Servidor de secreto maestro

  • Artículo

El servidor secreto maestro es el servidor enterprise Single Sign-On (SSO) que almacena el secreto maestro (clave de cifrado). Este servidor genera el secreto principal cuando lo solicita un administrador de SSO y lo almacena cifrado en el Registro. Sólo los administradores de inicio de sesión único pueden obtener acceso al secreto principal.

Los demás servidores de inicio de sesión único comprueban cada 30 segundos si ha cambiado el secreto principal. Si ha cambiado, lo leen de forma protegida; de lo contrario, continúan usando el secreto principal que tienen almacenado en la memoria caché. El servicio SSO utiliza el secreto principal para cifrar y descifrar las credenciales de usuario.

No puede usar el sistema SSO hasta que un administrador de SSO configure el servidor secreto principal y genere el secreto principal. El servidor secreto principal genera el secreto principal durante la configuración. Sólo los administradores de SSO pueden generar el secreto principal. Un administrador de SSO debe configurar el servidor secreto maestro y la base de datos de credenciales para que una aplicación pueda usar el servicio SSO.

Importante

Tras generar el secreto principal, se recomienda encarecidamente realizar una copia de seguridad y almacenarla en un lugar seguro.

Cuando un administrador de SSO tiene que generar el secreto principal (por ejemplo, si el administrador de SSO desea cambiar el secreto principal periódicamente), el servidor secreto principal almacena tanto el secreto principal antiguo como el nuevo. El servidor secreto principal pasa después por todas las asignaciones, las descifra con el secreto principal antiguo y las vuelve a cifrar con el secreto principal nuevo.

Si se produce un error en el servidor secreto maestro, todas las operaciones en tiempo de ejecución que ya se están ejecutando continúan ejecutándose, pero los servidores SSO no pueden cifrar nuevas credenciales.

Importante

Sólo puede haber un servidor secreto principal en el sistema SSO. Por tanto, se recomienda encarecidamente agrupar el servidor secreto principal. Para obtener más información, consulte Agrupación en clústeres del servidor secreto maestro.

Consulte también

Tareas de Enterprise Single Sign-On
Administración del secreto maestro