Планирование службы Secure Store в SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-07-07

Сводка. Планирование хранения учетных данных авторизации в зашифрованной базе данных с помощью службы Secure Store в SharePoint Server 2013 и SharePoint Server 2016.

Служба Secure Store представляет собой службу проверки подлинности на основе утверждений, которая включает в себя зашифрованную базу данных для хранения учетных данных.

В этой статье

  • Сведения о службе Secure Store

  • Подготовка службы Secure Store

  • Конечные приложения

  • Сопоставление учетных данных Secure Store

  • Служба Secure Store и проверка подлинности на основе утверждений

Сведения о службе Secure Store

Secure Store — это служба проверки подлинности, запускаемая SharePoint Server. Secure Store содержит базу данных для хранения учетных данных. Обычно эти учетные данные состоят из имени пользователя и пароля, но также могут содержать и другие заданные поля. Например, SharePoint Server может использовать базу данных Secure Store для хранения и извлечения учетных данных для доступа к внешним источникам данных. Служба Secure Store поддерживает хранение нескольких наборов учетных данных для нескольких внутренних систем.

Сценарии использования службы Secure Store включают в себя следующее:

  • Службы Excel Online в Office Online Server могут использовать Secure Store для предоставления доступа к внешним источникам данных в книгах, опубликованных в SharePoint Server 2016. Это можно применять вместо передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка ограниченного делегирования Kerberos.

  • Службы Службы Excel в SharePoint Server 2013 могут использовать службу Secure Store для предоставления доступа к внешним источникам данных в опубликованных книгах. Это можно применять в качестве заменителя передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка делегирования Kerberos. Служба Secure Store требуется для служб Службы Excel, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.

  • Службы Visio могут использовать службу Secure Store для предоставления доступа к внешним источникам данных в опубликованных схемах с подключением к данным. Это можно применять вместо передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка ограниченного делегирования Kerberos. Для Службы Visio служба Secure Store требуется, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.

  • PerformancePoint Services может использовать службу Secure Store для предоставления доступа к внешним источникам данных. Для PerformancePoint Services служба Secure Store требуется, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.

  • Для PowerPivot служба Secure Store требуется для запланированного обновления книг PowerPivot.

  • Microsoft Business Connectivity Services может использовать службу Secure Store, чтобы сопоставить учетные данные пользователя с набором учетных данных для внешней системы. Вы можете сопоставить учетные данные каждого пользователя с уникальной учетной запись во внешней системе или сопоставить набор пользователей, прошедших проверку подлинности, с отдельной учетной записью группы. Business Connectivity Services также может использовать службу Secure Store, чтобы хранить учетные данные для доступа к локальному источнику данных из SharePoint Online.

  • Среда выполнения SharePoint может использовать службу Secure Store, чтобы хранить учетные данные для связи со службами Azure, если любым пользовательским приложениям требуется среда выполнения SharePoint для подготовки и использования служб Azure.

Подготовка службы Secure Store

При подготовке к развертыванию службы Служба Secure Store необходимо учитывать следующие рекомендации:

  • Перед созданием нового ключа шифрования необходимо создать резервную копию базы данных Служба Secure Store. Кроме того, резервную копию базы данных Служба Secure Store следует создавать после ее создания, а также при каждом повторном шифровании учетных данных. После создания нового ключа его можно использовать для повторного шифрования учетных данных. Если не удается обновить ключ или утрачена парольная фраза, учетные данные будут недоступны для использования.

  • Создавать резервную копию ключа шифрования следует после начальной настройки службы Служба Secure Store, а также после каждого повторного создания ключа.

  • Следует отдельно хранить носители с резервными копиями ключа шифрования и базы данных Secure Store. Если какой-либо пользователь получит копию базы данных и ключа, сохраненные в базе данных учетные данные могут быть раскрыты.

Так как служба Служба Secure Store используется для хранения конфиденциальных данных, для большей безопасности мы рекомендуем придерживаться следующих правил:

  • Запускайте службу Служба Secure Store в отдельном пуле приложений, который не используется другими службами.

  • Создавайте базу данных Служба Secure Store на отдельном сервере под управлением SQL Server. При этом не следует использовать экземпляр SQL Server, в котором хранится база данных контента.

Конечные приложения в Secure Store

Конечное приложение — это коллекция информации, которая сопоставляет пользователя или пользователей с набором зашифрованных учетных данных, хранимых в базе данных Secure Store. Конечные приложения содержат следующую определяемую вами информацию:

  • Является ли это индивидуальным или групповым сопоставлением.

  • Какие поля следует сохранить в базе данных Secure Store. (По умолчанию это "Имя пользователя Windows" и "Пароль Windows", однако можно выбрать дополнительные поля, зависящие от приложения.)

  • Пользователи с разрешениями на администрирование конечного приложения.

  • Отдельный пользователь или группа, с которыми вы сопоставляете учетные данные.

Каждое конечное приложение имеет задаваемый пользователем уникальный код приложения, который используется для ссылки на конечное приложение из внешних приложений, таких как службы Excel Online или SharePoint Designer.

Сопоставление учетных данных Secure Store

Служба Secure Store поддерживает сопоставления отдельных пользователей и групп. Сопоставление групп означает, что каждый участник отдельной группы в домене сопоставляется с тем же набором учетных данных. При сопоставлении отдельных пользователей каждому пользователю сопоставляется уникальный набор учетных данных. Сопоставления отдельных пользователей рекомендуется применять в том случае, когда требуется заносить в журнал сведения о доступе отдельных пользователей к общим ресурсам. Для сопоставлений групп на уровне безопасности учетные данные для нескольких пользователей домена сопоставляются с одним набором учетных данных из базы данных Secure Store. С групповыми сопоставлениями легче работать, чем с индивидуальными, кроме того, они позволяют повысить производительность.

Служба Secure Store и проверка подлинности на основе утверждений

Служба Secure Store реализована на основе утверждений. Эта служба принимает маркеры безопасности и расшифровывает их для получения идентификатора приложения, после чего выполняет поиск. Служба маркеров безопасности SharePoint Server (STS) выдает маркер безопасности в ответ на запрос проверки подлинности. После этого служба Secure Store расшифровывает маркер и считывает идентификатор приложения. Этот идентификатор используется службой Secure Store для извлечения учетных данных из базы данных Secure Store. Извлеченные учетные данные используются для авторизации доступа к ресурсам.

See also

Настройка службы Secure Store в SharePoint Server