Настройка службы Secure Store в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-07-14

Сводка. Сведения о настройке хранилища учетных данных для авторизации в службе Secure Store для фермы SharePoint Server 2013 или SharePoint Server 2016.

В этой статье описывается настройка службы Служба Secure Store в ферме SharePoint Server. При планировании внедрения Служба Secure Store следует учитывать ряд важных аспектов. Обязательно ознакомьтесь с разделом Планирование службы Secure Store в SharePoint Server, прежде чем приступать к процедурам, приведенным в данной статье.

В этой статье

  • Настройка службы Secure Store

  • Работа с ключами шифрования

  • Хранение учетных данных в Secure Store

  • Создание конечного приложения

  • Задание учетных данных для конечного приложения

  • Включение журнала аудита

Настройка службы Secure Store в SharePoint Server

Служба Служба Secure Store выполняется с ролями сервера приложений и сервера переднего плана. Это задается автоматически при создании приложения-службы Служба Secure Store.

Чтобы настроить Secure Store, выполните следующее:

  1. Зарегистрируйте управляемую учетную запись в SharePoint Server для запуска пула приложений Secure Store.

  2. Запустите службу Secure Store на сервере приложений фермы (только SharePoint Server 2013).

  3. Создайте приложение службы Secure Store.

Чтобы запустить пул приложений, необходимо иметь стандартную доменную учетную запись. Никаких специальных разрешений для этой учетной записи не требуется. После создания учетной записи в Active Directory, следует выполнить приведенные ниже действия для регистрации учетной записи в SharePoint Server.

Регистрация управляемой учетной записи

  1. На домашней странице веб-сайта Центра администрирования SharePoint на панели навигации слева выберите Безопасность.

  2. На странице "Безопасность" в разделе Общая безопасность щелкните Настройка управляемых учетных записей.

  3. На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.

  4. В поле Имя пользователя введите имя учетной записи.

  5. В поле Пароль введите пароль для учетной записи.

  6. Если необходимо, чтобы обработка изменения пароля учетной записи выполнялась в SharePoint Server, установите флажок Разрешить автоматическую смену пароля и укажите параметры изменения пароля, которые следует использовать.

  7. Нажмите кнопку ОК.

Если у вас SharePoint Server 2013, запустите службу Secure Store на сервере приложений в ферме. Если у вас SharePoint Server 2016, эту службу автоматически запустит MinRole.

Запуск службы Secure Store (SharePoint Server 2013)

  1. На домашней странице Центра администрирования в разделе Параметры системы щелкните элемент Управление службами на сервере.

  2. Над списком Служба откройте раскрывающийся список Сервер и выберите Изменить сервер.

  3. Выберите сервер приложений, на котором следует запустить службу Secure Store.

  4. В списке Служба нажмите кнопку Запустить, расположенную рядом с элементом Служба Secure Store.

Далее можно приступать к созданию приложения службы Secure Store. Для этого выполните следующую процедуру:

Создание приложения службы Secure Store

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. На странице «Управление приложениями-службами» нажмите кнопку Создать и выберите Служба Secure Store.

  3. В поле Имя приложения-службы введите имя приложения-службы (например, Служба Secure Store).

  4. В поле Сервер базы данных введите экземпляр SQL Server, в котором следует создать базу данных Secure Store.

    Примечание

    Так как база данных Secure Store содержит конфиденциальные данные, рекомендуется развернуть базу данных Secure Store на другом экземпляре SQL Server, не содержащем базы данных SharePoint Server.

  5. Выберите параметр Создать пул приложений и введите в текстовом поле имя пула приложений.

  6. Выберите в раскрывающемся списке параметр Настраиваемые, выберите учетную запись, для которой ранее была создана управляемая учетная запись.

  7. Нажмите кнопку ОК.

Служба Secure Store настроена. Следующим шагом является создание ключа шифрования для обеспечения безопасности базы данных Secure Store.

Работа с ключами шифрования Secure Store

Перед использованием службы Secure Store необходимо создать ключ шифрования. Ключ используется для шифрования и расшифровки учетных данных, которые сохраняются в базе данных службы Secure Store.

Создание ключа шифрования

При первом доступе к приложению-службе Secure Store единственным доступным параметром является создание нового ключа шифрования. После создания ключа становятся доступными прочие функциональные возможности Secure Store.

Создание нового ключа шифрования

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. Выберите приложение-службу Secure Store.

  3. В группе Управление ключами щелкните Создать новый ключ.

  4. На странице Создание нового ключа введите строку с парольной фразой в поле Парольная фраза, затем введите ту же строку в поле Подтверждение парольной фразы. Эта парольная фраза используется для шифрования базы данных Secure Store.

    Важно!

    Строка парольной фразы должна содержать минимум восемь символов и включать по крайней мере три из следующих четырех элементов:

    • прописные буквы;

    • строчные буквы;

    • числа;

    • любые из следующих специальных символов:

      "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.

    Важно!

    Вводимая парольная фраза не будет сохранена. Запишите ее и сохраните в безопасном расположении. Потребуется обновить ключ, например при добавлении нового сервера приложений в ферму серверов.

  5. Нажмите кнопку ОК.

По соображениям безопасности или при проведении планового обслуживания можно создать новый ключ шифрования и затем выполнить повторное шифрование службы безопасного хранения с использованием нового ключа. Для этого можно воспользоваться той же процедурой.

Предупреждение

Перед созданием нового ключа необходимо создать резервную копию базы данных приложения-службы безопасного хранения.

Обновление ключа шифрования Secure Store

Обновление ключа безопасности распространяет ключ на все серверы приложений фермы. Может понадобиться обновить ключ безопасности, если выполняется одно из следующих условий.

  • Добавление нового сервера приложений в ферму серверов.

  • Восстановление резервной копии базы данных службы безопасного хранения, если ключ шифрования был изменен после создания резервной копии.

  • Появление сообщения об ошибке «Не удалось получить главный ключ».

Обновление ключа шифрования

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. Выберите приложение-службу Secure Store.

  3. В группе Управление ключами нажмите кнопку Обновить ключ.

  4. В поле Парольная фраза введите парольную фразу, которая использовалась изначально при создании ключа шифрования.

    В данном случае парольная фраза — это фраза, используемая при инициализации приложения-службы безопасного хранения, или парольная фраза, используемая при создании нового ключа с помощью команды Создать новый ключ.

  5. Нажмите кнопку ОК.

Хранение учетных данных в Secure Store

Хранение учетных данных в Secure Store осуществляется с помощью конечного приложения Secure Store. Конечное приложение сопоставляет учетные данные пользователя, группы или утверждения с набором зашифрованных учетных данных, хранящихся в базе данных Secure Store. После создания конечного приложения можно связать его с типом внешнего контента или моделью приложений, а также использовать в качестве службы бизнес-аналитики, такого как службы Excel Online или службы Службы Visio, в целях обеспечения доступа к внешнему источнику данных. При вызове приложением-службой SharePoint Server конечного приложения Secure Store подтверждает, что пользователь, выполняющий запрос, является авторизованным пользователем конечного приложения, а затем получает зашифрованные учетные данные, которые затем используются от имени пользователя приложением-службой SharePoint Server.

Чтобы создать конечное приложение, необходимо выполнить следующие действия.

  1. Создайте само конечное приложение, указав тип учетных данных, которые следует хранить в базе данных Secure Store, администраторов этого конечного приложения и владельцев учетных данных.

  2. Укажите учетные данные, которые следует сохранить.

Создание конечного приложения

Конечные приложения настраиваются на странице «Приложение-службы Secure Store» в Центре администрирования. Для создания конечного приложения используйте следующую процедуру.

Создание конечного приложения

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. Выберите приложение-службу Secure Store.

  3. В группе Управление конечными приложениями нажмите кнопку Создать.

  4. В поле Идентификатор конечного приложения введите текстовую строку.

    Это уникальная строка, которая используется во внешней среде для идентификации этого конечного приложения.

  5. В поле Отображаемое имя введите текстовую строку, которая будет использоваться для отображения идентификатора конечного приложения в пользовательском интерфейсе.

  6. В поле Контактный адрес электронной почты введите адрес электронной почты основного контактного лица для этого конечного приложения.

    В качестве адреса электронной почты можно использовать любой допустимый адрес, не идентифицирующий администратора приложения-службы безопасного хранения.

  7. При создании конечного приложения индивидуального типа (см. ниже) можно добавить пользовательскую веб-страницу, с помощью которой пользователи смогут добавлять свои учетные данные для конечного источника данных. Для передачи учетных данных конечному приложению потребуется дополнительный программный код. Если это будет сделано, введите полный URL-адрес этой страницы в поле URL-адрес страницы конечного приложения. Доступны три параметра:

    • Использовать страницу по умолчанию — все веб-сайты, использующие конечное приложение для доступа к внешним данным, будут иметь отдельную страницу регистрации, которая была добавлена автоматически. URL-адрес этой страницы будет иметь следующий формат: http:/<имя_сайта>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<Идентификатор_конечного_приложения>, где <Идентификатор_конечного_приложения> — это строка, указанная в поле Идентификатор конечного приложения. После публикации расположения этой страницы пользователи смогут добавлять свои учетные данные для внешнего источника данных.

    • Использовать специальную страницу — пользователи вводят учетные данные на специальной веб-странице. Введите URL-адрес специальной страницы в этом поле.

    • Нет — страница регистрации отсутствует. Учетные данные отдельных пользователей добавляются только администратором службы безопасного хранения с помощью приложения-службы безопасного хранения.

  8. В раскрывающемся списке Тип конечного приложения выберите тип конечного приложения: Групповое для учетных данных групп или Индивидуальное для сопоставления учетных записей отдельных пользователей уникальному набору учетных данных во внешнем источнике данных.

    Примечание

    Существует два основных типа создаваемого конечного приложения:

    • Групповое — для сопоставления всех участников одной или нескольких групп одному набору учетных данных во внешнем источнике данных.

    • Индивидуальное — для сопоставления учетных записей отдельных пользователей уникальному набору учетных данных во внешнем источнике данных.

  9. Нажмите кнопку Далее.

  10. На странице Укажите поля учетных данных для конечного приложения службы безопасного хранения можно настроить различные поля, которые могут потребоваться для указания учетных данных для внешнего источника данных. Два поля указываются по умолчанию: Имя пользователя Windows и Пароль Windows

    Чтобы добавить дополнительные поля для отправки учетных данных внешнему источнику данных, на странице Укажите поля учетных данных для конечного приложения службы безопасного хранения щелкните Добавить поле.

    По умолчанию в качестве типа нового поля используется Общий. Доступные типы перечислены в следующей таблице.

    Поле Описание

    Универсальный

    Значения, которые не соответствуют ни одной из перечисленных ниже категорий.

    Имя пользователя

    Учетная запись, идентифицирующая пользователя.

    Пароль

    Секретное слово или фраза.

    PIN-код

    Персональный идентификационный номер.

    Раздел

    Параметр, определяющий алгоритм шифрования или шифр.

    Имя пользователя Windows

    Учетная запись, идентифицирующая пользователя Windows.

    Пароль Windows

    Секретное слово или фраза для учетной записи Windows.

    Сертификат

    Сертификат.

    Пароль сертификата

    Пароль для сертификата.

    • Чтобы изменить тип нового или существующего поля, щелкните стрелку рядом с типом поля и затем выберите новый тип поля.

      Примечание

      Каждое добавляемое поле обязано иметь данные при указании учетных данных для конечного приложения.

    • Имя, которое видит пользователь при работе с полем, можно изменить. В столбце Имя поля страницы Укажите поля учетных данных для конечного приложения службы безопасного хранения измените имя поля посредством выбора текущей записи и ввода нового текста.

    • Если поле скрыто, вводимые пользователем символы не отображаются, а заменяются символом, например звездочкой (*). Чтобы скрыть поле, установите флажок для этого поля в столбце Скрыт.

    • Чтобы удалить поле, щелкните значок удаления для этого поля в столбце Удалить.

    После завершения редактирования полей с учетными данными нажмите кнопку Далее.

  11. На странице Укажите параметры членства в поле Администраторы конечного приложения перечислите всех пользователей, имеющих доступ к управлению параметрами конечного приложения.

  12. Если в качестве типа конечного приложения выбрано "Групповое", в поле Члены перечислите группы пользователей, сопоставляемые набору учетных данных для этого конечного приложения.

  13. Чтобы завершить настройку конечного приложения, нажмите кнопку ОК.

Задание учетных данных для конечного приложения Secure Store

После завершения создания конечного приложения администратор приложения может задать для него учетные данные. Эти учетные данные будут использоваться вызывающим приложением для предоставления доступа к внешнему источнику данных. Если в качестве типа конечного приложения выбрано "Индивидуальное", можно разрешить пользователям указывать собственные учетные данные.

Задание учетных данных для конечного приложения

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. Выберите приложение-службу Secure Store.

  3. В списке конечных приложений выберите конечное приложение, для которого необходимо задать учетные данные, щелкните появившуюся стрелку, а затем в меню щелкните Задать учетные данные.

    Если в качестве типа конечного приложения выбрано "Групповое", введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника данных, поля, используемые при задании учетных данных, будут отличаться.

    Если в качестве типа конечного приложения выбрано "Индивидуальное", введите имя пользователя, которое будет сопоставлено набору учетных данных во внешнем источнике данных, а также введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника, поля, используемые при задании учетных данных, будут отличаться.

  4. Нажмите кнопку ОК.

После определения учетных данных для конечного приложения оно может использоваться службой SharePoint Server, такой как Business Connectivity Services, Службы Excel или службы Visio.

Включение журнала аудита службы Secure Store

Записи аудита службы безопасного хранения хранятся в базе данных службы безопасного хранения. По умолчанию файл журнала аудита отключен.

В записи журнала аудита хранятся сведения о действии службы безопасного хранения, включая сведения о времени его выполнения, о том, было ли оно выполнено успешно, о причине сбоя, если оно не было выполнено успешно, о выполнившем его пользователе службы безопасного хранения и при необходимости о пользователе службы безопасного хранения, от имени которого оно было выполнено. Поэтому допустимой причиной включения файла журнала аудита является устранение неполадок с проверкой подлинности.

Включение журнала аудита с помощью центра администрирования

  1. На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.

  2. Выберите приложение-службу Secure Store. (То есть выберите приложение-службу, но не щелкайте ссылку для перехода на страницу параметров приложения-службы Store Service.)

  3. На ленте щелкните элемент Свойства.

  4. В разделе Включить аудит выберите поле Журнал аудита включен.

  5. Чтобы изменить число дней, по истечении которого записи очищаются из файла журнала аудита, укажите значение в поле Дней до очистки. Значение по умолчанию — 30 дней.

  6. Нажмите кнопку ОК.

See also

Командлеты службы Secure Store в SharePoint Server 2016