarial ao qual o Office SharePoint Server 2007 se conecta, há uma definição de aplicativo empresarial correspondente configurada por um administrador. Ou então, várias definições podem ser configuradas para o mesmo aplicativo empresarial físico proteger diferentes grupos que têm acesso.
Uma definição de aplicativo empresarial inclui:
A identidade do aplicativo empresarial (nome para exibição, nome programático e email para contato).
O tipo de contas de usuário que são mapeadas para os aplicativos empresariais. Isso depende de o aplicativo empresarial (ou, em alguns casos, a Web Part) impor permissões baseadas em contas individuais ou em contas de grupo.
O tipo de credenciais coletadas dos usuários (nome de usuário, senha ou outras credenciais, como um cartão inteligente).
A conta usada pelas Web Parts do Office SharePoint Server 2007 para se conectar com o aplicativo empresarial.
A funcionalidade de logon único permite cenários em que várias Web Parts acessam diferentes aplicativos empresariais, sendo que cada um deles usa um tipo diferente de autenticação. Os aplicativos empresariais também podem se basear em sistemas operacionais diferentes do Windows.
Tíquetes SSO
Em um ambiente empresarial em que um usuário interage com vários sistemas e aplicativos, é muito provável que o ambiente não mantenha o contexto do usuário através de vários processos, produtos e computadores. Esse contexto de usuário é crucial para fornecer recursos de logon único, porque é necessário para verificar quem iniciou a solicitação original. Em cenários em que vários servidores participam do repasse de credenciais do servidor de chave de criptografia para o aplicativo empresarial, o serviço Logon Único fornece um tíquete SSO (e não um tíquete Kerberos). Esses servidores usam esse tíquete para obter as credenciais que correspondem ao usuário que fez a solicitação original.
Por exemplo, um ambiente de folha de pagamento pode ser configurado para acessar dados em um sistema SAP através do BizTalk Server. Se uma Web Part estiver se conectando com o sistema SAP, as credenciais serão direcionadas através do computador BizTalk Server. Em um ambiente SSO, uma Web Part envia um tíquete SSO ao serviço no computador BizTalk Server que se conecta ao sistema SAP. Se o usuário pertencer a uma conta ou conta de grupo especificada na definição de aplicativo empresarial, o serviço resgatará o tíquete SSO para obter credenciais para o sistema SAP. Para que o serviço no computador BizTalk Server resgate os tíquetes SSO, a conta usada pelo serviço precisa ser adicionada ao grupo Administradores de SSO.
O serviço Logon Único emite um tíquete quando um usuário do Windows solicita um tíquete ou quando um aplicativo solicita um tíquete em nome de um usuário. Ele só pode ser emitido para o usuário que faz a solicitação (você não pode solicitar um tíquete para outros usuários). Um tíquete contém o domínio e nome de usuário criptografados do usuário atual, além do prazo de validade do tíquete.
Depois que um aplicativo empresarial verifica a identidade do solicitante original, o aplicativo resgata o tíquete para obter as credenciais do usuário que iniciou a solicitação. Os tíquetes expiram em dois minutos por padrão. Os administradores de SSO podem modificar o prazo de validade para tíquetes. O valor do tempo limite do tíquete precisa ser grande o suficiente para durar entre a hora em que o tíquete é emitido e a hora em que é resgatado.
Administração de SSO
A administração de SSO envolve dois tipos de administradores:
Administradores de SSO Definem e configuram o SSO, gerenciam contas de SSO e fazem backup da chave de criptografia, além de criá-la e alterá-la. Por questões de segurança, precisam fazer logon no servidor de chave de criptografia localmente para definir, configurar e gerenciar o SSO. São impedidos de gerenciar as configurações de servidor SSO de um computador servidor remoto.
Administradores de definição de aplicativo empresarial Criam e gerenciam definições de aplicativo empresarial, além de atualizar contas e credenciais usadas para acessar aplicativos empresariais. Podem gerenciar remotamente definições de aplicativo empresarial.
Contas e permissões específicas para administradores de SSO são detalhadas mais adiante neste artigo.
Dependências de rede
Em um farm de servidores do Office SharePoint Server 2007, o serviço Logon Único depende dos nomes NetBIOS para se comunicar entre o servidor de chave de criptografia e o computador servidor de banco de dados. Se a resolução de nomes NetBIOS não estiver disponível para o computador servidor de banco de dados, haverá falha na configuração de SSO.
Planejar definições de SSO de nível de farm
Esta seção descreve as opções de planejamento para definições de nível de farm. Entre as opções estão:
Decidir qual computador servidor hospedará a função de servidor de chave de criptografia de SSO.
Definir contas SSO e garantir que elas sejam criadas com as devidas permissões.
Registrar decisões para definições de nível de farm configuradas na página Gerenciar Definições de Servidor para Logon Único da Administração Central.
|
|---|
|
Servidor de chave de criptografia SSO
Determine qual computador no farm hospedará a função de servidor de chave de criptografia SSO. A configuração recomendada é selecionar um computador servidor de aplicativo, como o servidor de indexação, pelos seguintes motivos:
Todos os computadores servidores que executam o serviço Logon Único precisam ser capazes de se comunicar pela rede com o servidor de chave de criptografia. Ao usar um farm com vários computadores servidores Web, algumas tecnologias de balanceamento de carga não permitem que os servidores Web se comuniquem entre si.
Os computadores de servidor de aplicativo não são acessados diretamente pelos usuários finais e normalmente são protegidos por camadas adicionais de segurança. Por exemplo, protocolos de segurança como IPsec ou SSL em geral são implementados em uma comunicação segura entre servidores de um farm. Além disso, algumas topologias de farm implementam um roteador ou firewall adicional entre os computadores servidores Web e os computadores servidores de aplicativo.
O serviço Logon Único precisa ser instalado em quaisquer computadores servidores de aplicativos que hospedem a função de Serviços do Excel. Se for usada uma pesquisa do Catálogo de Dados Corporativos, o serviço Logon Único precisará ser instalado no servidor de indexação também. Esses requisitos tornam cada um desses computadores servidores uma ótima escolha para a função de servidor de chave de criptografia.
Verifique se os administradores de SSO podem fazer logon localmente no servidor de chave de criptografia. Além disso, verifique se as configurações de segurança do Internet Explorer não impedem a administração do SSO conferindo os seguintes itens:
Se a opção padrão, Logon automático somente na zona da intranet, está selecionada . (Para fazer isso, no menu Ferramentas, clique em Opções da Internet, clique em Segurança, clique no botão Nível Personalizado e na, caixa de diálogo Definições de Segurança, vá até a seção Autenticação do Usuário.)
Se o prompt para nome de usuário e senha não está selecionado.
Contas SSO
Há quatro contas diferentes necessárias para definir, executar e administrar o sistema SSO:
Conta de configuração SSO
Conta de administrador SSO
Conta de serviço SSO
Conta de administrador de aplicativo empresarial
Em um ambiente de avaliação, você pode usar a conta de farm de servidores para cada uma dessas contas. Entretanto, em um ambiente seguro, você deve considerar quais contas usa e como as configura. Esta seção detalha os requisitos de conta e oferece recomendações para configurar essas contas em um ambiente seguro.
As quatro contas necessárias para definir, executar e administrar o sistema SSO proporcionam uma separação de funções e isolamento de permissões. As tabelas a seguir listam as contas e descrevem as ações executadas usando essas contas.
| Conta | Descrição |
|---|---|
Conta de configuração SSO |
|
Conta de configuração SSO |
|
Conta de serviço SSO |
Executar o serviço Logon Único no Windows. |
Conta de administrador de aplicativo empresarial |
Criar, modificar ou excluir as definições de aplicativo empresarial no Office SharePoint Server 2007. |
| Conta | Requisitos |
|---|---|
Conta de configuração SSO |
|
Conta de configuração SSO |
|
Conta de serviço SSO |
|
Conta de administrador de aplicativo empresarial |
|
.gif "Observação")
Observação:
Em um ambiente seguro, a recomendação é configurar quatro contas distintas e usar uma conta de grupo, quando possível. Se estiver usando uma conta de usuário para a conta de configuração SSO, a conta de administrador SSO e a conta de serviço SSO, você precisará usar a mesma conta de usuário. A tabela a seguir oferece recomendações para configurar essas contas.
| Conta | Ambiente de avaliação | Ambiente seguro |
|---|---|---|
Conta de configuração SSO |
Conta de farm de servidores |
Use a conta de usuário individual de um administrador que é membro do grupo Administradores de Farm. |
Conta de administrador SSO |
Conta de farm de servidores |
Crie uma conta de grupo de domínio dedicada. Adicione os seguintes itens a esse grupo:
|
Conta de serviço SSO |
Conta de farm de servidores |
|
Conta de administrador de aplicativo empresarial |
Conta de farm de servidores |
Crie uma conta de grupo de domínio dedicada. Adicione a este grupo usuários que têm permissão para criar e gerenciar definições de aplicativo empresarial. |
A figura a seguir mostra a configuração segura recomendada para essas contas.
.gif "Recomendações para configuração de contas de logon único")
Configurações do banco de dados
As configurações do banco de dados são usadas para criar o banco de dados SSO e incluem:
Nome do servidor É o nome NetBIOS do computador servidor de banco de dados. Não informe o nome de domínio totalmente qualificado (FQDN).
Nome do banco de dados É o nome do banco de dados SSO.
A menos que você esteja criando bancos de dados com antecedência, a recomendação é manter as configurações padrão.
Definições de tempo limite
Entre as definições de tempo limite estão:
Tempo limite do tíquete (em minutos) Use para definir o número de minutos que podem decorrer antes de um tíquete SSO expirar. Verifique se o valor de tempo limite do tíquete é grande o suficiente para durar entre a hora em que o tíquete é emitido e a hora em que ele é resgatado pelo aplicativo empresarial. Dois minutos são a definição recomendada que permite um tempo prolongado para que os tíquetes sejam resgatados. Se os tíquetes não forem resgatados em dois minutos, talvez a causa seja um problema de rede ou outras falhas impedindo uma conexão entre os computadores.
Excluir registros de log de auditoria com mais de Use para definir o número de dias em que serão retidos os registros no log de auditoria antes da exclusão.
As definições de tempo limite padrão são os pontos de início recomendados.
Planejar configurações de definição de aplicativo empresarial
Esta seção descreve as opções de planejamento para definições de aplicativo empresarial.
| Ação da planilha |
|---|
Use a Planilha de definição de aplicativo empresarial de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x416) (em inglês) para registrar suas opções de planejamento. Preencha essa planilha para cada definição de aplicativo empresarial que você planeja adicionar. |
Depois de criar uma definição de aplicativo empresarial, você não pode modificar as seguintes propriedades:
Nome da definição de aplicativo empresarial
Tipo da conta (grupo ou indivíduo, grupo ou indivíduo autenticado do Windows ou grupo que usa uma conta restrita)
Campos de informações da conta de logon
Informações do aplicativo e de contato
Entre as informações do aplicativo e de contato estão as seguintes definições:
Nome para exibição O nome amigável para o aplicativo empresarial.
Nome do aplicativo O nome programático para o aplicativo empresarial. É o nome que as Web Parts usarão para chamar a definição de aplicativo empresarial.
Email para contato O endereço de email com o qual os usuários podem entrar em contato no aplicativo empresarial.
Tipo de conta
O tipo de conta se refere ao tipo de conta usado para mapear as credenciais do usuário para o aplicativo empresarial: seja uma conta individual ou uma conta de grupo. Se cada usuário tiver uma conta no aplicativo empresarial, escolha Individual. Se o aplicativo empresarial usar uma conta para todos os usuários, escolha Grupo.
Fique ciente de que a autorização de segurança pode ser executada pelo aplicativo empresarial ou pela Web Part que está se conectando a ele. O modo como a autorização de segurança é definido influencia o tipo de conta usado pelo aplicativo empresarial. Por exemplo, a autorização para acessar dados pessoais em um aplicativo de holerites pode ser definida por um destes dois métodos:
Os usuários têm suas próprias contas no sistema para acessar seu holerite. Nesse caso, as contas individuais são usadas pelo aplicativo empresarial.
A Web Part usada para acessar os dados dos holerites impõe a autorização da segurança. Nesse caso, a Web Part executa a autorização do usuário com base nas credenciais dele e o sistema de holerites usa uma conta de grupo para todos os usuários. Consequentemente, a definição de aplicativo empresarial para esse cenário usa uma conta de grupo.
Além disso, se uma conta de grupo for usada, a definição de aplicativo empresarial poderá ser configurada para que use uma conta privilegiada. Se você optar por uma conta privilegiada, as credenciais serão armazenadas separadamente das credenciais regulares e uma API diferente será usada para acessar as credenciais privilegiadas. As contas privilegiadas são usadas em cenários em que um aplicativo intermediário, como o Catálogo de Dados Corporativos, impõe maior filtragem de segurança nos dados recuperados com base nas credenciais.
Os aplicativos que usam credenciais restritas precisam executar mais autorização e filtragem de dados com base nos dados retornados usando credenciais privilegiadas. Os administradores de farm precisam garantir que todos os aplicativos que usem contas privilegiadas executem essa filtragem de autorização e dados de maneira uniforme. Caso contrário, se um aplicativo que não executa essa autorização e filtragem adicional tiver acesso a contas privilegiadas, o aplicativo poderá comprometer a segurança usando credenciais privilegiadas para acessar os dados que de outro modo seriam filtrados.
Escolha Grupo que usa conta privilegiada somente nestas circunstâncias:
A conta é uma conta de grupo.
O Catálogo de Dados Corporativos é usado para se conectar ao aplicativo empresarial.
O aplicativo intermediário que se conecta ao aplicativo empresarial está em conformidade com as condições de uso de uma conta privilegiada.
Os dados são altamente confidenciais.
Tipo de autenticação
O tipo de autenticação se refere ao método com que o servidor do Office SharePoint Server 2007 se conecta ao aplicativo empresarial: autenticação Windows ou sem autenticação. Essa autenticação se aplica somente às credenciais usadas pelo servidor que executa o Office SharePoint Server 2007 para fazer logon no aplicativo empresarial. A autenticação de credenciais de usuário não é afetada.
Se o aplicativo empresarial for hospedado em um computador que executa o Windows, selecione Autenticação Windows. Se for hospedado em um computador que não está executando o Windows, deixe esta definição em branco. Se a autenticação Windows não for usada, as credenciais de logon não serão criptografadas. Se você selecionar a autenticação Windows e o sistema de aplicativo empresarial não oferecer suporte à autenticação Windows, a conexão SSO falhará.
Informações de conta de logon para usuários
Os campos fornecidos para informações de conta de logon determinam quais informações são necessárias para fazer logon. Por padrão, somente o nome de usuário e senha são especificados. Você pode especificar até cinco informações diferentes que precisam ser incluídas. Por exemplo, é possível requerer um nome de servidor SAP ou um número de cliente SAP. Os usuários são solicitados a informar as credenciais sob estas circunstâncias:
A autenticação falha ou as credenciais não são encontradas.
A Web Part é programada para solicitar as credenciais dos usuários.
As informações de conta de logon são usadas para definições de aplicativo empresarial que usam contas individuais. Solicitar informações de conta de logon não é recomendável para definições de aplicativo empresarial que usam contas de grupo.
As informações de conta de logon configuradas nesse ponto precisam corresponder aos requisitos de logon para o aplicativo empresarial. Além disso, você também precisa determinar se o sistema precisa mascarar essas credenciais à medida que o usuário as fornece.
Normalmente, apenas um nome de usuário e senha são necessários. Alguns ambientes altamente seguros podem exigir identificação adicional do usuário. Além disso, alguns sistemas podem exigir informações adicionais dos usuários para identificar o aplicativo. Por exemplo, para acessar o banco de dados Oracle, os usuários podem digitar as informações mostradas na tabela a seguir.
| Neste campo | Digite estas informações |
|---|---|
Campo 1 |
Nome de usuário Oracle |
Campo 2 |
Senha do usuário Oracle (selecione Sim para a opção Mascarar) |
Campo 3 |
Nome do banco de dados Oracle |
Para acessar o aplicativo SAP, os usuários podem digitar as informações mostradas na tabela a seguir.
| Neste campo | Digite estas informações |
|---|---|
Campo 1 |
Nome de usuário SAP |
Campo 2 |
Senha SAP (selecione Sim para a opção Mascarar) |
Campo 3 |
Número de sistema SAP |
Campo 4 |
Número de cliente SAP |
Campo 5 |
Idioma |
Informações de conta para o aplicativo empresarial
Se você estiver usando uma conta de grupo para se conectar ao aplicativo empresarial, será necessário fornecer as credenciais da conta. Depois de adicionar uma definição de aplicativo empresarial, um administrador SSO ou membro da conta de administrador de aplicativo empresarial especifica o nome da conta e senha usados para se conectar ao computador servidor externo clicando em Gerenciar Informações de Conta de uma Definição de Aplicativo de Negócios no site da Administração Central.
| Ação da planilha |
|---|
Use a Planilha de definição de aplicativo empresarial de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x416) (em inglês) para registrar o nome da conta de grupo. |
O administrador que digita as informações de conta no site da Administração Central também precisa saber a senha da conta de grupo.
Se você estiver usando contas individuais para se conectar ao aplicativo empresarial, não precisará digitar as informações de conta no site da Administração Central.
Planejar-se para operações de SSO
Gerenciando a chave de criptografia
A chave de criptografia é usada como parte do processo de criptografia para credenciais usadas com o SSO. A chave ajuda a descriptografar credenciais armazenadas no banco de dados SSO. Na primeira vez em que você configura o SSO e as definições de aplicativo empresarial na página Gerenciar Definições de Logon Único da Administração Central, a chave de criptografia é criada automaticamente. O gerenciamento da chave inclui sua auditoria e criptografia.
Auditando a chave de criptografia
Você pode habilitar a auditoria das alterações feitas na chave de criptografia. Se a chave for lida ou gravada, um evento de segurança será registrado no log de segurança, que pode ser exibido usando o Visualizador de Eventos. A habilitação do log envolve:
Modificar uma chave do Registro de SSO.
Criar uma diretiva de computador local no Editor de Objeto de Diretiva de Grupo.
Regenerando a chave de criptografia
Como a chave de criptografia protege as credenciais de segurança, você deve regenerá-la periodicamente, por exemplo a cada 90 dias. Também será necessário regenerar a chave de criptografia se as credenciais ficarem comprometidas.
O processo de nova criptografia é uma operação demorada. É recomendável alterar a chave de criptografia durante períodos fora de pico. O processo de nova criptografia da chave tem o seguinte impacto no ambiente de SSO:
Durante o processo de nova criptografia, não são permitidas operações de gravação como atualização de credenciais e alteração de definições de aplicativo empresarial.
Operações de leitura como recuperação de credenciais continuam funcionando normalmente.
Você precisa estar conectado ao servidor de chave de criptografia localmente para permitir a nova criptografia da chave. Também precisa ser membro da conta de administrador SSO.
Se o servidor de chave de criptografia for reiniciado ou o serviço Logon Único for interrompido no servidor de chave de criptografia durante o processo de nova criptografia, você deverá analisar no log de eventos se há erros. Se for relatado um erro, será necessário reiniciar o processo de nova criptografia. Se esse processo for bloqueado de alguma maneira, ele terá de ser executado novamente e será revertido para o estado original.
Ao criar uma chave de criptografia, você pode optar por uma nova criptografia das credenciais existentes com a nova chave. Se você não criptografar novamente as credenciais existentes com a nova chave, os usuários deverão digitar novamente suas credenciais para definições de aplicativo empresarial individuais e os administradores deverão digitar novamente as credenciais de grupo para definições de aplicativo empresarial de grupo.
Quando você criptografa novamente o armazenamento de credenciais do serviço Logon Único, os eventos são registrados no log de eventos de aplicativos do Microsoft Windows Server 2003. Após o início da nova criptografia, você pode monitorar o log de eventos de aplicativos para verificar se o armazenamento de credenciais foi criptografado novamente. A ID de Evento 1032 é registrada no log de eventos de aplicativos quando a nova criptografia é iniciada. A ID de Evento 1033 é registrada no log de eventos de aplicativos quando a nova criptografia foi encerrada. Se houver alguma falha durante a nova criptografia, será registrado um evento no log.
Ao decidir suas opções de planejamento para gerenciar a chave de criptografia, considere estes aspectos:
Em que intervalo você planeja criptografar novamente a chave?
As credenciais existentes devem ser novamente criptografadas com a nova chave ao mesmo tempo?
Sob quais outras circunstâncias a chave será criptografada novamente?
| Ação da planilha |
|---|
Use a Planilha de definições de farm de servidores de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x416) (em inglês) para registrar suas opções de planejamento. |
Fazendo backup do ambiente SSO
O backup do ambiente SSO envolve o backup das duas entidades separadas a seguir:
Chave de criptografia
Banco de dados SSO
Você deverá fazer backup da chave de criptografia depois de inicialmente definir o SSO e fazer backup da chave novamente sempre que ela for regenerada. Não é necessário fazer backup da chave em um intervalo regular, a menos que o intervalo esteja vinculado à regeneração da chave. Não é possível fazer backup remoto da chave de criptografia. Você precisa ser membro da conta de administrador SSO e estar conectado ao servidor de chave de criptografia localmente para fazer backup da chave. Só é possível fazer backup dela em uma mídia removível. Não é possível fazer seu backup em um disco rígido local. Para fazer backup da chave de criptografia, acesse a página Gerenciar Chave de Criptografia na Administração Central.
Você deve fazer backup do banco de dados SSO depois de ele ser inicialmente criado e sempre que as credenciais forem criptografadas novamente. Além disso, pode incluir backups de banco de dados SSO com os backups de banco de dados agendados regularmente para o farm de servidores. Os backups agendados regularmente incluirão outras alterações no banco de dados SSO, como novas definições de aplicativo empresarial e credenciais atualizadas.
Não armazene a mídia de backup para a chave de criptografia no mesmo local da mídia de backup para o banco de dados SSO. Se um usuário obtiver uma cópia do banco de dados e da chave, as credenciais armazenadas no banco de dados poderão ser comprometidas. O ideal é que o backup da chave de criptografia seja bloqueado em local seguro.
Ao decidir suas opções de planejamento para fazer backup do ambiente SSO, considere estes aspectos:
Intervalo para fazer backup da chave de criptografia.
Plano para fazer backup do banco de dados SSO. O plano mais eficiente é incluir o banco de dados SSO juntamente com seus backups de farm regulares.
| Ação da planilha |
|---|
Use a Planilha de definições de farm de servidores de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x416) (em inglês) para registrar suas opções de planejamento. |
Restaurando o ambiente SSO
Há vários cenários que exigem a restauração do ambiente SSO. Em alguns casos, você precisa restaurar somente a chave de criptografia ou somente o banco de dados SSO. A tabela a seguir descreve vários cenários de restauração e indica o que precisa ser restaurado.
| Cenário | O que restaurar |
|---|---|
Mover a função de servidor de chave de criptografia para um computador servidor diferente. |
Chave de criptografia |
Alterar a conta de serviço SSO. |
Chave de criptografia |
Restaurar para o computador servidor de banco de dados com falha. |
Banco de dados SSO |
Migrar o farm do Office SharePoint Server 2007 para um conjunto diferente de computadores servidores. |
Chave de criptografia e banco de dados SSO |
Recuperar de um desastre em todo o farm. |
Chave de criptografia e banco de dados SSO |
O restante desta seção descreve as tarefas específicas envolvidas na restauração do ambiente SSO, dependendo do cenário.
Para mover a função de servidor de chave de criptografia para um computador servidor diferente, siga estas etapas:
Mover a função de servidor de chave de criptografia para um computador servidor diferente
Faça backup da chave de criptografia.
Desabilite o serviço Logon Único em todos os computadores do farm.
Faça logon no novo servidor de chave de criptografia.
Inicie o serviço Logon Único.
Configure as definições de nível de farm SSO no site da Administração Central. Especifique o banco de dados SSO existente.
Restaure a chave de criptografia.
Inicie o serviço Logon Único em todos os computadores servidores Web do farm.
Alterar a conta de serviço SSO
A ID de segurança (SID) da conta de serviço SSO é usada como parte da fórmula para criptografar credenciais SSO. Consequentemente, para alterar a conta de serviço SSO, você precisa reconfigurar o ambiente SSO. Use as seguintes etapas para alterar a conta de serviço SSO:
Alterar a conta de serviço SSO
Faça backup da chave de criptografia.
Em todos os computadores servidores do farm que estão executando o serviço Logon Único, reconfigure o serviço com a nova conta de serviço.
Reconfigure as definições de nível de farm SSO no site da Administração Central com a nova conta de serviço SSO. Especifique o banco de dados SSO existente.
Restaure a chave de criptografia.
Criptografe novamente as credenciais no banco de dados SSO. A chave de criptografia restaurada é usada para criptografar novamente as credenciais.
Restaurar somente o servidor de banco de dados SSO
Se o computador servidor que hospeda o banco de dados SSO falhar, você precisará restaurar somente o banco de dados SSO. Restaure o banco de dados usando o mesmo método que usaria para restaurar quaisquer outros bancos de dados no ambiente Office SharePoint Server 2007. Se você restaurar o banco de dados SSO para um computador servidor diferente, reconfigure as definições de nível de farm SSO com o nome do novo computador servidor de banco de dados.
Restaurar todo o ambiente SSO
Há vários cenários que exigem a restauração tanto da chave de criptografia quanto do banco de dados SSO. Siga estas etapas para restaurar todo o ambiente SSO:
Restaurar todo o ambiente SSO
Restaure o banco de dados SSO para o computador servidor de banco de dados desejado.
Defina e configure o SSO como se estivesse configurando um novo ambiente SSO, com a exceção de digitar o nome do serviço e o nome do banco de dados SSO existente.
Restaure a chave de criptografia para o novo ambiente SSO.
Respondendo a um comprometimento da segurança SSO
Um comprometimento da segurança pode incluir perda de mídia de backup, vazamento de senhas ou outro evento com potencial de comprometer as credenciais armazenadas no banco de dados SSO ou os dados armazenados nos aplicativos empresariais. Se você passar por uma situação de comprometimento da segurança com potencial de prejudicar o ambiente SSO, siga este procedimento para responder ao comprometimento:
Responder a um comprometimento da segurança
Regenere a chave de criptografia.
Criptografe novamente as credenciais no banco de dados SSO (a nova chave de criptografia é usada).
Altere as senhas dos aplicativos empresariais se houver a possibilidade de comprometimento das senhas.
Incentive os usuários a alterar suas senhas se houver a possibilidade de comprometimento delas.
Se o comprometimento da segurança for possivelmente grave, você poderá parar o serviço Logon Único para suspender imediatamente o acesso às credenciais armazenadas no banco de dados SSO. Se você precisar parar o serviço Logon Único, poderá restaurar com segurança o serviço no farm de servidores do Office SharePoint Server 2007 existente seguindo estas etapas:
Restaurar o serviço Logon Único no farm de servidores existente
Restaure o ambiente SSO em um computador servidor isolado.
Regenere a chave de criptografia.
Criptografe novamente as credenciais no banco de dados SSO.
Faça backup do ambiente SSO.
Restaure o ambiente SSO no farm de servidores do Office SharePoint Server 2007 existente.
Planilhas
Use as seguintes planilhas para se planejar para o logon único:
Planilha de definição de aplicativo empresarial de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73335\&clcid=0x416) (em inglês)
Planilha de definições de farm de servidores de logon único (em inglês) (https://go.microsoft.com/fwlink/?linkid=73336\&clcid=0x416) (em inglês)
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.