Konfigurieren von Secure Store Service (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2017-01-19
In diesem Artikel werden die Microsoft SharePoint Server 2010 Secure Store Service-Vorgänge beschrieben, mit denen Lösungsdesigner Zielanwendungen erstellen können, in denen den Anmeldeinformationen von Benutzern und Gruppen Anmeldeinformationen für externe Datenquellen zugeordnet werden. Mithilfe dieser Zielanwendungen können externe Inhaltstypen im Business Data Connectivity Service mit den zugehörigen externen Datenquellen interagieren, um Daten in externen Datenquellen zu lesen, zu schreiben, zu erstellen und zu bearbeiten. Eine Übersicht über Secure Store Service finden Sie unter Planen von Secure Store Service (SharePoint Server 2010).
Vor dem Erstellen von Zielanwendungen mit Secure Store Service müssen Sie eine Passphrase angeben. Mit der Passphrase wird ein Schlüssel generiert, mit dem die in der Secure Store Service-Datenbank gespeicherten Anmeldeinformationen verschlüsselt und entschlüsselt werden. Wenn Sie die Passphrase erstmalig eingeben müssen, wird beim Öffnen einer Secure Store Service-Anwendungsinstanz folgende Meldung angezeigt: Please generate a new key for this Secure Store Service application.
Inhalt dieses Artikels:
Initialisieren einer Instanz einer Secure Store Service-Anwendung
Aktualisieren des Verschlüsselungsschlüssels
Generieren eines neuen Verschlüsselungsschlüssels
Erstellen einer Zielanwendung
Festlegen von Anmeldeinformationen für eine Zielanwendung
Aktivieren des Überwachungsprotokolls
Hinweis
Sie verwenden die Zentraladministration, um die folgenden Verfahren auszuführen. Wenn Sie Windows PowerShell verwenden möchten, finden Sie weitere Informationen unter Konfigurieren von Secure Store Service mithilfe von PowerShell (https://go.microsoft.com/fwlink/?linkid=207030&clcid=0x407) im Script Center und in den Zeilen "Creating Secure Store Service and Proxy" des folgenden Blogbeitrags von Todd Carter, The Wizard Likes His GUIDs (https://go.microsoft.com/fwlink/?linkid=207031&clcid=0x407). Wenn Sie darüber hinaus ein Überwachungsprotokoll verwenden möchten, müssen Sie die Parameter AuditingEnabled und AuditlogMaxSize des New-SPSecureStoreServiceApplication-Cmdlets oder des Set-SPSecureStoreServiceApplication-Cmdlets verwenden.
Initialisieren einer Instanz einer Secure Store Service-Anwendung
Mithilfe von Befehlen in der Gruppe Edit des Menübands können Sie eine Instanz einer Secure Store Service-Anwendung initialisieren.
So initialisieren Sie eine Instanz einer Secure Store Service-Anwendung
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Sie müssen ein Dienstanwendungsadministrator für die Instanz von Secure Store Service sein.
Klicken Sie in einer Instanz einer Secure Store Service-Anwendung auf die Registerkarte Manage.
Klicken Sie in der Gruppe Key Management auf Generate New Key.
Geben Sie auf der Seite Generate New Key im Feld Pass Phrase eine Passphrasen-Zeichenfolge ein, und geben Sie dieselbe Zeichenfolge im Feld Confirm Pass Phrase ein.
Wichtig
Eine Passphrasen-Zeichenfolge muss mindestens 8 Zeichen lang sein und mindestens 3 der folgenden 4 Elemente enthalten:
-
Großbuchstaben
-
Kleinbuchstaben
-
Ziffern
-
Eines der folgenden Sonderzeichen:
“! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Tipp
Die eingegebene Passphrase wird nicht gespeichert. Sie sollten sie daher unbedingt aufschreiben und an einem sicheren Platz aufbewahren. Unter Umständen müssen Sie den Schlüssel aktualisieren, beispielsweise wenn Sie der Serverfarm einen neuen Anwendungsserver hinzufügen.
-
Klicken Sie auf OK.
In folgenden Fällen müssen Sie den Schlüssel aktualisieren:
Sie fügen der Serverfarm einen neuen Anwendungsserver hinzu.
Sie stellen eine zuvor gesicherte Secure Store Service-Datenbank wieder her und haben inzwischen den Schlüssel geändert.
Es tritt ein "Unable to get master key"-Fehler auf.
Aktualisieren des Verschlüsselungsschlüssels
Mithilfe von Befehlen in der Gruppe Key Management des Menübands können Sie den Verschlüsselungsschlüssel aktualisieren.
So aktualisieren Sie den Verschlüsselungsschlüssel
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Sie müssen ein Dienstanwendungsadministrator für die Instanz von Secure Store Service sein.
Klicken Sie in einer Instanz einer Secure Store Service-Anwendung auf die Registerkarte Manage.
Klicken Sie in der Gruppe Key Management auf Refresh Key.
Geben Sie im Feld Pass Phrase die Passphrase ein, die Sie anfänglich zum Generieren des Schlüssels verwendet haben.
Dies ist entweder die Passphrase, mit der Sie die Secure Store Service-Anwendung initialisiert haben, oder diejenige, die Sie beim Erstellen eines neuen Schlüssels mit dem Befehl Generate a New Key verwendet haben.
Klicken Sie auf OK.
Generieren eines neuen Verschlüsselungsschlüssels
Als Sicherheitsmaßnahme oder im Rahmen regelmäßiger Wartung möchten Sie unter Umständen einen neuen Schlüssel generieren und optional die Neuverschlüsselung von Secure Store Service mit dem neuen Schlüssel erzwingen.
Warnung
Vor dem Generieren eines neuen Schlüssels sollten Sie die Datenbank der Secure Store Service-Anwendung sichern.
So generieren Sie einen neuen Verschlüsselungsschlüssel
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Sie müssen ein Dienstanwendungsadministrator für die Instanz von Secure Store Service sein.
Klicken Sie in einer Instanz einer Secure Store Service-Anwendung auf die Registerkarte Manage.
Klicken Sie in der Gruppe Key Management auf Generate New Key.
Geben Sie auf der Seite Generate New Key im Feld Pass Phrase eine Passphrasen-Zeichenfolge ein, und geben Sie dieselbe Zeichenfolge im Feld Confirm Pass Phrase ein.
Wichtig
Eine Passphrasen-Zeichenfolge muss mindestens 8 Zeichen lang sein und mindestens 3 der folgenden 4 Elemente enthalten:
-
Großbuchstaben
-
Kleinbuchstaben
-
Ziffern
-
Eines der folgenden Sonderzeichen:
“! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Tipp
Die eingegebene Passphrase wird nicht gespeichert. Sie sollten sie daher unbedingt aufschreiben und an einem sicheren Platz aufbewahren. Unter Umständen müssen Sie den Schlüssel aktualisieren, beispielsweise wenn Sie der Serverfarm einen neuen Anwendungsserver hinzufügen.
-
Für die Neuverschlüsselung der Secure Store Service-Datenbank klicken Sie auf Re-encrypt the database using the new key.
Klicken Sie auf OK.
Erstellen einer Zielanwendung
Mit Secure Store Service erstellen Sie Zielanwendungen. Von einer Zielanwendung wird den Anmeldeinformationen einer Benutzers, einer Gruppe oder eines Anspruchs ein Satz von Anmeldeinformationen für eine externe Datenquelle zugeordnet, z. B. für eine SQL Server-Datenbank oder einen Webdienst. Nachdem eine Zielanwendung erstellt wurde, können Sie sie einem externen Inhaltstyp oder Anwendungsmodell zuordnen, um Zugriff auf eine externe Datenquelle bereitzustellen.
So erstellen Sie eine Zielanwendung
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Sie müssen ein Dienstanwendungsadministrator für die Instanz von Secure Store Service sein.
Klicken Sie in einer Instanz einer Secure Store Service-Anwendung auf die Registerkarte Manage.
Klicken Sie in der Gruppe Manage Target Applications auf New.
Geben Sie im Feld Target Application ID eine Textzeichenfolge ein.
Diese eindeutige Zeichenfolge wird intern von der Secure Store Service-Anwendung zur Identifizierung der Zielanwendung verwendet.
Geben Sie im Feld Display Name eine Textzeichenfolge ein, die auf der Benutzeroberfläche anstelle der ID der Zielanwendung angezeigt wird.
Geben Sie im Feld Contact Email die E-Mail-Adresse des primären Kontakts für die Zielanwendung ein.
Dies kann jede gültige E-Mail-Adresse sein. Es muss sich nicht um die Identität eines Administrators der Secure Store Service-Anwendung handeln.
Wenn Sie eine Zielanwendung vom Typ Individual (siehe unten) erstellen, können Sie eine benutzerdefinierte Webseite implementieren, auf der Benutzer individuelle Anmeldeinformationen für die Zieldatenquelle hinzufügen können. Hierzu müssen die Anmeldeinformationen durch benutzerdefinierten Code an die Zielanwendung übergeben werden. Wenn Sie so vorgegangen sind, geben Sie die vollständige URL dieser Seite im Feld Target Application Page URL ein. Drei Optionen sind verfügbar:
Use provided page: Websites, die über die Zielanwendung auf externe Daten zugreifen, wird automatisch eine Seite zur individuellen Anmeldung hinzugefügt. Die URL dieser Seite lautet http:/<Beispielwebsite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<Zielanwendungs-ID>. Dabei entspricht <Zielanwendungs-ID> der im Feld Target Application ID eingegebenen Zeichenfolge. Indem Sie den Speicherort dieser Seite veröffentlichen, ermöglichen Sie Benutzern, ihre Anmeldeinformationen für die externe Datenquelle hinzuzufügen.
Use custom page: Sie stellen eine benutzerdefinierte Webseite bereit, auf der Benutzer individuelle Anmeldeinformationen angeben können. Geben Sie die URL der benutzerdefinierten Seite in diesem Feld ein.
None: Es gibt keine Anmeldeseite. Individuelle Anmeldeinformationen werden nur von einem Secure Store Service-Administrator mithilfe der Secure Store Service-Anwendung hinzugefügt.
Geben Sie im Feld Target Application Type den Typ der Zielanwendung ein: Group für Gruppenanmeldeinformationen oder Individual, wenn jeder Person ein eindeutiger Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet werden soll.
Hinweis
Es gibt zwei Typen zum Erstellen einer Zielanwendung:
-
Group, um allen Mitgliedern einer oder mehrerer Gruppen einen einzelnen Satz von Anmeldeinformationen für die externe Datenquelle zuzuordnen.
-
Individual, um jedem Benutzer einen eindeutigen Satz von Anmeldeinformationen für die externe Datenquelle zuzuordnen.
-
Wenn es sich bei den Anmeldeinformationen für die externe Datenquelle um Windows-Anmeldeinformationen handelt, aktivieren Sie das Kontrollkästchen Windows.
Deaktivieren Sie das Kontrollkästchen, wenn die Anmeldeinformationen für die externe Datenquelle keine Windows-Anmeldeinformationen sind.
Klicken Sie auf Next, um die Felder zu konfigurieren, mit denen Anmeldeinformationen an die externe Datenquelle gesendet werden.
Konfigurieren Sie auf der Seite Specify the credential fields for your Secure Store Target Application die verschiedenen Felder, die erforderlich sind, um die Anmeldeinformationen für die externe Datenquelle bereitzustellen. Zwei Felder werden standardmäßig aufgeführt: User Name und Password.
Um ein weiteres Feld für die Angabe von Anmeldeinformationen für die externe Datenquelle hinzuzufügen, klicken Sie auf der Seite Specify the credential fields for your Secure Store Target Application auf Add Field.
Das neue Feld ist standardmäßig vom Typ Generic. Folgende Feldtypen sind verfügbar:
Feld Beschreibung Generisch
Werte, die in keine andere Kategorie passen.
Benutzername
Ein Benutzerkonto zur Identifizierung des Benutzers.
Kennwort
Ein geheimes Wort oder ein geheimer Ausdruck.
PIN
Eine Geheimzahl.
Schlüssel
Ein Parameter, der die funktionale Ausgabe eines Kryptografiealgorithmus oder einer Chiffre bestimmt.
Windows-Benutzername
Ein Windows-Benutzerkonto zur Identifizierung des Benutzers.
Windows-Kennwort
Ein geheimes Wort oder ein geheimer Ausdruck für ein Windows-Konto.
Zum Ändern des Typs eines neuen oder vorhandenen Felds klicken Sie auf den Pfeil neben dem Typ des Felds und wählen dann den neuen Feldtyp aus.
Hinweis
Jedes hinzugefügte Feld muss Daten enthalten, wenn es zum Festlegen von Anmeldeinformationen gesendet wird.
Sie können den Namen ändern, der dem Benutzer bei der Interaktion mit einem Feld angezeigt wird. Ändern Sie auf der Seite Specify the credential fields for your Secure Store Target Application einen Feldnamen in der entsprechenden Spalte, indem Sie den aktuellen Text markieren und neuen Text eingeben.
Wenn ein Feld maskiert ist, werden vom Benutzer eingegebene Zeichen nicht angezeigt, sondern durch ein Maskenzeichen, wie z. B. das Sternchen "*", ersetzt. Zum Maskieren eines Felds klicken Sie in der Spalte Is Masked der Seite auf das Kontrollkästchen für das Feld.
Zum Löschen eines Felds klicken Sie in der Spalte Delete der Seite auf das Löschsymbol für das Feld.
Wenn Sie mit dem Bearbeiten der Felder für die Anmeldeinformationen fertig sind, klicken Sie auf Next.
Listen Sie auf der Seite Specify the membership settings im Feld Target Application Administrators alle Benutzer auf, die Zugriff zum Verwalten der Einstellungen der Zielanwendung haben.
Wenn die Zielanwendung vom Typ Group ist, listen Sie im Feld Members die Benutzergruppen auf, denen ein Satz von Anmeldeinformationen für die Zielanwendung zugewiesen wird.
Klicken Sie auf OK, um das Konfigurieren der Zielanwendung abzuschließen.
Festlegen von Anmeldeinformationen für eine Zielanwendung
Nach dem Erstellen einer Zielanwendung kann ein Administrator der Zielanwendung die zugehörigen Anmeldeinformationen festlegen. Diese werden von Microsoft Business Connectivity Services und anderen Diensten verwendet, um den Zugriff auf eine externe Datenquelle bereitzustellen. Ist die Zielanwendung vom Typ Individual, können Sie optional einzelnen Benutzern ermöglichen, ihre eigenen Anmeldeinformationen anzugeben.
So legen Sie Anmeldeinformationen für eine Zielanwendung fest
Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:
- Sie müssen ein Dienstanwendungsadministrator für die Instanz von Secure Store Service sein.
Zeigen Sie in einer Instanz einer Secure Store Service-Anwendung auf die Zielanwendungs-ID, klicken Sie auf den angezeigten Pfeil, und klicken Sie dann im Menü auf Set credentials.
Ist die Zielanwendung vom Typ Group, geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die entsprechenden Felder variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.
Ist die Zielanwendung vom Typ Individual, geben Sie den Benutzernamen der Person ein, der ein Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet wird, und geben Sie diese Anmeldeinformationen ein. Die entsprechenden Felder variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.
Aktivieren des Überwachungsprotokolls
Überwachungseinträge für Secure Store Service werden in der Secure Store Service-Datenbank gespeichert. Standardmäßig ist das Überwachungsprotokoll deaktiviert.
Ein Überwachungsprotokolleintrag speichert Informationen zu einer Secure Store Service-Aktion. Dazu zählen der Zeitpunkt der Ausführung, Angaben zu Erfolg oder Fehler, Gründe für den Fehler, falls die Aktion nicht erfolgreich war, Angaben zum Secure Store Service-Benutzer, der die Aktion ausgeführt hat, und optional Angaben zum Secure Store Service-Benutzer, in dessen Auftrag die Aktion ausgeführt wurde. Daher kann ein Überwachungsprotokoll zur Problembehandlung bei der Authentifizierung aktiviert werden.
Hinweis
Falls für die Secure Store Service-Datenbank Schreibschutz festgelegt ist, muss die Überwachungsprotokolldatei deaktiviert werden, andernfalls wird die folgende Fehlermeldung während der Authentifizierung angezeigt: "Cannot complete this action as the Secure Store Shared Service is not responding. Please contact your administrator".
So aktivieren Sie das Überwachungsprotokoll mithilfe der Zentraladministration
Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.
Klicken Sie auf der Homepage der Zentraladministration auf Anwendungsverwaltung.
Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Dienstanwendungen auf Dienstanwendungen verwalten.
Klicken Sie auf der Registerkarte Dienstanwendung auf Einmaliges Anmelden (als Typ sollte Secure Store Service-Anwendung zugeordnet sein).
Klicken Sie auf dem Menüband auf Eigenschaften.
Aktivieren Sie im Abschnitt Überwachung aktivieren das Kontrollkästchen Überwachungsprotokoll aktiviert.
Wenn Sie die Anzahl von Tagen ändern möchten, nach denen die Einträge aus der Überwachungsprotokolldatei gelöscht werden, geben Sie eine Anzahl von Tagen in das Feld Tage bis zur Löschung ein. Die Standardeinstellung beträgt 30 Tage.
Klicken Sie auf OK.