本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 SharePoint 2013 中設定 Secure Store Service

 

適用版本:SharePoint Server 2013 Enterprise

上次修改主題的時間:2015-03-09

摘要:在 SharePoint Server 2013 伺服器陣列上設定 Secure Store Service 中的授權認證儲存,並包含影片示範。

本文說明如何在 SharePoint Server 2013 伺服器陣列上設定 Secure Store Service。Secure Store 具有相關的重要規劃考量。請務必先閱讀<規劃 SharePoint Server 2013 的 Secure Store Service>,再開始進行本文的程序。

本文內容:

這段影片顯示本文所述在 SharePoint Server 2013 中設定 Secure Store Service 服務應用程式 服務應用程式時的相關步驟。

影片:在 SharePoint 2013 中設定 Secure Store Service

視訊 (播放按鈕) 圖示

若要設定 Secure Store,請執行下列步驟:

  1. 在 SharePoint Server 2013 中註冊受管理帳戶,以執行 Secure Store 應用程式集區。

  2. 在伺服器陣列的應用程式伺服器上啟動 Secure Store Service。

  3. 建立 Secure Store Service 服務應用程式。

您必須具有標準網域帳戶,才能執行應用程式集區。此帳戶不需要任何特定權限。在 Active Directory 中建立帳戶之後,請執行下列步驟,使用 SharePoint Server 2013 來註冊帳戶。

註冊受管理帳戶
  1. 在 SharePoint 管理中心網站首頁的左方導覽中,按一下 [安全性]。

  2. 在 [安全性] 頁面上,按一下 [一般安全性] 區段中的 [設定受管理帳戶]。

  3. 在 [受管理帳戶] 頁面上,按一下 [註冊受管理帳戶]。

  4. 在 [使用者名稱] 方塊中,輸入帳戶的名稱。

  5. 在 [密碼] 方塊中,輸入帳戶的密碼。

  6. 若要讓 SharePoint Server 2013 處理帳戶的密碼變更,請選取 [啟動自動變更密碼] 方塊並指定要使用的密碼變更參數。

  7. 按一下 [確定]。

設定註冊的帳戶之後,您必須在伺服器陣列的應用程式伺服器上啟動 Secure Store Service。由於 Secure Store 會處理機密資訊,因此建議您僅針對 Secure Store Service 使用個別的應用程式伺服器,以增強安全性。

啟動 Secure Store Service
  1. 在管理中心首頁上,按一下 [系統設定] 區段中的 [管理伺服器上的服務]。

  2. 在 [服務] 清單上方,按一下 [伺服器] 下拉式清單,然後按一下 [變更伺服器]。

  3. 選取您要執行 Secure Store Service 的應用程式伺服器。

  4. 在 [服務] 清單上,按一下 [Secure Store Service] 旁的 [啟動]。

一旦服務已啟動,您就必須建立 Secure Store Service 服務應用程式。請使用下列程序來建立服務應用程式。

建立 Secure Store Service 服務應用程式
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 在 [管理服務應用程式] 頁面上,依序按一下 [新增] 和 [Secure Store Service]。

  3. 在 [服務應用程式名稱] 方塊中,輸入服務應用程式的名稱 (例如 Secure Store Service)。

  4. 在 [資料庫伺服器] 方塊中,輸入您要建立 Secure Store 資料庫的 SQL Server 執行個體。

    注意事項 附註:
    由於 Secure Store 資料庫會包含機密資訊,因此建議您將 Secure Store 資料庫部署至和其餘 SharePoint Server 2013 不同的 SQL Server 執行個體。
  5. 選取 [建立新的應用程式集區] 選項,然後在文字方塊中輸入應用程式集區的名稱。

  6. 選取 [可設定] 選項,然後從下拉式清單中選取稍早建立的受管理帳戶。

  7. 按一下 [確定]。

現在即已設定 Secure Store Service。下一步是產生加密金鑰來加密 Secure Store 資料庫。

使用 Secure Store Service 之前,您必須產生加密金鑰。此金鑰可用來加密及解密儲存在 Secure Store Service 資料庫中的認證。

第一次存取 Secure Store Service 應用程式時,唯一的選項是產生新的加密金鑰。一旦產生金鑰之後,即可使用 Secure Store 的其餘功能。

產生新的加密金鑰
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [金鑰管理] 群組中,按一下 [產生新的金鑰]。

  4. 在 [產生新的金鑰] 頁面的 [複雜密碼] 方塊中,輸入複雜密碼字串,然後在 [確認複雜密碼] 方塊中輸入相同的字串。此複雜密碼會用來加密 Secure Store 資料庫。

    重要事項 重要事項:
    複雜密碼字串至少必須要有八個字元,且至少必須包含下列四種元素的其中三項:
    • 大寫字元

    • 小寫字元

    • 數字

    • 下列任一特殊字元

      &quot;! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    重要事項 重要事項:
    系統不會儲存您所輸入的複雜密碼,請務必將其寫下並置於安全之處。當您重新整理金鑰時將會需要它,例如,當您將新的應用程式伺服器新增至伺服器陣列時。
  5. 按一下 [確定]。

做為安全性預防措施或定期維護的一部分,您可能會決定產生新加密金鑰,並根據新金鑰將 Secure Store Service 強制重新加密。您可以使用此相同程序來執行此作業。

注意 注意:
您應該先備份 Secure Store Service 應用程式的資料庫,然後再產生新金鑰。

重新整理加密金鑰會將金鑰傳播至伺服器陣列中的所有應用程式伺服器。如果發生下列任何情況,則您可能需要重新整理加密金鑰:

  • 將新的應用程式伺服器新增至伺服器陣列。

  • 還原先前備份的 Secure Store Service 資料庫,而且已變更加密金鑰。

  • 接收到「無法取得主要金鑰」錯誤訊息。

  • 已從 SharePoint Server 2010 升級伺服器陣列。

重新整理加密金鑰
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [金鑰管理] 群組中,按一下 [重新整理金鑰]。

  4. 在 [複雜密碼] 方塊中,輸入一開始用來產生加密金鑰的複雜密碼。

    此複雜密碼是初始化 Secure Store Service 服務應用程式時所使用的複雜密碼,或是使用 [產生新的金鑰] 命令建立新金鑰時所使用的複雜密碼。

  5. 按一下 [確定]。

透過 Secure Store「目標應用程式」即可完成 Secure Store 中的認證儲存。目標應用程式會將使用者、群組或宣告的認證,對應至儲存在 Secure Store 資料庫中的一組加密認證。建立目標應用程式之後,就可以建立它與外部內容類型或應用程式模型的關聯,或是搭配 Excel Services 或 Visio Services 等商務智慧服務應用程式使用,以提供外部資料來源的存取。當 SharePoint Server 2013 服務應用程式呼叫目標應用程式時,Secure Store 會確認提出要求的使用者是否為目標應用程式的授權使用者,然後再擷取加密認證。SharePoint Server 2013 服務應用程式接著會代表使用者使用認證。

若要建立目標應用程式,您必須執行下列動作:

  1. 建立目標應用程式本身,然後指定要儲存在 Secure Store 資料庫中的認證類型、目標應用程式的管理員及認證擁有者。

  2. 指定要儲存的認證。

目標應用程式是設定於管理中心的 [Secure Store Service 應用程式] 頁面上。請使用下列程序來建立目標應用程式。

建立目標應用程式
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [管理目標應用程式] 群組中,按一下 [新增]。

  4. 在 [目標應用程式識別碼] 方塊中,輸入文字字串。

    這是您在外部用來識別此目標應用程式的唯一字串。

  5. 在 [顯示名稱] 方塊中輸入文字字串,此字串將用來在使用者介面中顯示目標應用程式的識別碼。

  6. 在 [連絡人電子郵件] 方塊中,輸入此目標應用程式之主要連絡人的電子郵件地址。

    這可以是任何合法電子郵件地址,而且不需要是 Secure Store Service 應用程式管理員的身分識別。

  7. 當您建立類型為 [個人] 的目標應用程式 (請參閱下面內容) 時,可以實作讓使用者新增目的地資料來源之個別認證的自訂網頁。這需要自訂程式碼,才能將認證傳送至目標應用程式。如果您這樣做,請在 [目標應用程式頁面 URL] 欄位中輸入此頁面的完整 URL。共有三個選項可供選擇:

    • 使用預設頁面:任何使用目標應用程式存取外部資料的網站都會自動新增個別的註冊頁面。此頁面的 URL 為 http:/<範例網站>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<目標應用程式識別碼>,其中 <目標應用程式識別碼> 是在 [目標應用程式識別碼] 方塊中輸入的字串。只要傳播此頁面的位置,即可讓使用者新增其對外部資料來源的認證。

    • 使用自訂頁面:您可以提供讓使用者提供個別認證的自訂網頁。請在此欄位中輸入自訂頁面的 URL。

    • :沒有註冊頁面。只有 Secure Store Service 管理員才能使用 Secure Store Service 應用程式來新增個別認證。

  8. 在 [目標應用程式類型] 下拉式清單中,選擇目標應用程式類型:[群組] (適用於群組認證) 或 [個人] (如果每一位使用者是要對應至外部資料來源上的唯一一組認證)。

    注意事項 附註:
    有兩種主要類型可用來建立目標應用程式:
    • 群組,用來將一或多個群組的所有成員對應至外部資料來源上的單一一組認證。

    • 個人,用於將每一位使用者對應至外部資料來源上的唯一一組認證。

  9. 按 [下一步]。

  10. 使用 [指定安全認證儲存目標應用程式的認證欄位] 頁面,來設定提供認證給外部資料來源時可能需要的各種欄位。預設會列出兩個欄位:[Windows 使用者名稱] 與 [Windows 密碼]。

    若要新增用來將認證提供給外部資料來源的其他欄位,請在 [指定安全認證儲存目標應用程式的認證欄位] 頁面上按一下 [新增欄位]。

    新欄位的類型預設是 [泛用]。下列是可用的欄位類型:

     

    欄位 描述

    泛用

    無法放入任何其他類別的值。

    使用者名稱

    可識別使用者的使用者帳戶。

    密碼

    秘密文字或片語。

    PIN

    個人識別碼。

    金鑰

    可決定密碼編譯演算法或加密之功能輸出的參數。

    Windows 使用者名稱

    可識別使用者的 Windows 使用者帳戶。

    Windows 密碼

    Windows 帳戶的秘密文字或片語。

    憑證

    憑證。

    憑證密碼

    憑證的密碼。

    • 若要變更新的或現有欄位的類型,請按一下出現在欄位類型旁的箭頭,然後選取新的欄位類型。

      注意事項 附註:
      當您設定此目標應用程式的認證時,每個新增的欄位都必須內含資料。
    • 您可以變更使用者在與欄位互動時看到的名稱。在 [指定安全認證儲存目標應用程式的認證欄位] 頁面的 [欄位名稱] 欄中,選取目前文字並輸入新文字,以變更欄位名稱。

    • 對欄位進行遮罩處理時,不會顯示使用者所輸入的每個字元,但會將它們取代為遮罩字元 (如星號 "*")。若要對欄位進行遮罩處理,請在頁面的 [已遮罩] 欄中按一下該欄位的核取方塊。

    • 若要刪除欄位,請在頁面的 [刪除] 欄中按一下該欄位的刪除圖示。

    當您完成認證欄位的編輯時,請按 [下一步]。

  11. 在 [指定成員資格設定]頁面的 [目標應用程式管理員] 欄位中,列出所有具有目標應用程式設定管理權的使用者。

  12. 如果目標應用程式類型是群組,則會在 [成員] 欄位中列出使用者群組,以對應至此目標應用程式的一組認證。

  13. 按一下 [確定] 完成目標應用程式的設定。

建立目標應用程式之後,該目標應用程式的管理員就可以設定它的認證。呼叫應用程式會使用這些認證,來提供外部資料來源的存取。如果目標應用程式的類型是 [個人],也可以讓使用者提供自己的認證。

設定目標應用程式的認證
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在目標應用程式清單中,指向您要設定認證的目標應用程式、按一下出現的箭號,然後按一下功能表中的 [設定認證]。

    如果目標應用程式的類型是 [群組],請輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。

    如果目標應用程式的類型是 [個人],請輸入會對應至外部資料來源上這一組認證之個人的使用者名稱,並輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。

  4. 按一下 [確定]。

設定目標應用程式的認證之後,像是 Business Connectivity Services 或 Excel Services 等 SharePoint Server 2013 服務即可使用此認證。

Secure Store Service 的稽核項目會儲存在 Secure Store Service 資料庫中。預設為停用稽核記錄檔。

稽核記錄項目中儲存了 Secure Store Service 動作的相關資訊,例如,何時執行、是否成功、若未成功的話失敗原因為何、執行 Secure Store Service 的使用者,以及以何人名義執行的選用 Secure Store Service 使用者等相關資訊。因此,啟用稽核記錄檔的原因通常是要疑難排解驗證問題。

使用管理中心啟用稽核記錄
  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 選取 Secure Store Service 應用程式 (也就是只選取服務應用程式,而不要按一下連結以移至 Secure Store Service 應用程式設定頁面)。

  3. 在功能區上,按一下 [內容]。

  4. 從 [啟用稽核] 區段,按一下以選取 [稽核記錄已啟用] 方塊。

  5. 若要變更清除稽核記錄檔項目的天數,請在 [清除前的天數] 欄位中指定天數。預設值為 30 天。

  6. 按一下 [確定]。

本影片會顯示設定 Secure Store Service 應用程式所需的步驟。

注意事項 附註:
本影片使用 SharePoint Server 2010。目標應用程式會以在 SharePoint Server 2013 中的相同方式來運作。

影片:如何在 Secure Store 中使用目標應用程式

視訊 (播放按鈕) 圖示

https://technet.microsoft.com/zh-tw/library/ee906549.aspx
顯示: