Planejar o Serviço de Repositório Seguro no SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
O Serviço de Repositório Seguro é um serviço de autorização com reconhecimento de declaração que inclui um banco de dados criptografado para armazenar credenciais.
Sobre o Serviço de Repositório Seguro
O Serviço de Repositório Seguro é um serviço de autorização que é executado no SharePoint Server. O Serviço de Repositório Seguro fornece um banco de dados que é usado para armazenar credenciais. Estas credenciais geralmente consistem de uma identidade de usuário e senha, mas também podem conter outros campos definidos por você. Por exemplo, o SharePoint Server pode usar o banco de dados do Repositório Seguro para armazenar e recuperar as credenciais para acessar as fontes de dados externas. o Serviço de Repositório Seguro oferece suporte para armazenar múltiplos conjuntos de credenciais para múltiplos sistemas de back-end.
Cenários de utilização para o Repositório Seguro incluem os a seguir:
Excel Online no Servidor do Office Online pode usar o Repositório Seguro para oferecer acesso a fontes de dados externas em pastas de trabalho publicadas no SharePoint Server 2016. Isso pode ser usado como um substituto a passar as credenciais do usuário para a fonte de dados, um processo que normalmente requer a configuração da delegação restrita de Kerberos.
O Serviços do Excel no SharePoint Server 2013 pode usar o Repositório Seguro para oferecer acesso a fontes de dados externas em pastas de trabalho publicadas. Isso pode ser usado como um substituto a passar as credenciais do usuário para a fonte de dados, um processo que normalmente requer a configuração da delegação Kerberos. O Serviços do Excel requer Repositório Seguro caso você deseje configurar uma conta de serviço autônoma para autenticação de dados.
Serviços do Visio pode usar o Repositório Seguro para oferecer acesso a fontes de dados externas em diagramas vinculados a dados publicados. Isso pode ser usado como um substituto a passar as credenciais do usuário para a fonte de dados, um processo que normalmente requer a configuração da delegação restrita de Kerberos. O Serviços do Visio requer Repositório Seguro caso você deseje configurar uma conta de serviço autônoma para autenticação de dados.
O Serviços do PerformancePoint pode usar o Repositório Seguro para oferecer acesso a fontes de dados externos. O Serviços do PerformancePoint requer Repositório Seguro caso você deseje configurar uma conta de serviço autônoma para autenticação de dados.
O Power Pivot requer o Repositório Seguro para atualizações agendadas das pastas de trabalho do PowerPivot.
O Microsoft Serviços Corporativos de Conectividade pode usar o Repositório Seguro para mapear as credenciais de um usuário a um conjunto de credenciais para um sistema externo. Você pode tanto mapear as credenciais de um usuário a uma única conta no sistema externo, quanto pode mapear um conjunto de usuários autenticados a uma única conta de grupo. Os Serviços de Conectividade Empresarial também podem utilizar o Arquivo Seguro para armazenar certificados para aceder a uma origem de dados no local a partir do SharePoint no Microsoft 365.
O SharePoint runtime pode usar o Repositório Seguro para armazenar as credenciais necessárias para comunicação com os Serviços do Azure, se qualquer um dos aplicativos de usuário exigirem o SharePoint runtime para provisionar e usar os Serviços do Azure.
Preparação de Serviço de Repositório Seguro
Ao se preparar para implantar o Serviço de Repositório Seguro, esteja ciente das importantes diretrizes a seguir:
Antes de gerar uma nova chave de encriptação, faça o backup do banco de dados de Repositório Seguro. Você também deve fazer o backup do banco de dados de Repositório Seguro depois que ele tenha sido inicialmente criado, e novamente a cada vez que as credenciais são criptografadas novamente. Quando uma nova chave é gerada, as credenciais podem ser criptografadas novamente com a nova chave. Caso a atualização de chave falhe, ou a senha seja esquecida, as credenciais não serão utilizáveis.
Faça o backup da chave de criptografia depois de configurar o Repositório Seguro primeiro, e refaça o backup da chave sempre que ela for gerada novamente.
Não armazene a mídia de backup para a chave de criptografia no mesmo local que a mídia de backup para o banco de dados de repositório seguro. Caso um usuário obtenha ambas as cópias do banco de dados e da chave, as credenciais armazenadas no banco de dados podem ser ameaçadas.
Como o Repositório Seguro é utilizado para informações confidenciais, para maior segurança, recomendamos que você considere as seguintes diretrizes:
Execute o Serviço de Repositório Seguro em um pool de aplicativos separado que não é usado para qualquer outro serviço.
Crie o banco de dados de Repositório Seguro em um servidor separado executando o SQL Server. Não use a mesma instância do SQL Server que contém bancos de dados de conteúdo.
Direcionar aplicativos no Repositório Seguro
Um aplicativo de destino é um conjunto de informações que mapeia um usuário ou usuários a um conjunto de credenciais criptografadas armazenadas no banco de dados de Armazenamento Seguro. Os aplicativos de destino contém as informações a seguir, que são definidas por você:
Se este é um mapeamento individual ou de grupo.
Que campos armazenar na base de dados do Arquivo Seguro. (A predefinição é Nome de Utilizador do Windows e Palavra-passe do Windows, mas podem ser selecionados tipos de campo adicionais, dependendo da aplicação.)
Usuários com permissões para administrar o aplicativo de destino.
O indivíduo ou grupo ao qual você está mapeando as credenciais.
Cada aplicativo de destino possui uma ID de aplicativo exclusiva, que você define e é usada para referenciar o aplicativo de destino dos aplicativos externos como Excel Online, ou SharePoint Designer.
Mapeamento de credenciais de repositório seguro
O Serviço de Repositório Seguro suporta mapeamentos individuais e de grupo. Em um mapeamento de grupo, todo usuário que é um membro de um grupo de domínio específico é mapeado para o mesmo conjunto de credenciais. Em um mapeamento individual, cada usuário individual é mapeado para um conjunto único de credenciais. Mapeamentos individuais são úteis caso você necessite de informações de log sobre acesso de usuário individual a recursos compartilhados. Para mapeamentos em grupo, uma camada de segurança mapeia as credenciais para múltiplos usuários de domínio, tomando por referência um único conjunto de credenciais que estão armazenados no banco de dados de repositório seguro. Mapeamentos de grupo são mais fáceis de se manter do que mapeamentos individuais, além de poder oferecer um melhor desempenho.
Serviço de Repositório Seguro e autentição baseada em declarações
O Serviço de Repositório Seguro é um serviço com reconhecimento de declarações. Ele pode aceitar tokens de segurança e decodificá-los para obter a ID do aplicativo, e então executar uma busca. Quando um Serviço de Token de Segurança (STS) do SharePoint Server emite um token de segurança em resposta à uma solicitação de autenticação, o Serviço de Repositório Seguro decodifica o token e lê o valor da ID do aplicativo. O Serviço de Repositório Seguro usa a ID do aplicativo para recuperar as credenciais do banco de dados do repositório seguro. As credenciais são então usadas para autorizar o acesso para recursos.
Confira também
Outros recursos
Configurar o Serviço de Repositório Seguro no SharePoint Server