規劃 Secure Store Service (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2016-11-30
在 Microsoft SharePoint Server 2010 中,Secure Store Service 會取代單一登入 (SSO) 功能。Secure Store Service 是包含安全的資料庫之宣告感知授權服務,可儲存與應用程式識別碼相關的認證。這些應用程式識別碼可用以授權存取外部資料來源。
本文內容:
關於 Secure Store Service
Secure Store Service 準備
應用程式識別碼
Secure Store Service 對應
Secure Store Service 與宣告驗證
關於 Secure Store Service
Secure Store Service 是執行於應用程式伺服器上的授權服務。Secure Store Service 提供用以儲存應用程式識別碼之認證 (包含使用者身分識別與密碼) 的資料庫,而應用程式可使用此識別碼授權存取共用資源。例如,SharePoint Server 2010 可使用 Secure Store 資料庫,儲存及擷取存取外部資料來源的認證。Secure Store Service 可儲存使用多個應用程式識別碼之多重後端系統的認證。
Secure Store Service 準備
準備部署 Secure Store Service 時,請注意下列重要規則:
請在任何其他服務未使用的個別應用程式集區中,執行 Secure Store Service。
請在任何其他服務未使用的個別應用程式伺服器上,執行 Secure Store Service。
請在執行 SQL Server 的個別應用程式伺服器上,建立 Secure Store 資料庫。請勿使用包含內容資料庫的相同 SQL Server 安裝。
請先備份 Secure Store 資料庫,再產生新的加密金鑰。請在首次建立 Secure Store 資料庫之後即加以備份,再於每次重新加密認證時重新備份。產生新的金鑰時,可使用新的金鑰重新加密認證。若更新金鑰失敗,或忘記複雜密碼,則無法使用認證。
請在首次設定 Secure Store Service 之後備份加密金鑰,再於每次重新產生時重新備份金鑰。
請勿將加密金鑰備份媒體儲存在 Secure Store 資料庫備份媒體的相同位置。若使用者取得內含資料庫與金鑰的複本,可能會危害儲存於資料庫中的認證。
應用程式識別碼
每個 Secure Store Service 項目都包含應用程式識別碼,可用以從 Secure Store 資料庫擷取一組認證。每個應用程式識別碼皆可套用權限,僅讓特定使用者或群組可存取為該應用程式識別碼所儲存的認證。應用程式會使用應用程式識別碼,代表使用者從 Secure Store 資料庫擷取認證。然後,應用程式即可使用擷取的認證存取資料來源。
應用程式識別碼係用以對應使用者與認證組。此對應適用於群組或個人。在群組對應中,特定網域群組成員的每一位使用者,都會對應至同一組認證。在個別對應中,每一位使用者皆會對應至唯一的認證組。
Secure Store Service 對應
Secure Store Service 支援個別對應及群組對應。Secure Store Service 會維持一組認證,供儲存在 Secure Store 資料庫之資源的應用程式識別碼所用。應用程式的個別認證會根據應用程式識別碼擷取。若需要個別使用者存取共用資源的記錄資訊,則個別對應十分有用。若是群組對應,則安全性層級會針對資源 (由儲存在 Secure Store 資料庫中的應用程式識別碼所識別) 的一組認證,檢查多位網域使用者的群組認證。維護群組對應比維護個別對應簡單,效能也較佳。
Secure Store Service 與宣告驗證
Secure Store Service 是宣告感知服務,可接受安全性 Token,並對其解密以取得應用程式識別碼,然後再執行查閱。SharePoint Server 2010 Security Token Service (STS) 核發安全性 Token 以回應驗證要求時,Secure Store Service 會解密此 Token 並讀取應用程式識別碼值。Secure Store Service 會使用應用程式識別碼從 Secure Store 資料庫擷取認證,再使用此認證授權存取資源。