Configurar logon único (Office SharePoint Server)
Atualizado em: 2009-03-26
Logon Único (SSO) é um recurso do Microsoft Office SharePoint Server que fornece armazenamento e mapeamento de credenciais como, por exemplo, nomes de contas e senhas. Com o SSO, os aplicativos baseados em portal podem recuperar informações de aplicativos de terceiros e sistemas back-end; por exemplo, sistemas ERP (Enterprise Resource Planning) e CRM (Customer Relations Management).
O uso da funcionalidade de logon único permite que os usuários se autentiquem uma única vez quando acessam aplicativos baseados em sites de portal, os quais precisam obter informações de outros aplicativos e sistemas empresariais.
A configuração do logon único consiste em cinco tarefas:
Configurar e iniciar o serviço Logon Único da Microsoft
Configurar o Logon Único para o Office SharePoint Server 2007
Gerenciar a chave de criptografia
Gerenciar definições de aplicativos empresariais
Gerenciar informações da conta para uma definição de aplicativo de negócios
Observe que é preciso estar conectado ao site Administração Central do SharePoint, em um servidor do farm, para configurar o logon único (SSO) para o Office SharePoint Server 2007. Se tentar configurar o SSO em uma estação de trabalho ou em qualquer outro computador que não seja um servidor do farm, você receberá esta mensagem de erro: "Não é possível configurar o logon único neste servidor. Para configurá-lo, vá para o computador que está executando o serviço Single Sign-on e especifique essas definições localmente."
Siga o procedimento das seções a seguir para configurar o SSO no seu ambiente Office SharePoint Server 2007.
Configurar e iniciar o serviço Logon Único da Microsoft
Para usar o logon único, o serviço Logon Único da Microsoft (SSOSrv) deve estar instalado em todos os servidores Web front-end Microsoft Windows do farm. O SSOSrv também deve estar instalado em todos os servidores com Serviços do Excel em execução. Se a pesquisa Catálogo de Dados Corporativos for utilizada, o SSOSrv também deverá estar instalado no servidor de indexação.
O SSOSrv foi configurado com o console Serviços. Durante a configuração do serviço, uma conta de logon será exigida. A conta de logon deve atender a todos estes critérios:
Deve ser uma conta de usuário de domínio e não pode ser uma conta de grupo.
Deve ser uma conta de farm do Office SharePoint Server.
Deve ser membro do grupo local Administradores, no servidor de chave de criptografia. (O servidor de chave de criptografia é o primeiro servidor em que o SSOSrv deve ser iniciado.)
Deve ser membro da função Administradores de Segurança e da função db_creator no computador que executa o Microsoft SQL Server.
Deve ser igual à conta do administrador de logon único ou um membro da conta de grupo que é a conta do administrador do logon único.
Configurar e iniciar o serviço Logon Único da Microsoft
No servidor, clique em Iniciar, Painel de Controle, Ferramentas Administrativas e então clique em Gerenciamento do Computador.
No console Gerenciamento do Computador, expanda Serviços e Aplicativos e clique em Serviços.
Clique com o botão direito do mouse em Serviço de Logon Único da Microsoft e selecione Propriedades.
Na guia Geral, altere o Tipo de inicialização para Automático.
Na guia Geral, em Status do Serviço, clique em Iniciar.
Clique em OK para salvar as alterações e fechar a janela Propriedades.
Repita as etapas 1 a 6 para cada servidor de aplicativos do farm.
Configurar o Logon Único para o Office SharePoint Server 2007
O gerenciamento de definições do servidor para logon único inclui a especificação das contas de administrador apropriadas, do servidor de banco de dados de logon único e do nome do servidor, bem como as definições de tempo limite e log de auditoria.
Dica
Você deve abrir a Administração Central no computador que executa o Office SharePoint Server 2007 para gerenciar as configurações de servidor de logon único.
Configurar o SSO para o Office SharePoint Server 2007
Na Administração Central, na barra de navegação superior, clique em Operações.
Na página Operações, na seção Configuração de Segurança, clique em Gerenciar definições de logon único.
Na página Gerenciar Definições de Logon Único, na seção Configurações do Servidor, clique em Gerenciar definições de servidor.
Na página Gerenciar Definições de Logon Único, na caixa Nome da Conta da seção Conta do Administrador de Logon Único, digite o nome da conta do administrador de logon único, usando a forma domínio/grupo ou domínio/nomedeusuário.
Dica
A conta do administrador de logon único especifica o conjunto de pessoas que podem criar, excluir ou modificar definições de aplicativos. A conta do administrador também pode fazer backup da chave de criptografia.
O usuário ou o grupo especificado como administrador de logon único deve cumprir todos os critérios a seguir:
Um grupo global do Windows ou uma conta de usuário individual. Essa conta não pode ser uma conta de grupo local do domínio ou uma lista de distribuição.
Igual à conta do serviço de logon único, caso um usuário seja especificado. Se um grupo for especificado, a conta do serviço de logon único deverá ser membro desse grupo.
Igual à conta de configuração de logon único, caso um usuário seja especificado. Se um grupo for especificado, a conta de configuração para logon único deverá ser membro desse grupo.
Membro do grupo Administradores de Farm, na Administração Central.
Se um grupo for especificado, todos os usuários adicionados ao grupo, para a finalidade de administração do logon único, deverão ser membros do grupo local Administradores no servidor de chave de criptografia. Não torne essa conta um membro do grupo local Administradores, no servidor de chave de criptografia.
Na seção Conta de Administrador para Definições de Aplicativo de Negócios, na caixa Nome da conta, digite o nome da conta do grupo ou do usuário que pode configurar e gerenciar definições de aplicativos empresariais. Digite o nome, usando a forma domínio/grupo ou domínio/nomedeusuário.
A conta do administrador de definições de aplicativo empresariais pode gerenciar credenciais de uma definição de aplicativo empresarial, incluindo a alteração de senha de uma definição de aplicativo empresarial para grupo e a alteração ou exclusão de credenciais de definição de aplicativo empresarial individual.
O usuário ou o grupo especificado deve ser o seguinte:
Um grupo global do Windows ou uma conta de usuário individual. Essa conta não pode ser uma conta de grupo local do domínio ou uma lista de distribuição.
Um membro do grupo Reader SharePoint, na Administração Central.
Na seção Configurações do Banco de Dados, na caixa Nome de servidor, digite o nome NetBIOS do servidor de banco de dados de logon único (por exemplo, nome_do_computador ou nome_do_computador\instância_SQL_Server). Não digite o nome de domínio totalmente qualificado.
Na caixa Nome do banco de dados, insira o nome do servidor de banco de dados de logon único.
Dica
A menos que você esteja pré-criando bancos de dados, recomendamos o uso do servidor de banco de dados padrão e do servidor de banco de dados de logon único.
Na seção Definições de Tempo Limite, na caixa Tempo limite do tíquete (em minutos), digite um valor para determinar a quantidade de minutos que precede a expiração do tíquete de logon único. O tempo limite deve ser longo o bastante para durar entre o momento em que o tíquete é emitido e o momento em que o aplicativo empresarial resgata o tíquete. Dois minutos é o valor recomendado.
Na caixa Excluir registros de log de auditoria com mais de (em dias), digite um valor para determinar a quantidade de dias que o log de auditoria retém os registros antes de excluí-los.
Clique em OK.
Gerenciar a chave de criptografia
O primeiro servidor em que o SSOSrv é habilitado se torna o servidor de chave de criptografia. O servidor de chave de criptografia gera e armazena a chave de criptografia. A chave de criptografia é utilizada para criptografar e descriptografar as credenciais que estão armazenadas no banco de dados SSO.
Como a chave de criptografia protege credenciais de segurança, recomendamos que você crie uma nova chave de criptografia regularmente (por exemplo, a cada 90 dias). Recomendamos também que você crie uma nova chave de criptografia imediatamente, caso suspeite que as credenciais da conta foram comprometidas.
É fundamental fazer o backup da chave de criptografia toda vez que uma nova chave for criada. Não é preciso fazer backup da chave de criptografia em nenhum outro momento (exceto quando você estiver movendo a função do servidor de chave de criptografia de um servidor para outro). Você deve fazer backup da chave de criptografia localmente, no servidor de chave de criptografia; não é possível fazer backup da chave remotamente.
Você também pode usar o backup da chave de criptografia e restaurar, para mover a função de servidor de chave de criptografia de um servidor para outro. (Outras tarefas também devem ser realizadas para mover a função de servidor de chave de criptografia.)
Dica
É preciso abrir a Administração Central no computador que executa o Office SharePoint Server 2007 para gerenciar a chave de criptografia.
Gerenciar a chave de criptografia
Na Administração Central, na barra de navegação superior, clique em Operações.
Na página Operações, na seção Configuração de Segurança, clique em Gerenciar definições de logon único.
Na página Gerenciar Definições de Logon Único, na seção Configurações do Servidor, clique em Gerenciar chave de criptografia.
Na página Gerenciar Chave de Criptografia, você pode executar três tarefas de gerenciamento:
Criar uma nova chave de criptografia
Fazer backup de uma chave de criptografia
Restaurar uma chave de criptografia
Criar uma nova chave de criptografia
Na página Gerenciar Chave de Criptografia, na seção Chave de Criptografia, clique em Criar Chave de Criptografia.
Na página Criar Chave de Criptografia, marque a caixa de seleção Criptografar novamente todas as credenciais usando a nova chave de criptografia.
Importante
Se você não criptografar novamente as credenciais existentes com a nova chave de criptografia, os usuários deverão digitar novamente suas credenciais para definições de aplicativos individuais e os administradores deverão digitar novamente as credenciais de grupo para definições de aplicativo de grupo.
Clique em OK.
Fazer backup de uma chave de criptografia
Na página Gerenciar Chave de Criptografia, na lista Unidade da seção Backup da Chave de Criptografia, clique na unidade de mídia removível em que deseja armazenar o backup da chave de criptografia.
Clique em Fazer Backup.
Restaurar uma chave de criptografia
Você sempre deverá fazer backup da chave de criptografia quando fizer backup do banco de dados de logon único, pois o banco de dados é inútil sem a chave de criptografia. Além disso, antes de substituir um servidor de chave de criptografia, certifique-se de fazer backup da chave de criptografia para que ela possa ser restaurada no novo servidor de chave de criptografia.
Na página Gerenciar Chave de Criptografia, na lista Unidade da seção Restauração da Chave de Criptografia, clique na unidade de mídia removível a partir da qual deseja restaurar o backup da chave de criptografia.
Clique em Restaurar.
Gerenciar definições de aplicativos empresariais
No ambiente de logon único, os sistemas e fontes de dados externas de back-end são chamados de aplicativos empresariais. Para cada aplicativo empresarial ao qual o Office SharePoint Server 2007 se conecte, é preciso configurar a correspondente definição de aplicativo empresarial.
Na Administração Central, na barra de navegação superior, clique em Operações.
Na página Operações, na seção Configuração de Segurança, clique em Gerenciar definições de logon único.
Na página Gerenciar Definições de Logon Único, clique em Gerenciar definições de aplicativos empresariais.
Gerenciar informações de conta para uma definição de aplicativo empresarial
Se usar um grupo para se conectar ao aplicativo empresarial, você precisará fornecer as credenciais da conta utilizada pelo grupo. Se usuários individuais se conectarem diretamente ao aplicativo empresarial, você poderá predefinir ou redefinir as senhas de usuários, ou poderá excluir usuários da definição de aplicativo empresarial.
Na Administração Central, na barra de navegação superior, clique em Operações.
Na página Operações, na seção Configuração de Segurança, clique em Gerenciar definições de logon único.
Na página Gerenciar Definições de Logon Único, na seção Definições de Aplicativo Empresarial, clique em Gerenciar informações de conta para definições de aplicativo empresarial.
Na página Gerenciar Informações de Conta de uma Definição de Aplicativo de Negócios, na lista Definição de aplicativo empresarial da seção Informações da Conta, clique na definição de aplicativo para a qual deseja gerenciar informações de conta.
Na caixa Nome da conta de grupo, digite o nome do grupo que tem acesso permitido ao aplicativo empresarial.
Na seção Definição de Aplicativo Empresarial, selecione uma das seguintes opções:
Opção Objetivo Atualizar informações da conta
Na primeira vez, forneça as credenciais; ou atualize as credenciais utilizadas para conexão com o aplicativo empresarial.
Excluir as credenciais armazenadas para esta conta desta definição de aplicativo empresarial
Exclua as credenciais atualmente utilizadas para conexão com o aplicativo empresarial.
Excluir todas as credenciais armazenadas para esta conta de todas as definições de aplicativo empresarial
Exclua as credenciais atualmente usadas para conexão com o aplicativo empresarial selecionado de todas as definições de aplicativo empresarial. A exclusão de credenciais armazenadas exclui credenciais apenas de contas individuais; ela não exclui credenciais de contas de grupo.
Se você selecionar Atualizar informações da conta, conclua as etapas a seguir:
Clique em Definir.
Na página Fornecer Informações da Conta, na seção Informações de Logon, digite o nome de usuário e a senha da conta a ser utilizada para conexão com o aplicativo empresarial.
Clique em OK.
Clique em Concluído.
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na biblioteca técnica do Office SharePoint Server (em inglês).