規劃 SharePoint Server 的 Secure Store Service

 

**適用版本:**SharePoint Server 2013, SharePoint Server 2016

**上次修改主題的時間:**2017-07-07

**摘要:**規劃在 SharePoint Server 2013 和 SharePoint Server 2016 中使用 Secure Store Service 而將授權認證存放在加密資料庫。

Secure Store Service 是一種宣告感知授權服務,包含用於存放認證的加密資料庫。

本文內容:

  • 關於 Secure Store Service

  • Secure Store Service 準備

  • 目標應用程式

  • Secure Store 認證對應

  • Secure Store Service 與宣告驗證

關於 Secure Store Service

Secure Store Service 是在 SharePoint Server 上執行的授權服務。Secure Store Service 提供用來存放認證的資料庫。這些認證通常包含使用者身分識別與密碼,但也可包含其他定義的欄位。例如 SharePoint Server 可使用 Secure Store 資料庫,儲存及擷取認證,以便存取外部資料來源。這些 Secure Store Service 支援多組認證存放,以便用於多個後端系統。

Secure Store 的使用方法包含下列各項:

  • Office Online 伺服器中的 Excel Online可使用 Secure Store 讓人員存取發佈在 SharePoint Server 2016 的活頁簿的外部資料來源。這可當作替代方案,不需要再將使用者的認證傳送到資料來源,傳送認證的程序通常還需要設定 Kerberos 的限制委派。

  • SharePoint Server 2013 的 Excel Services 可使用 Secure Store 讓人存取發佈活頁簿的外部資料來源。這可當作替代方案,不需要再將使用者的認證傳送到資料來源,傳送認證的程序通常還需要設定 Kerberos 委派。若要設定資料驗證的自動服務帳戶,Excel Services 需要 Secure Store。

  • Visio Services 可使用 Secure Store 讓人員存取發佈資料連結圖表的外部資料來源。這可當作替代方案,不需要再將使用者的認證傳送到資料來源,這樣的傳送認證程序通常還需要設定 Kerberos 的限制委派。若要設定資料驗證的自動服務帳戶,Visio Services 需要 Secure Store。

  • PerformancePoint Services 可使用 Secure Store 提供對外部資料來源的存取權。若要設定資料驗證的自動服務帳戶,PerformancePoint Services 需要 Secure Store。

  • Power Pivot 需要 Secure Store 來排定重新整理 PowerPivot 活頁簿的時間。

  • Microsoft Business Connectivity Services 可使用 Secure Store 將使用者的認證對應到外部系統的認證組。解決方案管理員可以選擇將每一位使用者的認證對應至外部系統上的專用帳戶,或是將一組經過驗證的使用者對應至單一群組帳戶。Business Connectivity Services 也可使用 Secure Store 來存放認證,以便存取 SharePoint Online 的内部部署資料來源。

  • 如有任何使用者應用程式需要 SharePoint 執行階段來佈建並使用 Azure Services,SharePoint 執行階段 可使用 Secure Store 來存放與 Azure 服務通訊所需的認證。

Secure Store Service 準備

準備部署 Secure Store Service 時,請注意下列重要規則:

  • 產生新的加密金鑰前,請先備份 Secure Store 資料庫。請在第一次建立 Secure Store 資料庫之後立即備份,再於每次重新加密認證時重新備份。產生新金鑰時,可使用新金鑰重新加密認證。若更新金鑰失敗,或忘記複雜密碼,則無法使用認證。

  • 請在首次設定 Secure Store 之後備份加密金鑰,再於每次重新產生時重新備份金鑰。

  • 請勿將加密金鑰備份媒體儲存在 Secure Store 資料庫備份媒體的相同位置。若使用者取得內含資料庫與金鑰的複本,可能會危害儲存於資料庫中的認證。

由於 Secure Store 是用於儲存機密資訊,為了安全起見,建議您考慮使用下列準則:

  • 請在任何其他服務未使用的個別應用程式集區中,執行 Secure Store Service。

  • 請在執行 SQL Server 的個別伺服器上,建立 Secure Store 資料庫。請勿使用與內含內容資料庫相同的 SQL Server 執行個體。

Secure Store 中的目標應用程式

「目標應用程式」 是資訊集合,將一位或多位使用者對應到存放在 Secure Store 資料庫的加密認證組。目標應用程式內含下列您定義的資訊:

  • 個別或群組對應。

  • 要存放在 Secure Store 資料庫的欄位。(預設是「Windows 使用者名稱」與「Windows 密碼」,但也可選擇其他欄位類型,視應用程式而定。)

  • 帶有可管理目標應用程式之權限的使用者。

  • 認證對應的個人或群組。

每個目標應用程式都有一個唯一「應用程式識別碼」,也就是您定義要用於參照外部應用程式的目標應用程式,例如 Excel Online 或 SharePoint Designer。

Secure store 認證對應

Secure Store Service 支援個別對應及群組對應。在群組對應中,特定網域群組成員的每一位使用者都會對應至同一組認證。在個別對應中,每一位使用者皆會對應至唯一的認證組。若需要個別使用者存取共用資源的記錄資訊,則個別對應十分有用。對於群組對應,安全性階層會對照一組存放於 Secure Store 資料庫的認證,對應多個網域使用者的認證。維護群組對應比維護個別對應簡單,效能也較佳。

Secure Store Service 與宣告驗證

是宣告感知服務,可接受安全性權杖並對其解密以取得應用程式識別碼,然後再執行查閱。SharePoint Server Security Token Service (STS) 核發安全性權杖以回應驗證要求時,Secure Store Service 會解密此權杖並讀取應用程式識別碼值。Secure Store Service 會使用應用程式識別碼從 Secure Store 資料庫擷取認證,再使用此認證授權存取資源。

See also

在 SharePoint Server 中設定 Secure Store Service