规划 Secure Store Service (SharePoint Server 2010)
适用于: SharePoint Server 2010
上一次修改主题: 2016-11-30
在 Microsoft SharePoint Server 2010 中,Secure Store Service 替代了单一登录 (SSO) 功能。Secure Store Service 是一项主张感知授权服务,此服务包含用于存储与应用程序 ID 相关联的凭据的安全数据库。这些应用程序 ID 可用于授予对外部数据源的访问权限。
本文内容:
关于 Secure Store Service
Secure Store Service 准备
应用程序 ID
Secure Store Service 映射
Secure Store Service 和主张验证
关于 Secure Store Service
Secure Store Service 是运行在应用程序服务器上的授权服务。Secure Store Service 提供一个用于存储应用程序 ID 的凭据(由用户标识和密码组成)的数据库,应用程序可使用这些 ID 来授予对共享资源的访问权限。例如,SharePoint Server 2010 可以使用安全存储数据库来存储和检索用于访问外部数据源的凭据。Secure Store Service 使用多个应用程序 ID 来为存储多个后端系统的凭据提供支持。
Secure Store Service 准备
准备部署 Secure Store Service 时,请注意以下重要准则:
在不用于任何其他服务的单独的应用程序池中运行 Secure Store Service。
在不用于任何其他服务的单独的应用程序服务器上运行 Secure Store Service。
在运行 SQL Server 的单独的应用程序服务器上创建安全存储数据库。不要使用包含内容数据库的相同的 SQL Server 安装。
生成新的加密密钥之前,请备份安全存储数据库。您应该在最初创建安全存储数据库之后对其进行备份,然后在每次重新加密凭据时再次对其进行备份。新的密钥生成后,凭据可由新的密钥重新进行加密。如果密钥刷新失败,或忘记了密码,凭据将不可使用。
在最初设置 Secure Store Service 之后备份加密密钥,然后在每次重新生成密钥时再次对其进行备份。
不要将加密密钥的备份媒体与安全存储数据库的备份媒体存放在相同的位置。如果用户同时获得数据库和密钥的副本,则存储在数据库中的凭据可能会泄露。
应用程序 ID
每个 Secure Store Service 项都包含一个用于从安全存储数据库中检索凭据集的应用程序 ID。每个应用程序 ID 都可以应用权限,这样,只有特定用户或组才可以访问为该应用程序 ID 存储的凭据。应用程序代表用户使用应用程序 ID 从安全存储数据库中检索凭据。然后,应用程序可以使用检索到的凭据访问数据源。
应用程序 ID 用来将用户映射到凭据集。映射可用于组或单个用户。在组映射中,作为特定域组成员的每个用户都将映射到相同的凭据集。在单用户映射中,每个用户将映射到唯一的凭据集。
Secure Store Service 映射
Secure Store Service 支持单用户映射和组映射。Secure Store Service 维护安全存储数据库中所存储资源的应用程序 ID 的凭据集。可基于应用程序 ID 检索应用程序的单用户凭据。如果需要记录有关对共享资源的单用户访问权限的信息,则单用户映射非常有用。对于组映射,安全层会根据一组凭据(即,由存储在安全存储数据库中的应用程序 ID 标识的资源的一组凭据)检查多个域用户的组凭据。组映射比单用户映射更容易维护,并且可以提供改进的性能。
Secure Store Service 和主张验证
Secure Store Service 是一项主张感知服务。该服务可以接受安全令牌,并对安全令牌进行解密以获得应用程序 ID,然后执行查找。当 SharePoint Server 2010 安全令牌服务 (STS) 发出一个安全令牌以响应身份验证请求时,Secure Store Service 将对该令牌进行解密并读取应用程序 ID 值。Secure Store Service 使用应用程序 ID 从安全存储数据库中检索凭据,然后使用凭据授予对资源的访问权限。