設定 Secure Store Service (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2017-01-19
本文說明 Microsoft SharePoint Server 2010 Secure Store Service 作業,可讓解決方案設計者用來建立將使用者及群組認證對應至外部資料來源認證的目標應用程式。使用這些目標應用程式,Business Data Connectivity Service 中的外部內容類型就可以與其外部資料來源互動,以讀取、寫入、建立以及編輯外部資料來源中所儲存的資料。如需 Secure Store Service 的概觀,請參閱<規劃 Secure Store Service (SharePoint Server 2010)>。
使用 Secure Store Service 建立目標應用程式之前,您必須提供複雜密碼。複雜密碼可用於產生金鑰,再以此金鑰加密及解密儲存在 Secure Store Service 資料庫中的認證。若您必須提供起始複雜密碼,則會在開啟 Secure Store Service 應用程式執行個體時看到下列訊息:[請針對此 Secure Store Service 應用程式產生新的金鑰]。
本文內容:
初始化 Secure Store Service 應用程式的執行個體
重新整理加密金鑰
產生新的加密金鑰
建立目標應用程式
設定目標應用程式的認證
啟用稽核記錄
注意
您可使用管理中心來完成下列程序。若您想要使用 Windows PowerShell,請參閱指令碼中心的使用 PowerShell 設定 Secure Store Service 設定 (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x404) 及 Todd Carter 在部落格文章精靈喜歡他的 GUID(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x404)(可能為英文網頁) 中<建立 Secure Store Service 及 Proxy>的內容。此外,若您想要使用稽核記錄檔,您必須使用 New-SPSecureStoreServiceApplication Cmdlet 或 Set-SPSecureStoreServiceApplication Cmdlet 的 AuditingEnabled 與 AuditlogMaxSize 參數。
初始化 Secure Store Service 應用程式的執行個體
您可以使用功能區之 [編輯] 群組中的命令,初始化 Secure Store Service 應用程式的執行個體。
若要初始化 Secure Store Service 應用程式的執行個體
確認您具備下列管理認證:
- 您必須是 Secure Store Service 執行個體的服務應用程式管理員。
在 Secure Store Service 應用程式的執行個體中,按一下 [管理] 索引標籤。
在金鑰管理群組中,按一下 [產生新的金鑰]。
在 [產生新的金鑰] 頁面上,於 [複雜密碼] 方塊中輸入複雜密碼字串,再於 [確認複雜密碼] 方塊中輸入相同的字串。
重要
複雜密碼字串至少必須要有八個字元,且至少必須包含下列四種元素的其中三項:
-
大寫字元
-
小寫字元
-
數字
-
下列任一特殊字元
“! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
提示
系統不會儲存您所輸入的複雜密碼,請務必將其寫下並置於安全之處。重新整理金鑰時將會需要它,例如當您在伺服器陣列中新增應用程式伺服器時。
-
按一下 [確定]。
如果是下列情況,則可能需要重新整理加密金鑰:
將新的應用程式伺服器新增至伺服器陣列。
還原先前備份的 Secure Store Service 資料庫,而且已變更加密金鑰。
接收到 [無法取得主要金鑰] 錯誤訊息。
重新整理加密金鑰
您可以使用功能區之 [金鑰管理] 群組中的命令來重新整理加密金鑰。
若要重新整理加密金鑰
確認您具備下列管理認證:
- 您必須是 Secure Store Service 執行個體的服務應用程式管理員。
在 Secure Store Service 應用程式的執行個體中,按一下 [管理] 索引標籤。
在 [金鑰管理] 群組中,按一下 [重新整理金鑰]。
在 [複雜密碼] 方塊中,輸入一開始用來產生加密金鑰的複雜密碼。
這會是初始化 Secure Store Service 應用程式時使用的複雜密碼,或是使用 [產生新的金鑰] 命令建立新金鑰時使用的複雜密碼。
按一下 [確定]。
產生新的加密金鑰
作為安全性預防措施或定期維護的一部分,您可能會決定產生新加密金鑰,並選擇性地根據新金鑰將 Secure Store Service 強制重新加密。
警告
您應該先備份 Secure Store Service 應用程式的資料庫,再產生新金鑰。
若要產生新的加密金鑰
確認您具備下列管理認證:
- 您必須是 Secure Store Service 執行個體的服務應用程式管理員。
在 Secure Store Service 應用程式的執行個體中,按一下 [管理] 索引標籤。
在 [金鑰管理] 群組中,按一下 [產生新的金鑰]。
在 [產生新的金鑰] 頁面上,於 [複雜密碼] 方塊中輸入複雜密碼字串,再於 [確認複雜密碼] 方塊中輸入相同的字串。
重要
複雜密碼字串至少必須要有八個字元,且至少必須包含下列四種元素的其中三項:
-
大寫字元
-
小寫字元
-
數字
-
下列任一特殊字元
“! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
提示
系統不會儲存您所輸入的複雜密碼,請務必將其寫下並置於安全之處。重新整理金鑰時將會需要它,例如當您在伺服器陣列中新增應用程式伺服器時。
-
若要強制重新加密 Secure Store Service 資料庫,請按一下 [使用新的金鑰重新加密資料庫]。
按一下 [確定]。
建立目標應用程式
您可以使用 Secure Store Service 建立目標應用程式。目標應用程式會將使用者、群組或宣告的認證對應至外部資料來源 (如 SQL Server 資料庫或 Web 服務) 上的一組認證。建立目標應用程式之後,就可以建立它與外部內容類型或應用程式模型的關聯,以提供外部資料來源的存取權。
若要建立目標應用程式
確認您具備下列管理認證:
- 您必須是 Secure Store Service 執行個體的服務應用程式管理員。
在 Secure Store Service 應用程式的執行個體中,按一下 [管理] 索引標籤。
在 [管理目標應用程式] 群組中,按一下 [新增]。
在 [目標應用程式識別碼] 方塊中,輸入文字字串。
這是 Secure Store Service 應用程式內部用來識別此目標應用程式的唯一字串。
在 [顯示名稱] 方塊中輸入文字字串,以用來在使用者介面中顯示目標應用程式的識別項。
在 [連絡人電子郵件] 方塊中,輸入此目標應用程式之主要連絡人的電子郵件地址。
這可以是任何合法電子郵件地址,而且不需要是 Secure Store Service 應用程式之管理員的身分識別。
當您建立類型為 [個人] 的目標應用程式 (請參閱下面) 時,可以實作讓使用者新增目的地資料來源之個別認證的自訂網頁。這需要自訂程式碼,才能將認證傳遞給目標應用程式。如果您這樣做,請在 [目標應用程式頁面 URL] 欄位中輸入此頁面的完整 URL。共有三個選項可供選擇:
使用提供的頁面:任何使用目標應用程式存取外部資料的網站都會自動新增個別的註冊頁面。此頁面的 URL 會是 http:/<範例網站>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<目標應用程式識別碼>,其中 <目標應用程式識別碼> 是在 [目標應用程式識別碼] 方塊中輸入的字串。只要傳播此頁面的位置,即可讓使用者新增其對外部資料來源的認證。
使用自訂頁面:您可以提供讓使用者提供個別認證的自訂網頁。請在此欄位中輸入自訂頁面的 URL。
無:沒有註冊頁面。只有 Secure Store Service 管理員才能使用 Secure Store Service 應用程式新增個別認證。
在 [目標應用程式類型] 方塊中,輸入目標應用程式類型:[群組] (適用於群組認證) 或 [個人] (如果每個個人是要對應至外部資料來源上的唯一一組認證)。
注意
有兩種主要類型,可用來建立目標應用程式:
-
群組,用來將一或多個群組的所有成員對應至外部資料來源上的單一一組認證。
-
個人,用於將每個個人對應至外部資料來源上的唯一一組認證。
-
如果外部資料來源上的認證是 Windows 認證,則請核取 [Windows] 核取方塊。
如果外部資料來源上的認證不是 Windows 認證,則請清除核取方塊。
按 [下一步] 設定欄位,以用來將認證提交給外部資料來源。
使用 [指定安全認證儲存目標應用程式的認證欄位] 頁面,可設定提供認證給外部資料來源時可能需要的各種欄位。預設會列出兩個欄位:[使用者名稱] 與 [密碼]。
若要新增用來將認證提供給外部資料來源的其他欄位,請在 [指定安全認證儲存目標應用程式的認證欄位] 頁面上按一下 [新增欄位]。
新欄位的類型預設是 [泛用]。下列是可用的欄位類型:
欄位 描述 泛用
無法放入任何其他類別的值。
使用者名稱
可識別使用者的使用者帳戶。
密碼
秘密文字或片語。
PIN
個人識別碼。
機碼
可決定密碼編譯演算法或加密之功能輸出的參數。
Windows 使用者名稱
可識別使用者的Windows 使用者帳戶。
Windows 密碼
Windows 帳戶的秘密文字或片語。
若要變更新的或現有欄位的類型,請按一下出現在欄位類型旁邊的箭頭,然後選取新的欄位類型。
注意
每個新增的欄位必須內含資料,才可提交以設定認證。
您可以變更使用者在與欄位互動時看到的名稱。在 [指定安全認證儲存目標應用程式的認證欄位] 頁面的 [欄位名稱] 欄中,選取目前文字,並輸入新文字,以變更欄位名稱。
對欄位進行遮罩處理時,不會顯示使用者所輸入的每個字元,但是會將它們取代為遮罩字元 (如星號 "*")。若要對欄位進行遮罩處理,請在該頁面的 [已遮罩] 欄中按一下該欄位的核取方塊。
若要刪除欄位,請在該頁面的 [刪除] 欄中按一下該欄位的刪除圖示。
當您完成認證欄位的編輯時,請按 [下一步]。
在 [指定成員資格設定] 頁面的 [目標應用程式管理員] 欄位中,列出所有具有目標應用程式設定管理權的使用者。
如果目標應用程式類型是群組,則會在 [成員] 欄位中列出使用者群組,以對應至此目標應用程式的一組認證。
按一下 [確定] 完成目標應用程式的設定。
設定目標應用程式的認證
建立目標應用程式之後,該目標應用程式的管理員就可以設定它的認證。Microsoft Business Connectivity Services 及其他服務會使用這些認證,提供外部資料來源的存取。如果目標應用程式的類型是 [個人],則可以選擇性地刪除個人,以提供他們自己的認證。
若要設定目標應用程式的認證
確認您具備下列管理認證:
- 您必須是 Secure Store Service 執行個體的服務應用程式管理員。
在 Secure Store Service 應用程式的執行個體中,指向目標應用程式識別項,並按一下出現的箭號,然後在功能表中按一下 [設定認證]。
如果目標應用程式的類型是 [群組],請輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。
如果目標應用程式的類型是 [個人],請輸入會對應至外部資料來源上一組認證之個人的使用者名稱,並輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。
啟用稽核記錄
Secure Store Service 的稽核項目會儲存在 Secure Store Service 資料庫中。稽核記錄檔預設為停用。
稽核記錄檔項目中儲存了 Secure Store Service 動作的相關資訊,包括何時執行、是否成功、若未成功的話失敗原因為何、執行 Secure Store Service 的使用者,以及以何人名義執行的選用 Secure Store Service 使用者等相關資訊。因此,啟用稽核記錄檔的原因通常是要疑難排解驗證問題。
注意
若 Secure Store Service 資料庫是設定為唯讀,稽核記錄檔就必須停用,否則,驗證期間會出現下列錯誤訊息:「無法完成此動作,因為 Secure Store Shared Service 沒有回應。請連絡系統管理員。」
使用管理中心啟用稽核記錄
確認執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。
在管理中心首頁上,按一下 [應用程式管理]。
在 [應用程式管理] 頁面上,按一下 [服務應用程式] 區段中的 [管理服務應用程式]。
在 [服務應用程式] 索引標籤上,按一下 [Secure Store] (此類型應與 Secure Store Service 應用程式相關聯)。
在功能區上,按一下 [內容]。
在 [啟用稽核] 區段上,按一下 [稽核記錄已啟用] 核取方塊,以選取此功能。
若要變更清除稽核記錄檔項目的天數,請在 [清除前的天數] 欄位中指定天數。預設值為 30 天。
按一下 [確定]。