Fazer backup e restaurar SSO (Office SharePoint Server 2007)

Artigo
06/12/2012

Atualizado em: 2008-07-24

O recurso Logon Único (SSO) da Microsoft no Microsoft Office SharePoint Server 2007 mapeia as credenciais do usuário para sistemas de dados back-end. O SSO é utilizado principalmente em cenários de business intelligence.

O ambiente de SSO consiste no serviço Logon Único da Microsoft, no banco de dados de SSO e na chave de criptografia. Você deve fazer backup e restaurar tanto a chave de criptografia quanto o banco de dados de SSO. No entanto, não é necessário fazer backup do serviço. Faça sempre um backup completo do banco de dados de SSO.

Para obter mais informações sobre SSO, consulte Planejar o logon único.

Backup do SSO

O backup do ambiente de SSO envolve o backup da chave de criptografia e do banco de dados do SSP.

A chave de criptografia é uma chave de 128 bits, gerada aleatoriamente, que é usada para criptografar e descriptografar dados de credenciais de usuários armazenados no banco de dados. Faça backup dessa chave após configurar o SSO pela primeira vez e, depois, sempre que a chave for regenerada. Não é possível fazer backup da chave de criptografia remotamente. O backup dessa chave só pode ser feito em mídia de armazenamento removível. Use o site Administração Central do SharePoint para fazer backup da chave de criptografia. Não é possível usar a ferramenta de linha de comando Stsadm.

Aviso

O backup da chave de criptografia e do banco de dados de SSO que contém as informações que foram criptografadas com o uso dessa chave deve ser feito ao mesmo tempo. Se a chave de criptografia e as informações criptografadas no banco de dados de SSO se tornarem não sincronizadas, as informações criptografadas do banco de dados serão inutilizadas e os usuários deverão submeter suas credenciais novamente.
Armazene o backup da chave de criptografia e o backup do banco de dados de SSO em locais seguros.
Não armazene a mídia de backup da chave de criptografia no mesmo local da mídia de backup do banco de dados de SSO. Se um usuário mal-intencionado obtiver uma cópia do banco de dados e da chave, a criptografia será comprometida e esse usuário poderá acessar todas as credenciais armazenadas no banco de dados de logon único e obter acesso não autorizado aos recursos do computador.

O banco de dados de SSO contém credenciais de usuários, tíquetes de SSO, dados de configuração e dados de auditoria. Faça backup do banco de dados de SSO após a sua criação inicial e, depois, sempre que você fizer alterações na configuração de SSO ou criptografar novamente as informações de credencial. Só é possível criptografar novamente essas informações após regenerar uma nova chave. Além disso, você pode incluir os backups de banco de dados de SSO e de chave de criptografia nos backups de banco de dados agendados regularmente para o farm de servidores.

Garantir que a chave de criptografia e o banco de dados sejam sincronizados

As informações de credenciais armazenadas no banco de dados de SSO e o backup da chave de criptografia podem se tornar não sincronizados das seguintes formas:

É possível gerar uma nova chave de criptografia e fazer o seu backup sem criptografar novamente as informações de credenciais armazenadas no banco de dados de SSO. Como resultado, as informações de credenciais são criptografadas com a chave anterior.
Também é possível gerar uma nova chave de criptografia e criptografar novamente o banco de dados de SSP usando essa chave, sem fazer backup da nova chave de criptografia.
O Office SharePoint Server 2007 substituirá a chave de criptografia anterior na mídia de backup se o nome do arquivo de chave de criptografia cujo backup foi feito não for alterado primeiro.

Você pode ajudar a garantir que o banco de dados e a chave de criptografia sejam sincronizados, das seguintes formas:

Armazenando com segurança o backup da chave de criptografia e o backup do banco de dados de SSO.
Usando uma convenção de nomenclatura — por exemplo, anexando data e hora à chave de criptografia e ao nome do arquivo .bak de banco de dados ou aos nomes das pastas em que estão armazenados.

Só é necessário sincronizar o backup do banco de dados e o backup da chave de criptografia quando você cria uma nova chave e criptografa novamente o banco de dados. Portanto, para garantir a sincronização, sempre que você usar uma nova chave para criptografar novamente as informações de credenciais armazenadas no banco de dados de SSO, faça backup da nova chave de criptografia. Por outro lado, se você estiver fazendo backup do banco de dados como parte do seu cronograma de backup regular e o banco de dados estiver criptografado com a mesma chave que a anterior, não será necessário seguir um processo de sincronização.

Por exemplo, você pode fazer o seguinte:

Antes de regenerar uma nova chave de criptografia e criptografar as informações de credenciais armazenadas no banco de dados de SSO, copie a chave de criptografia atual para uma pasta segura.
Anexe a data ao nome da chave — por exemplo, “BaseKey [04.10.2008].key”.
Copie o arquivo de backup (.bak) do banco de dados de SSO para uma pasta segura diferente.
Anexe a data ao nome do arquivo .bak — por exemplo, “SSO [04.10.2008].bak”.
Regenere a chave, criptografe novamente as informações de credenciais armazenadas no banco de dados de SSO e faça backup da nova chave e do banco de dados de SSO.

Restaurar SSO

Pode ser necessário restaurar o ambiente de SSO. Em algumas situações, é necessário restaurar apenas a chave de criptografia ou apenas o banco de dados de SSO. A tabela a seguir descreve vários cenários de recuperação e lista o que deve ser restaurado.

Cenário	O que restaurar
Mover a função de servidor de chave de criptografia para um computador servidor diferente.	Chave de criptografia
Alterar a conta de serviço SSO.	Chave de criptografia
Restaurar o computador servidor de banco de dados com falha.	Banco de dados de SSO
Migrar o farm do Office SharePoint Server 2007 para um conjunto diferente de computadores servidores.	Chave de criptografia e banco de dados de SSO
Recuperar de um desastre em todo o farm.	Chave de criptografia e banco de dados de SSO

Requisitos da tarefa

Os seguintes itens são necessários à execução dos procedimentos desta tarefa:

A associação ao grupo Administradores de Farm do SharePoint é o mínimo necessário para concluir estes procedimentos.
Você deve estar conectado ao servidor de chave de criptografia localmente para fazer backup da chave de criptografia. Esse servidor é o primeiro em que o serviço SSO é habilitado. O servidor de chave de criptografia deve estar executando o site Administração Central do SharePoint.
Se o ambiente de TI requerer que o DBA (administrador de banco de dados) faça backup ou restaure o banco de dados de SSO, você deverá coordenar o backup da chave de criptografia com o DBA para garantir que seja feito backup da chave correta para o banco de dados. A conta usada para fazer backup do banco de dados de SSO deve ser membro da função de banco de dados fixa db_backupoperator do SQL Server. A conta usada para restaurar o banco de dados de SSO deve ser membro da função de servidor fixa dbcreator do SQL Server.
Não é necessário reiniciar o computador para concluir essas tarefas. No entanto, você deve parar e reiniciar o serviço SSO para concluir algumas tarefas. Como o serviço SSO não estará disponível enquanto estiver sendo reiniciado, os usuários deverão fazer logon em cada serviço ou aplicativo que utilizarem.
Os procedimentos desta tarefa podem ser executados no site Administração Central do SharePoint. É possível fazer backup e restaurar o banco de dados de SSO (mas não a chave de criptografia) usando a ferramenta de linha de comando Stsadm.

Execute estes procedimentos para fazer backup e restaurar o SSP:

Consulte também

Conceitos

Compartilhar via