Настройка службы безопасного хранения (SharePoint Server 2010)
Применимо к: SharePoint Server 2010
Последнее изменение раздела: 2017-01-19
В этой статье описываются операции службы безопасного хранения Microsoft SharePoint Server 2010, позволяющие разработчикам решений создавать конечные приложения, которые сопоставляют учетные данные пользователей и групп c учетными данными, соответствующими внешним источникам данных. Использование этих приложений позволяет внешним типам контента в Служба подключения к бизнес-данным взаимодействовать с их внешними источниками данных для осуществления чтения, записи, создания и изменения данных, хранящихся во внешних источниках данных. Общие сведения о службе безопасного хранения см. в статье Планирование службы безопасного хранения (SharePoint Server 2010).
Прежде чем использовать службу безопасного хранения для создания конечных приложений, необходимо создать парольную фразу. Парольная фраза используется для создания ключа, используемого для шифрования и расшифровки учетных данных, хранящихся в базе данных службы безопасного хранения. Если предоставление парольной фразы в начале сеанса работы является обязательным условием, то при открытии экземпляра приложения службы безопасного хранения отобразится следующее сообщение: "Создайте новый ключ для этого приложения-службы безопасного хранения".
Содержание:
Инициализация экземпляра приложения-службы безопасного хранения
Обновление ключа шифрования
Создание нового ключа шифрования
Создание конечного приложения
Задание учетных данных для конечного приложения
Включение журнала аудита
Примечание
Центр администрирования используется для выполнения следующих процедур. Если требуется использовать Windows PowerShell, см. страницу, посвященную настройке службы безопасного хранения с помощью PowerShell (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x419), в центре скриптов и раздел о создании службы безопасного хранения и прокси-сервера из следующей записи блога Тода Картера (Todd Carter) — The Wizard Likes His GUIDs (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x419) (Возможно, на английском языке). Кроме того, если требуется использовать журнал аудита, необходимо использовать параметры AuditingEnabled и AuditlogMaxSize командлета New-SPSecureStoreServiceApplication или командлета Set-SPSecureStoreServiceApplication.
Инициализация экземпляра приложения-службы безопасного хранения
Для инициализации экземпляра приложения-службы безопасного хранения можно использовать команды в группе Изменить на ленте.
Чтобы инициализировать экземпляр приложения-службы безопасного хранения, выполните перечисленные ниже действия.
Проверьте наличие следующих административных учетных данных.
- Необходимо быть администратором приложения-службы для этого экземпляра службы безопасного хранения.
В экземпляре приложения-службы безопасного хранения выберите вкладку Управление.
В группе управления ключами щелкните Создать новый ключ.
На странице Создание нового ключа введите строку с парольной фразой в поле Парольная фраза, затем введите ту же строку в поле Подтверждение парольной фразы.
Важно!
Строка парольной фразы должна содержать минимум восемь символов и включать по крайней мере три из следующих четырех элементов:
-
прописные буквы;
-
строчные буквы;
-
числа;
-
любые из следующих специальных символов:
"! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
Совет
Вводимая парольная фраза не будет сохранена. Запишите ее и сохраните в безопасном расположении. Потребуется обновить ключ, например при добавлении нового сервера приложений в ферму серверов.
-
Нажмите кнопку ОК.
Обновление ключа шифрования может потребоваться в следующих случаях:
Добавление нового сервера приложений в ферму серверов.
Восстановление резервной копии базы данных службы безопасного хранения, если ключ шифрования был изменен после создания резервной копии.
Появление сообщения об ошибке "Не удалось получить главный ключ".
Обновление ключа шифрования
Для обновления ключа шифрования можно использовать команды в группе Управление ключами на ленте.
Чтобы обновить ключ шифрования, выполните перечисленные ниже действия.
Проверьте наличие следующих административных учетных данных.
- Необходимо быть администратором приложения-службы для этого экземпляра службы безопасного хранения.
В экземпляре приложения-службы безопасного хранения выберите вкладку Управление.
В группе Управление ключами нажмите кнопку Обновить ключ.
В поле Парольная фраза введите парольную фразу, которая использовалась изначально при создании ключа шифрования.
В данном случае парольная фраза — это фраза, используемая при инициализации приложения-службы безопасного хранения, или парольная фраза, используемая при создании нового ключа с помощью команды Создать новый ключ.
Нажмите кнопку ОК.
Создание нового ключа шифрования
По соображениям безопасности или при проведении планового обслуживания можно создать новый ключ шифрования и затем выполнить повторное шифрование службы безопасного хранения с использованием нового ключа.
Предупреждение
Перед созданием нового ключа необходимо создать резервную копию базы данных приложения-службы безопасного хранения.
Чтобы создать новый ключ шифрования, выполните перечисленные ниже действия.
Проверьте наличие следующих административных учетных данных.
- Необходимо быть администратором приложения-службы для этого экземпляра службы безопасного хранения.
В экземпляре приложения-службы безопасного хранения выберите вкладку Управление.
В группе Управление ключами щелкните Создать новый ключ.
На странице Создание нового ключа введите строку с парольной фразой в поле Парольная фраза, затем введите ту же строку в поле Подтверждение парольной фразы.
Важно!
Строка парольной фразы должна содержать минимум восемь символов и включать по крайней мере три из следующих четырех элементов:
-
прописные буквы;
-
строчные буквы;
-
числа;
-
любые из следующих специальных символов:
"! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
Совет
Вводимая парольная фраза не будет сохранена. Запишите ее и сохраните в безопасном расположении. Потребуется обновить ключ, например при добавлении нового сервера приложений в ферму серверов.
-
Чтобы повторно зашифровать базу данных службы безопасного хранения, щелкните Повторно зашифровать базу данных с помощью нового ключа.
Нажмите кнопку ОК.
Создание конечного приложения
Для создания конечных приложений используется служба безопасного хранения. Конечное приложение сопоставляет учетные данные пользователя, группы или заявку набору учетных данных во внешнем источнике данных, например базе данных SQL Server или веб-службе. После завершения создания конечного приложения его можно связать с внешним типом контента или моделью приложения для предоставления доступа к внешнему источнику данных.
Чтобы создать конечное приложение, выполните перечисленные ниже действия.
Проверьте наличие следующих административных учетных данных.
- Необходимо быть администратором приложения-службы для этого экземпляра службы безопасного хранения.
В экземпляре приложения-службы безопасного хранения выберите вкладку Управление.
В группе Управление конечными приложениями нажмите кнопку Создать.
В поле Идентификатор конечного приложения введите текстовую строку.
Эта уникальная строка будет использоваться приложением-службой безопасного хранения для идентификации этого конечного приложения.
В поле Отображаемое имя введите текстовую строку, которая будет использоваться для отображения идентификатора конечного приложения в пользовательском интерфейсе.
В поле Контактный адрес электронной почты введите адрес электронной почты основного контактного лица для этого конечного приложения.
В качестве адреса электронной почты можно использовать любой допустимый адрес, не идентифицирующий администратора приложения-службы безопасного хранения.
При создании конечного приложения индивидуального типа (см. ниже) можно добавить пользовательскую веб-страницу, с помощью которой пользователи смогут добавлять свои учетные данные для конечного источника данных. Для передачи учетных данных конечному приложению потребуется дополнительный программный код. Если это будет сделано, введите полный URL-адрес этой страницы в поле URL-адрес страницы конечного приложения. Доступны три параметра:
Использовать указанную страницу — все веб-сайты, использующие конечное приложение для доступа к внешним данным, будут иметь отдельную страницу регистрации, добавляемую автоматически. URL-адрес этой страницы будет иметь следующий формат: http:/<имя_сайта>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<Идентификатор_конечного_приложения>, где <Идентификатор_конечного_приложения> — это строка, указанная в поле Идентификатор конечного приложения. После публикации расположения этой страницы пользователи смогут добавлять свои учетные данные для внешнего источника данных.
Использовать специальную страницу — пользователи вводят учетные данные на специальной веб-странице. Введите URL-адрес специальной страницы в этом поле.
Нет — страница регистрации отсутствует. Учетные данные отдельных пользователей добавляются только администратором службы безопасного хранения с помощью приложения-службы безопасного хранения.
В поле Тип конечного приложения введите тип конечного приложения: Групповое для учетных данных групп или Индивидуальное для сопоставления учетных записей отдельных пользователей уникальному набору учетных данных во внешнем источнике данных.
Примечание
Существует два основных типа создаваемого конечного приложения:
-
Групповое — для сопоставления всех членов одной или нескольких групп одному набору учетных данных во внешнем источнике данных.
-
Индивидуальное — для сопоставления учетных записей отдельных пользователей уникальному набору учетных данных во внешнем источнике данных.
-
Если учетные данные во внешнем источнике данных являются учетными данными Windows, убедитесь, что установлен флажок Windows.
Если учетные данные во внешнем источнике данных не являются учетными данными Windows, снимите этот флажок.
Чтобы указать поля, используемые для отправки учетных данных внешнему источнику данных, нажмите кнопку Далее.
На странице Укажите поля учетных данных для конечного приложения службы безопасного хранения можно настроить различные поля, которые могут потребоваться для указания учетных данных для внешнего источника данных. Два поля указываются по умолчанию: имя пользователя и пароль.
Чтобы добавить дополнительные поля для отправки учетных данных внешнему источнику данных, на странице Укажите поля учетных данных для конечного приложения службы безопасного хранения щелкните Добавить поле.
По умолчанию в качестве типа нового поля используется "Общий". Доступные типы перечислены в следующей таблице.
Поле Описание Общий
Значения, которые не соответствуют ни одной из перечисленных ниже категорий.
Имя пользователя
Учетная запись, идентифицирующая пользователя.
Пароль
Секретное слово или фраза.
ПИН-код
Персональный идентификационный номер.
Ключ
Параметр, определяющий алгоритм шифрования или шифр.
Имя пользователя Windows
Учетная запись, идентифицирующая пользователя Windows.
Пароль Windows
Секретное слово или фраза для учетной записи Windows.
Чтобы изменить тип нового или существующего поля, щелкните стрелку рядом с типом поля и затем выберите новый тип поля.
Примечание
При отправке учетных данных все добавленные поля должны содержать данные.
Имя, которое видит пользователь при работе с полем, можно изменить. В столбце "Имя поля" страницы Укажите поля учетных данных для конечного приложения службы безопасного хранения измените имя поля посредством выбора текущей записи и ввода нового текста.
Если поле скрыто, вводимые пользователем символы не отображаются, а заменяются символом, например звездочкой "*". Чтобы скрыть поле, установите флажок для этого поля в столбце Скрыт.
Чтобы удалить поле, щелкните значок удаления для этого поля в столбце Удалить.
После завершения редактирования полей с учетными данными нажмите кнопку Далее.
На странице Укажите параметры членства в поле Администраторы конечного приложения перечислите всех пользователей, имеющих доступ к управлению параметрами конечного приложения.
Если в качестве типа конечного приложения выбрано "Групповое", в поле Члены перечислите группы пользователей, сопоставляемые набору учетных данных для этого конечного приложения.
Чтобы завершить настройку конечного приложения, нажмите кнопку ОК.
Задание учетных данных для конечного приложения
После завершения создания конечного приложения администратор приложения может задать для него учетные данные. Эти учетные данные будут использоваться Microsoft Business Connectivity Services и другими службами для предоставления доступа к внешнему источнику данных. Если в качестве типа конечного приложения выбрано "Индивидуальное", можно разрешить пользователям указывать собственные учетные данные.
Чтобы задать учетные данные для конечного приложения, выполните перечисленные ниже действия.
Проверьте наличие следующих административных учетных данных.
- Необходимо быть администратором приложения-службы для этого экземпляра службы безопасного хранения.
В экземпляре приложения-службы безопасного хранения укажите идентификатор конечного приложения, щелкните стрелку и затем в меню выберите Задать учетные данные.
Если в качестве типа конечного приложения выбрано "Групповое", введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника данных, поля, используемые при задании учетных данных, будут отличаться.
Если в качестве типа конечного приложения выбрано "Индивидуальное", введите имя пользователя, которое будет сопоставлено набору учетных данных во внешнем источнике данных, а также введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника, поля, используемые при задании учетных данных, будут отличаться.
Включение журнала аудита
Записи аудита службы безопасного хранения хранятся в базе данных службы безопасного хранения. По умолчанию файл журнала аудита отключен.
В записи журнала аудита хранятся сведения о действии службы безопасного хранения, включая сведения о времени его выполнения, о том, было ли оно выполнено успешно, о причине сбоя, если оно не было выполнено успешно, о выполнившем его пользователе службы безопасного хранения и при необходимости о пользователе службы безопасного хранения, от имени которого оно было выполнено. Поэтому допустимой причиной включения файла журнала аудита является устранение неполадок с проверкой подлинности.
Примечание
Если база данных службы безопасного хранения установлена в режим только для чтения, файл журнала аудита необходимо отключить, в противном случае во время проверки подлинности отображается следующее сообщение об ошибке: "Не удается выполнить это действие, так как служба безопасного хранения не отвечает. Обратитесь к администратору."
Включение журнала аудита с помощью центра администрирования
Убедитесь, что учетная запись пользователя, с помощью которой выполняется данная процедура, является членом группы администраторов фермы SharePoint.
На домашней странице центра администрирования щелкните Управление приложениями.
На странице управления приложениями перейдите к разделу Приложения-службы и выберите команду Управление приложениями-службами.
На вкладке Приложение-служба щелкните Безопасное хранение (тип должен быть связан с приложением-службой безопасного хранения).
На ленте щелкните элемент Свойства.
В разделе Включить аудит установите флажок Журнал аудита включен.
Чтобы изменить число дней, по истечении которого записи очищаются из файла журнала аудита, укажите значение в поле Дней до очистки. Значение по умолчанию — 30 дней.
Нажмите кнопку ОК.