在 SharePoint Server 中設定 Secure Store Service

 

**適用版本:**SharePoint Server 2013, SharePoint Server 2016

**上次修改主題的時間:**2017-07-14

摘要: 在 Secure Store Service 中設定授權憑證存放至 SharePoint Server 2013 或 SharePoint Server 2016 伺服器陣列。

本文說明如何在 SharePoint Server 伺服器陣列上設定 Secure Store Service。Secure Store 具有相關的重要規劃考量。請務必先閱讀<規劃 SharePoint Server 的 Secure Store Service>,再開始進行本文的程序。

本文內容:

  • 設定 Secure Store

  • 使用加密金鑰

  • 在 Secure Store 中儲存認證

  • 建立目標應用程式

  • 設定目標應用程式的認證

  • 啟用稽核記錄

在 SharePoint Server 中設定 Secure Store

Secure Store 服務會在應用程式和前端伺服器腳色下執行。當您建立 Secure Store 服務應用程式時,其會進行自動佈建。

若要設定 Secure Store,請執行下列步驟:

  1. 在 SharePoint Server 中註冊受管理帳戶,以執行 Secure Store 應用程式集區。

  2. 在伺服器陣列的應用程式伺服器上啟動 Secure Store Service。(僅限 SharePoint Server 2013)

  3. 建立 Secure Store Service 服務應用程式。

您必須具有標準網域帳戶,才能執行應用程式集區。此帳戶不需要任何特定權限。在 Active Directory 中建立帳戶之後,請執行下列步驟,使用 SharePoint Server 來註冊帳戶。

註冊受管理帳戶

  1. 在 SharePoint 管理中心網站首頁的左方導覽中,按一下 [安全性]。

  2. 在 [安全性] 頁面上,按一下 [一般安全性] 區段中的 [設定受管理帳戶]。

  3. 在 [受管理帳戶] 頁面上,按一下 [註冊受管理帳戶]。

  4. 在 [使用者名稱] 方塊中,輸入帳戶的名稱。

  5. 在 [密碼] 方塊中,輸入帳戶的密碼。

  6. 若要讓 SharePoint Server 處理帳戶的密碼變更,請選取 [啟動自動變更密碼] 方塊並指定要使用的密碼變更參數。

  7. 按一下 [確定]。

如果您使用 SharePoint Server 2013,則必須在伺服器陣列中的應用程式伺服器上啟動 Secure Store Service。(如果您使用 SharePoint Server 2016,將由 MinRole 自動啟動服務。)

若要啟動 Secure Store Service (SharePoint Server 2013)

  1. 在管理中心首頁上,按一下 [系統設定] 區段中的 [管理伺服器上的服務]。

  2. 在 [服務] 清單上方,按一下 [伺服器] 下拉式清單,然後按一下 [變更伺服器]。

  3. 選取您要執行 Secure Store Service 的應用程式伺服器。

  4. 在 [服務] 清單上,按一下 [Secure Store Service] 旁的 [啟動]。

下一步,您必須建立 Secure Store Service 服務應用程式。請使用下列程序來建立服務應用程式。

建立 Secure Store Service 服務應用程式

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 在 [管理服務應用程式] 頁面上,依序按一下 [新增] 和 [Secure Store Service]。

  3. 在 [服務應用程式名稱] 方塊中,輸入服務應用程式的名稱 (例如 Secure Store Service)。

  4. 在 [資料庫伺服器] 方塊中,輸入您要建立 Secure Store 資料庫的 SQL Server 執行個體。

    注意

    由於 Secure Store 資料庫會包含機密資訊,因此建議您將 Secure Store 資料庫部署至和其餘 SharePoint Server 不同的 SQL Server 執行個體。

  5. 選取 [建立新的應用程式集區] 選項,然後在文字方塊中輸入應用程式集區的名稱。

  6. 選取 [可設定] 選項,然後從下拉式清單中選取稍早建立的受管理帳戶。

  7. 按一下 [確定]。

現在即已設定 Secure Store Service。下一步是產生加密金鑰來加密 Secure Store 資料庫。

使用 Secure Store 加密金鑰

使用 Secure Store Service 之前,您必須產生加密金鑰。此金鑰可用來加密及解密儲存在 Secure Store Service 資料庫中的認證。

產生加密金鑰

第一次存取 Secure Store Service 應用程式時,唯一的選項是產生新的加密金鑰。一旦產生金鑰之後,即可使用 Secure Store 的其餘功能。

產生新的加密金鑰

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [金鑰管理] 群組中,按一下 [產生新的金鑰]。

  4. 在 [產生新的金鑰] 頁面的 [複雜密碼] 方塊中,輸入複雜密碼字串,然後在 [確認複雜密碼] 方塊中輸入相同的字串。此複雜密碼會用來加密 Secure Store 資料庫。

    重要

    複雜密碼字串至少必須要有八個字元,且至少必須包含下列四種元素的其中三項:

    • 大寫字元

    • 小寫字元

    • 數字

    • 下列任一特殊字元

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    重要

    系統不會儲存您所輸入的複雜密碼,請務必將其寫下並置於安全之處。重新整理金鑰時將會需要它,例如當您新增應用程式伺服器至伺服器陣列時。

  5. 按一下 [確定]。

做為安全性預防措施或定期維護的一部分,您可能會決定產生新加密金鑰,並根據新金鑰將 Secure Store Service 強制重新加密。您可以使用此相同程序來執行此作業。

警告

您應該先備份 Secure Store Service 應用程式的資料庫,然後再產生新金鑰。

重新整理 Secure Store 加密金鑰

重新整理加密金鑰會將金鑰傳播至伺服器陣列中的所有應用程式伺服器。如果發生下列任何情況,則您可能需要重新整理加密金鑰:

  • 將新的應用程式伺服器新增至伺服器陣列。

  • 還原先前備份的 Secure Store Service 資料庫,而且已變更加密金鑰。

  • 接收到「無法取得主要金鑰」錯誤訊息。

重新整理加密金鑰

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [金鑰管理] 群組中,按一下 [重新整理金鑰]。

  4. 在 [複雜密碼] 方塊中,輸入一開始用來產生加密金鑰的複雜密碼。

    此複雜密碼是初始化 Secure Store Service 服務應用程式時所使用的複雜密碼,或是使用 [產生新的金鑰] 命令建立新金鑰時所使用的複雜密碼。

  5. 按一下 [確定]。

在 Secure Store 中儲存認證

透過 Secure Store「目標應用程式」即可完成 Secure Store 中的認證儲存。目標應用程式會將使用者、群組或宣告的認證,對應至儲存在 Secure Store 資料庫中的一組加密認證。建立目標應用程式之後,就可以建立它與外部內容類型或應用程式模型的關聯,或是搭配 Excel Online 或 Visio Services 等商務智慧服務使用,以提供外部資料來源的存取。當 SharePoint Server 服務應用程式呼叫目標應用程式時,Secure Store 會確認提出要求的使用者是否為目標應用程式的授權使用者,然後再擷取加密認證。SharePoint Server 服務應用程式接著會代表使用者使用認證。

若要建立目標應用程式,您必須執行下列動作:

  1. 建立目標應用程式本身,然後指定要儲存在 Secure Store 資料庫中的認證類型、目標應用程式的管理員及認證擁有者。

  2. 指定要儲存的認證。

建立目標應用程式

目標應用程式是設定於管理中心的 [Secure Store Service 應用程式] 頁面上。請使用下列程序來建立目標應用程式。

建立目標應用程式

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在 [管理目標應用程式] 群組中,按一下 [新增]。

  4. 在 [目標應用程式識別碼] 方塊中,輸入文字字串。

    這是您在外部用來識別此目標應用程式的唯一字串。

  5. 在 [顯示名稱] 方塊中輸入文字字串,此字串將用來在使用者介面中顯示目標應用程式的識別碼。

  6. 在 [連絡人電子郵件] 方塊中,輸入此目標應用程式之主要連絡人的電子郵件地址。

    這可以是任何合法電子郵件地址,而且不需要是 Secure Store Service 應用程式管理員的身分識別。

  7. 當您建立類型為 [個人] 的目標應用程式 (請參閱下面內容) 時,可以實作讓使用者新增目的地資料來源之個別認證的自訂網頁。這需要自訂程式碼,才能將認證傳送至目標應用程式。如果您這樣做,請在 [目標應用程式頁面 URL] 欄位中輸入此頁面的完整 URL。共有三個選項可供選擇:

    • 使用預設頁面:任何使用目標應用程式存取外部資料的網站都會自動新增個別的註冊頁面。此頁面的 URL 為 http:/<範例網站>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<目標應用程式識別碼>,其中 <目標應用程式識別碼> 是在 [目標應用程式識別碼] 方塊中輸入的字串。只要傳播此頁面的位置,即可讓使用者新增其對外部資料來源的認證。

    • 使用自訂頁面:您可以提供讓使用者提供個別認證的自訂網頁。請在此欄位中輸入自訂頁面的 URL。

    • :沒有註冊頁面。只有 Secure Store Service 管理員才能使用 Secure Store Service 應用程式來新增個別認證。

  8. 在 [目標應用程式類型] 下拉式清單中,選擇目標應用程式類型:[群組] (適用於群組認證) 或 [個人] (如果每一位使用者是要對應至外部資料來源上的唯一一組認證)。

    注意

    有兩種主要類型可用來建立目標應用程式:

    • 群組,用來將一或多個群組的所有成員對應至外部資料來源上的單一一組認證。

    • 個人,用於將每一位使用者對應至外部資料來源上的唯一一組認證。

  9. 按 [下一步]。

  10. 使用 [指定安全認證儲存目標應用程式的認證欄位] 頁面,來設定提供認證給外部資料來源時可能需要的各種欄位。預設會列出兩個欄位:[Windows 使用者名稱] 與 [Windows 密碼]。

    若要新增用來將認證提供給外部資料來源的其他欄位,請在 [指定安全認證儲存目標應用程式的認證欄位] 頁面上按一下 [新增欄位]。

    新欄位的類型預設是 [泛用]。下列是可用的欄位類型:

    欄位 描述

    泛用

    無法放入任何其他類別的值。

    使用者名稱

    可識別使用者的使用者帳戶。

    密碼

    秘密文字或片語。

    PIN

    個人識別碼。

    金鑰

    可決定密碼編譯演算法或加密之功能輸出的參數。

    Windows 使用者名稱

    可識別使用者的 Windows 使用者帳戶。

    Windows 密碼

    Windows 帳戶的秘密文字或片語。

    憑證

    憑證。

    憑證密碼

    憑證的密碼。

    • 若要變更新的或現有欄位的類型,請按一下出現在欄位類型旁的箭頭,然後選取新的欄位類型。

      注意

      當您設定此目標應用程式的認證時,每個新增的欄位都必須內含資料。

    • 您可以變更使用者在與欄位互動時看到的名稱。在 [指定安全認證儲存目標應用程式的認證欄位] 頁面的 [欄位名稱] 欄中,選取目前文字並輸入新文字,以變更欄位名稱。

    • 對欄位進行遮罩處理時,不會顯示使用者所輸入的每個字元,但會將它們取代為遮罩字元 (如星號 "*")。若要對欄位進行遮罩處理,請在頁面的 [已遮罩] 欄中按一下該欄位的核取方塊。

    • 若要刪除欄位,請在頁面的 [刪除] 欄中按一下該欄位的刪除圖示。

    當您完成認證欄位的編輯時,請按 [下一步]。

  11. 在 [指定成員資格設定] 頁面的 [目標應用程式管理員] 欄位中,列出所有具有目標應用程式設定管理權的使用者。

  12. 如果目標應用程式類型是群組,則會在 [成員] 欄位中列出使用者群組,以對應至此目標應用程式的一組認證。

  13. 按一下 [確定] 完成目標應用程式的設定。

設定 Secure Store 目標應用程式的認證

建立目標應用程式之後,該目標應用程式的管理員就可以設定它的認證。呼叫應用程式會使用這些認證,來提供外部資料來源的存取。如果目標應用程式的類型是 [個人],也可以讓使用者提供自己的認證。

設定目標應用程式的認證

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 按一下 [Secure Store Service 應用程式]。

  3. 在目標應用程式清單中,指向您要設定認證的目標應用程式、按一下出現的箭號,然後按一下功能表中的 [設定認證]。

    如果目標應用程式的類型是 [群組],請輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。

    如果目標應用程式的類型是 [個人],請輸入會對應至外部資料來源上這一組認證之個人的使用者名稱,並輸入外部資料來源的認證。根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。

  4. 按一下 [確定]。

設定目標應用程式的認證之後,像是 Business Connectivity Services、Excel Services 或 Visio Services 等 SharePoint Server 服務即可使用此認證。

啟用 Secure Store Service 稽核記錄檔

Secure Store Service 的稽核項目會儲存在 Secure Store Service 資料庫中。預設為停用稽核記錄檔。

稽核記錄項目中儲存了 Secure Store Service 動作的相關資訊,例如,何時執行、是否成功、若未成功的話失敗原因為何、執行 Secure Store Service 的使用者,以及以何人名義執行的選用 Secure Store Service 使用者等相關資訊。因此,啟用稽核記錄檔的原因通常是要疑難排解驗證問題。

使用管理中心啟用稽核記錄

  1. 在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 選取 Secure Store Service 應用程式 (也就是只選取服務應用程式,而不要按一下連結以移至 Secure Store Service 應用程式設定頁面)。

  3. 在功能區上,按一下 [內容]。

  4. 從 [啟用稽核] 區段,按一下以選取 [稽核記錄已啟用] 方塊。

  5. 若要變更清除稽核記錄檔項目的天數,請在 [清除前的天數] 欄位中指定天數。預設值為 30 天。

  6. 按一下 [確定]。

See also

SharePoint Server 2016 的 secure Store Service cmdlet