Поделиться через


Планирование единого входа

Содержание:

  • О едином входе

  • Общие сценарии единого входа

  • Архитектура единого входа Office SharePoint Server

  • Планирование параметров единого входа на уровне фермы

  • Планирование параметров определений корпоративных приложений

  • Планирование операций единого входа

  • Таблицы

Используйте эту статью для планирования единого входа (SSO) в приложении Microsoft Office SharePoint Server 2007. Здесь описывается порядок настройки единого входа в безопасной среде, включая использование единого входа для подключения к системам управления базами данных.

О едином входе

Возможность единого входа в приложении Office SharePoint Server 2007 выполняет сопоставление учетных данных пользователя для систем управления базами данных. С помощью единого входа можно обращаться к данным с внешних по отношению к приложению Office SharePoint Server 2007 компьютеров и служб. Из веб-частей Office SharePoint Server 2007 можно просматривать, создавать и изменять эти данные. Единый вход гарантирует реализацию следующих возможностей.

  • Безопасное управление учетными данными пользователей.

  • Принудительное применение уровней разрешений пользователя, настроенных на внешних источниках данных.

  • Отмена запроса на повторный ввод учетных данных пользователей при просмотре ими данных из внешних источников данных в приложении Office SharePoint Server 2007.

  • Приложение Office SharePoint Server 2007 может подключаться к нескольким внешним системам управления базами данных, независимо от платформы и требований проверки подлинности.

Единый вход требует использования учетных данных Windows для учетных записей пользователей. В средах, где WebSSO используется для проверки подлинности учетных записей пользователей, единый вход может использоваться, только если текущий поток, запускающий API SSO, имеет связанное с ним удостоверение Windows.

Общие сценарии единого входа

Единый вход, главным образом, используется в сценариях бизнес-аналитики. В приложении Office SharePoint Server 2007 ряд возможностей зависит от единого входа, включая следующие:

  • каталог бизнес-данных;

  • службы Excel;

  • Служба InfoPath Forms Services

  • Веб-части бизнес-данных

  • Веб-часть ключевых индикаторов производительности

  • Microsoft Office SharePoint DesignerВеб-часть формы данных

  • Поиск по бизнес-данным

  • Бизнес-данные в списках

Дополнительно, можно вводить настраиваемые веб-части, подключенные к внешним источникам данных, включая источники данных, основанные на операционных системах, отличных от Windows. Например, можно подключаться к следующим корпоративным приложениям:

  • SAP BW

  • Siebel eBusiness Applications;

  • Microsoft BizTalk Server.

Дополнительные сведения о сценариях бизнес-аналитики см. в разделе Планирование бизнес-аналитики.

Архитектура единого входа Office SharePoint Server

В этом разделе описывается порядок реализации единого входа в приложении Office SharePoint Server 2007.

Служба единого входа Microsoft

Возможность единого входа в приложении Office SharePoint Server 2007 использует службу единого входа Microsoft (SSOSrv). На следующем рисунке показана реализация службы единого входа в ферме серверов Office SharePoint Server 2007.

Служба единого входа в ферме серверов

  1. Сервер ключа шифрования единого входа   Первый компьютер сервера, на котором включена служба единого входа, становится сервером ключа шифрования. Сервер ключа шифрования генерирует и хранит ключ шифрования. Ключ шифрования используется для шифрования и расшифровки учетных данных, хранящихся в базе данных единого входа. Сервер ключа шифрования должен быть сервером приложений, таким как сервер индексирования.

  2. Служба единого входа   Эта служба должна быть установлена на все веб-серверы в ферме. Дополнительно эту службу необходимо установить на компьютеры с ролью сервера приложений служб Excel. Если используется поиск в каталоге бизнес-данных, эта служба также должна быть установлена на сервере индексирования.

  3. База данных единого входа   Во время настройки параметров сервера единого входа на сайте центра администрирования приложение Office SharePoint Server 2007 создает базу данных единого входа на сервере базы данных конфигурации. Если установлен сервер Microsoft SQL Server, база данных единого входа является базой данных SQL Server. Если SQL Server не установлен, служба единого входа использует SQL Server 2005 Express Edition. База данных единого входа хранит зашифрованные учетные данные.

    Примечание

    Если выполняется обновление с предыдущей версии SharePoint Portal Server, необходимо повторно создать среду единого входа, включая создание новой базы данных единого входа. Единый вход нельзя перенести или обновить до версии Office SharePoint Server 2007.

Определения корпоративных приложений

В среде единого входа внешние источники и системы управления баз данных рассматриваются как корпоративные приложения. После настройки среды с единым входом можно создать определения корпоративных приложений. Для каждого корпоративного приложения, к которому подключено приложение Office SharePoint Server 2007, имеется соответствующее определение корпоративного приложения, настраиваемое администратором. Либо можно настроить несколько определений для одного физического корпоративного приложения для разных групп безопасности, имеющих к нему доступ.

Определение корпоративного приложения определяет следующие свойства.

  • Удостоверение корпоративного приложения (отображаемое имя, программное имя и адрес электронной почты контакта).

  • Тип учетных записей пользователя, сопоставляемых с корпоративными приложениями. Это зависит от того, какие разрешения поддерживаются корпоративным приложением (или, в некоторых случаях, — веб-частью): на основе личных учетных записей или учетных записей группы.

  • Тип учетных данных, полученных от пользователей (имя пользователя, пароль или другие учетные данные, такие как смарт-карта).

  • Учетная запись, используемая веб-частями Office SharePoint Server 2007 для подключения к корпоративному приложению.

Функциональные возможности единого входа позволяют использовать сценарии, в которых несколько веб-частей имеют доступ к разным корпоративным приложениям. Каждое корпоративное приложение может использовать отдельный тип проверки подлинности. Корпоративные приложения также могут быть основаны на операционных системах, отличных от Windows.

Билеты единого входа

Корпоративная среда, в которой пользователь взаимодействует с различными системами и приложениями, может потерять пользовательский контекст в результате его обработки в нескольких рабочих процессах, продуктах и компьютерах. Пользовательский контекст является ключевым для функциональности единого входа, когда необходимо проверить пользователя, инициировавшего исходный запрос. В сценариях с несколькими серверами, участвующими в передаче учетных данных с сервера ключа шифрования в корпоративное приложение, служба единого входа предоставляет билеты SSO (не билеты проверки подлинности Kerberos). Серверы используют эти билеты, чтобы получить учетные данные пользователя, создавшего исходный запрос.

Например, требуется настроить среду платежной ведомости для доступа к данным в системе SAP через BizTalk Server. Если веб-часть подключена к системе SAP, учетные данные маршрутизируются через компьютер BizTalk Server. В среде единого входа веб-часть отправляет билет SSO в службу на компьютере BizTalk Server, подключенном к системе SAP. Если пользователь принадлежит к личной учетной записи или учетной записи группы, указанной в определении корпоративного приложения, служба выкупает билет SSO с учетными данными для системы SAP. Чтобы служба на компьютере BizTalk Server выкупала билеты SSO, учетная запись, которая используется службой, должна быть добавлена к группе администраторов единого входа.

Служба единого входа выпускает билет, когда его запрашивает пользователь Windows или приложение — от лица пользователя. Служба единого входа может выпустить билет только для пользователя, создавшего запрос (невозможно запросить билет для других пользователей). Билет содержит зашифрованный домен и имя текущего пользователя, а также срок действия билета.

После того как корпоративное приложение проверит удостоверение исходного запрашивающего, оно выкупает билет, чтобы получить учетные данные пользователя, создавшего запрос. По умолчанию срок действия билета составляет две минуты. Администраторы единого входа могут изменять срок действия билетов. Значение срока действия должно быть достаточным, чтобы составить время между выпуском и выкупом билета.

Администрирование единого входа

Управление единым входом включает два типа администраторов:

  • Администраторы единого входа   Эти администраторы устанавливают и настраивают службу единого входа, управляют учетными записями единого входа, создают, изменяют и архивируют ключ шифрования. По причинам безопасности, администраторы единого входа должны локально войти на север ключа шифрования, чтобы устанавливать, настраивать службу единого входа и управлять ею. Администраторы единого входа не могут управлять настройками сервера SSO с удаленного компьютера.

  • Администраторы определений корпоративных приложений   Эти администраторы создают определения корпоративных приложений и управляют ими, обновляют учетные записи и учетные данные, используемые для доступа к корпоративным приложениям. Эти администраторы могут управлять определениями корпоративных приложений в удаленном режиме.

Отдельные учетные записи и разрешения для администраторов единого входа подробно обсуждаются ниже в этой статье.

Сетевые зависимости

Внутри фермы серверов Office SharePoint Server 2007 служба единого входа использует имена NetBIOS для связи между сервером ключа шифрования и сервером базы данных. Если разрешения NetBIOS-имен недоступны для сервера базы данных, настройка единого входа завершится ошибкой.

Планирование параметров единого входа на уровне фермы

В этом разделе описывается планирование настроек параметров на уровне фермы. Такое планирование включает следующие шаги.

  • Принятие решения, на каком компьютере будет размещена роль сервера ключа шифрования единого входа.

  • Настройка учетных записей единого входа и проверка того, что эти учетные записи создаются с соответствующими разрешениями.

  • Запись решений по настройкам уровня фермы, которые выполняются на странице "Управления параметрами сервера для единого входа" в центре администрирования.

  • Действие листа

Сервер ключа шифрования единого входа

Определите компьютер в ферме, на котором будет размещена роль сервера ключа шифрования единого входа. Рекомендуется для этой конфигурации выбрать сервер приложений, например — сервер индексирования, по следующим причинам.

  • Все компьютеры, работающие под управлением службы единого входа, должны поддерживать связь с сервером ключа шифрования в масштабах сети. Если в ферме используется несколько веб-серверов, некоторые технологии, использующие балансировку нагрузки, не позволяют веб-серверам соединяться между собой.

  • Серверы приложений недоступны напрямую конечным пользователям и, как правило, защищены дополнительными уровнями безопасности. Например, для безопасного соединения сервер-сервер внутри фермы часто используется протокол безопасности IPsec или SSL. Кроме того, в некоторых топологиях реализуется дополнительный маршрутизатор или брандмауэр между веб-серверами и серверами приложений.

Служба единого входа должна быть установлена на всех серверах приложений с ролью служб Excel. Если используется поиск по каталогу бизнес-данных, служба единого входа должна быть также установлена на сервере индексирования. Ввиду названных требований, целесообразным будет выбрать любой из этих серверов для роли сервера ключа шифрования.

Убедитесь, что администраторы единого входа могут локально входить на сервер ключа шифрования. Также проверьте, чтобы параметры безопасности Internet Explorer не блокировали управление единым входом. Проверьте следующие настройки.

  • Включен параметр по умолчанию Автоматический вход в сеть только в зоне интрасети. (Для этого в меню Сервис выберите Параметры обозревателя, вкладка Безопасность, нажмите кнопку Другой и затем в диалоговом окне Параметры безопасности перейдите к разделу Проверка подлинности пользователя.)

  • Параметр Запрос имени пользователя и пароля отключен.

Учетные записи единого входа

Для установки, запуска и администрирования системы единого входа используются четыре различные учетные записи:

  • Учетная запись настройки единого входа

  • Учетная запись администратора единого входа

  • Учетная запись службы единого входа

  • Учетная запись администратора корпоративных приложений

В ознакомительной среде в качестве этих учетных записей можно использовать учетную запись фермы серверов. Однако в безопасной среде следует учитывать, какие учетные записи использовать и как их настроить. В этом разделе подробно представлены требования к учетным записям и даны рекомендации по их настройке в безопасной среде.

Четыре учетные записи, требуемые для установки, запуска и администрирования системы единого входа, обеспечивают разделение ролей и изолирование разрешений. В следующей таблице перечислены учетные записи и действия, выполняемые с помощью этих учетных записей.

Учетная запись Описание

Учетная запись настройки единого входа

  • Установка службы единого входа в приложении Office SharePoint Server 2007.

  • Настройка и управление службой единого входа в приложении Office SharePoint Server 2007, включая управление ключом шифрования.

  • Создание, изменение и удаление определений корпоративных приложений в рамках Office SharePoint Server 2007.

Учетная запись администратора единого входа

  • Настройка и управление службой единого входа в приложении Office SharePoint Server 2007, включая управление ключом шифрования.

  • Создание, изменение и удаление определений корпоративных приложений в рамках Office SharePoint Server 2007.

    Выкуп билетов SSO. В сценариях, где учетные данные на пути к определению корпоративного приложения передаются через службы-посредники (такие как BizTalk Server), эта учетная запись используется для предоставления службам-посредникам разрешений на выкуп билетов SSO.

Учетная запись службы единого входа

Запуск службы единого входа в Windows.

Учетная запись администратора корпоративных приложений

Создание, изменение и удаление определений корпоративных приложений в рамках Office SharePoint Server 2007.

Учетная запись Требования

Учетная запись настройки единого входа

  • Должна быть учетной записью домена пользователя. Не может быть учетной записью группы.

  • Учетная запись пользователя должна быть администратором фермы серверов.

  • Должна быть членом группы "Администраторы" на сервере ключа шифрования.

  • Должна быть членом следующих ролей безопасности SQL Server на компьютере, работающем под управлением SQL Server:

    • Dbcreator

    • Securityadmin

  • Должна быть такой же, как учетная запись администратора единого входа, или должна быть членом учетной записи группы, которая является учетной записью администратора единого входа.

Учетная запись администратора единого входа

  • Должна быть учетной записью глобальных групп Windows или учетной записью отдельного пользователя. Не может быть локальной учетной записью группы в домене или списком рассылки.

  • Учетная запись службы единого входа должна быть этим пользователем или членом этой группы.

  • Учетная запись настройки единого входа должна быть этим пользователем или членом этой группы.

  • Должна быть добавлена к сайту центра администрирования с уровнем разрешений "Чтение".

  • Все пользователи, добавленные к этой группе с целью администрирования единого входа, должны быть членами группы "Администраторы" на сервере ключа шифрования. Сама эта учетная запись не может быть членом группы "Администраторы" на сервере ключа шифрования.

Учетная запись службы единого входа

  • Должна быть учетной записью пользователя в домене. Не может быть учетной записью группы.

  • Должна быть учетной записью администратора единого входа или членом учетной записи группы, которая является учетной записью администратора единого входа.

  • Должна быть членом локальной группы WSS_Admin_WPG на всех компьютерах в ферме, работающих под управлением Office SharePoint Server 2007.

  • Должна быть членом роли общей базы данных в базе данных конфигурации Office SharePoint Server 2007.

  • Должна быть членом роли сервера Sysadmin (системный администратор) в экземпляре SQL Server, где расположена база данных единого входа.

  • В безопасной среде не запускайте эту службу под учетной записью, которая является членом группы "Администраторы" на локальном компьютере.

    Примечание

    Чтобы изменить учетную запись службы, сначала создайте резервную копию основного ключа и затем восстановите основной ключ, после изменения учетной записи службы.

Учетная запись администратора корпоративных приложений

  • Должна быть учетной записью глобальных групп или учетной записью отдельного пользователя. Эта учетная запись не может быть локальной группой в домене или списком рассылки.

  • Должна иметь уровень разрешений "Чтение" на сайте центра администрирования SharePoint.

В безопасной среде рекомендуется настроить четыре отдельные учетные записи и использовать учетную запись группы, где это возможно. Если для учетных записей настройки, администратора и службы единого входа используется учетная запись пользователя, необходимо использовать одну и ту же учетную запись В следующей таблице содержатся рекомендации по настройке этих учетных записей.

Учетная запись Ознакомительная среда Безопасная среда

Учетная запись настройки единого входа

Учетная запись фермы серверов.

Используйте учетную запись отдельного пользователя администратора, которая является членом группы "Администраторы фермы".

Учетная запись администратора единого входа

Учетная запись фермы серверов.

Создайте отдельную учетную запись группы в домене. Добавьте к этой группе:

  • Учетную запись пользователя, которая будет использоваться как учетная запись настройки единого входа.

  • Учетная запись, используемая для запуска службы единого входа

  • Пользователи, которые могут управлять службой единого входа в приложении Office SharePoint Server 2007. Также добавьте этих пользователей к группе "Администраторы" на сервере ключа шифрования.

    Учетные записи служб, которые выкупают билеты SSO. Это службы-посредники, которые передают учетные данные между сервером ключа шифрования и корпоративным приложением.

Учетная запись службы единого входа

Учетная запись фермы серверов.

  • Используйте учетную запись отдельного пользователя. Эта учетная запись должна отличаться от учетной записи настройки единого входа.

  • Не добавляйте эту учетную запись к группе "Администраторы фермы" или группе "Администраторы" на локальном компьютере.

    Не используйте ту же учетную запись службы, под которой запускаются пулы приложений IIS.

Учетная запись администратора корпоративных приложений

Учетная запись фермы серверов.

Создайте отдельную учетную запись группы в домене. Добавьте к этой группе пользователей, которые могут создавать определения корпоративных приложений и управлять ими.

На следующем рисунке показаны рекомендуемые настройки безопасности для этих учетных записей.

Рекомендации по настройке учетных записей для единого входа

Параметры базы данных

Параметры базы данных используются для создания базы данных единого входа и включают следующие свойства.

  • Имя сервера   NetBIOS-имя сервера базы данных. Не вводите полное доменное имя (FQDN).

  • Имя базы данных   Имя базы данных единого входа.

До создания баз данных рекомендуется использовать параметры по умолчанию.

параметры времени ожидания;

Ко времени ожидания относятся следующие параметры.

  • Время ожидания билета (в минутах)   Используйте для установки времени срока действия билета в минутах. Значение срока действия должно быть достаточным, чтобы составить время между выпуском и выкупом билета корпоративным приложением. Рекомендуется использовать для этого значения две минуты — это достаточное время для выкупа билета. Если билет не выкуплен в течение двух минут, сетевые или другие команды должны будут прервать соединение между компьютерами.

  • Удалять из журнала аудита записи, возраст которых превышает   Используйте для установки числа дней, в течение которых будут сохраняться записи аудита журнала перед удалением.

На начальном этапе рекомендуется использовать настройки времени ожидания по умолчанию.

Планирование параметров определений корпоративных приложений

В этом разделе описывается планирование параметров определений корпоративных приложений.

Действие листа

Для записи параметров планирования используйте Таблицу определения корпоративного приложения единого входа (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x419) (на английском языке) . Заполните эту таблицу для каждого определения корпоративного приложения, которое планируется добавить.

После создания определения корпоративного приложения нельзя изменять следующие свойства:

  • Имя определения корпоративного приложения

  • Тип учетной записи (учетная запись группы или отдельного пользователя, группы или отдельного пользователя с проверкой подлинности Windows или учетная запись с ограниченными полномочиями)

  • Поля со сведениями об учетной записи входа

Сведения о приложении и контакте

Сведения о приложении и контакте включают следующие параметры.

  • Отображаемое имя   Понятное имя корпоративного приложения.

  • Имя приложения   Программное имя корпоративного приложения. Это имя используется веб-частями для запроса определения корпоративного приложения.

  • Адрес электронной почты контакта   Адрес электронной почты, по которому пользователи могут связываться с корпоративным приложением.

Тип учетной записи

Учетные данные пользователя сопоставляются в корпоративном приложении по своему типу: учетная запись отдельного пользователя или группы. Если каждый пользователь имеет отдельную учетную запись в корпоративном приложении, выберите Пользователь. Если в корпоративном приложении используется одна учетная запись для всех пользователей, выберите Группа.

Следует знать, что безопасная проверка подлинности может быть выполнена либо корпоративным приложением, либо веб-частью, подключенной к корпоративному приложению. Тип учетной записи, используемый корпоративным приложением, зависит от настройки безопасной проверки подлинности. Например, проверка подлинности для доступа к персональным данным в приложении платежного корешка может быть настроена с помощью одного из следующих двух методов.

  • Пользователи имеют собственные учетные записи в системе платежных квитанций для доступа к их платежному корешку. В этом случае, корпоративное приложение использует учетные записи отдельных пользователей.

  • Безопасную проверку подлинности осуществляет веб-часть, которая используется для доступа к данным платежного корешка. В этом случае, веб-часть выполняет проверку подлинности на основе учетных данных отдельного пользователя, а система платежных квитанций использует учетную запись группы для всех пользователей. Следовательно, в этом сценарии определение корпоративного приложения использует учетную запись группы.

Корме того, если используется учетная запись группы, определение корпоративного приложения может быть настроено для использования привилегированной учетной записи. Если выбрана привилегированная учетная запись, учетные данные сохраняются отдельно от постоянных учетных данных, и для доступа к привилегированным учетным данным используется отдельный API. Привилегированные учетные записи используются в сценариях, в которых приложение-посредник, например, каталог бизнес данных, создает дополнительную фильтрацию данных, полученных на основе предоставленных учетных данных.

Приложения, которые используют ограниченные учетные данные, должны выполнять дальнейшую проверку подлинности и фильтрацию данных с учетом сведений, возвращенных с помощью привилегированных учетных данных. Администраторы фермы должны убедиться, чтоб все приложения, которые используют привилегированные учетные записи,выполняют эту проверку подлинности и фильтрацию данных единообразно. В противном случае, если приложение, которое не выполняет такую дополнительную проверку подлинности и фильтрацию, обращается к привилегированным учетным записям, оно может нарушить безопасность, используя привилегированные учетные данные для доступа к данным, которые иначе были бы отфильтрованы.

Выберите Группировать с помощью привилегированной учетной записи только в следующих случаях.

  • Учетная запись является учетной записью группы.

  • Для подключения к корпоративному приложению используется каталог бизнес-данных.

  • Приложение-посредник, которое подключается к корпоративному приложению, подчиняется условиям использования привилегированной учетной записи.

  • Данные очень важные.

Тип проверки подлинности

Тип проверки подлинности указывает на метод подключения сервера Office SharePoint Server 2007 к корпоративному приложению: с проверкой подлинности Windows или без проверки подлинности. Эта проверка подлинности применяется только к тем учетным данным, которые используются сервером, работающим под управлением Office SharePoint Server 2007, для входа в корпоративное приложение. Проверка подлинности учетных данных пользователя не затрагивается.

Если корпоративное приложение расположено на компьютере, работающем под управлением Windows, выберите Проверка подлинности Windows. Если корпоративное приложение расположено на компьютере, работающем не под управлением Windows, оставьте этот параметр пустым. Если проверка подлинности Windows не используется, учетные данные для входа в систему не шифруются. Если выбрана проверка подлинности Windows, но система корпоративного приложения ее не поддерживает, соединение единого входа завершится ошибкой.

Сведения учетной записи для входа для пользователей

Эти поля, предназначенные для сведений учетной записи для входа, определяют, какие данные требуются для входа. По умолчанию указывается только имя пользователя и пароль. Можно указать до пяти различных данных, которые должны быть включены. Например, можно затребовать имя сервера SAP или номер клиента SAP. Пользователи получают запрос о вводе данных в следующих случаях.

  • Проверка подлинности завершилась ошибкой или учетные данные не найдены.

  • Запрос учетных данных пользователей запрограммирован в веб-части.

Сведения учетной записи для входа используются для определений корпоративных приложений, которые используют учетные записи отдельных пользователей. Включать запрос учетных данных пользователей не рекомендуется для определений корпоративных приложений, которые используют учетные записи группы.

Сведения учетной записи для входа, которые здесь настраиваются, должны соответствовать требованиям корпоративного приложения для входа. Кроме того, следует также определить, будет ли система маскировать эти учетные данные, когда их предоставляет пользователь.

Обычно, требуется только имя пользователя и пароль. В некоторых средах с высоким уровнем безопасности могут потребоваться дополнительные сведения идентификации пользователя. Кроме того, некоторые системы могут требовать дополнительных сведений от пользователя, чтобы определить приложение. Например, для доступа к Oracle, пользователи, возможно, должны ввести сведения, показанные в следующей таблице.

В этом поле введите эти сведения

Поле 1

имя пользователя Oracle

Поле 2

пароль пользователя Oracle (выберите Да для параметра "Маска")

Поле 3

имя базы данных Oracle

Для доступа к приложению SAP, пользователи, возможно, должны ввести сведения, показанные в следующей таблице.

В этом поле введите эти сведения

Поле 1

имя пользователя SAP

Поле 2

пароль SAP (выберите Да для параметра "Маска")

Поле 3

номер системы SAP

Поле 4

номер клиента SAP

Поле 5

язык

Сведения учетной записи для корпоративного приложения

Если для подключения к корпоративному приложению используется учетная запись группы, необходимо предоставить данные учетной записи. После добавления определения корпоративного приложения администратор единого входа или член учетной записи администратора корпоративного приложения указывает имя и пароль учетной записи, которая будет использоваться для подключения к внешнему серверу; чтобы настроить учетную запись, выберите Управление сведениями учетных записей для определения корпоративного приложения на сайте центра администрирования.

Действие листа

Для записи имени учетной записи группы используйте Таблицу определения корпоративного приложения единого входа (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x419) (на английском языке) .

Администратор, который вводит сведения учетной записи на сайте центра администрирования, должен также знать пароль учетной записи группы.

Если для подключения к корпоративному приложению используется учетная запись отдельного пользователя, сведения учетной записи на сайте центра администрирования вводить не требуется.

Планирование операций единого входа

Управление ключом шифрования

Ключ шифрования применяется как часть процесса шифрования учетных данных, используемых с единым входом. Это ключ позволяет расшифровать зашифрованные учетные данные, сохраненные в базе данных единого входа. Когда в первый раз выполняется настройка единого входа и определений корпоративных приложений на странице "Управления параметрами сервера для единого входа" в центре администрирования, ключ шифрования создается автоматически. Управление ключом шифрования включает его аудит и обновление.

Аудит ключа шифрования

Можно включить аудит изменений, внесенных в ключ шифрования. Если выполняется считывание или запись ключа шифрования, события безопасности регистрируются в журнале безопасности. Просмотреть журнал безопасности можно с помощью окна просмотра событий. Журнал может регистрировать следующие события.

  • Изменение раздела реестра единого входа.

  • Создание политики на локальном компьютере в редакторе объектов групповой политики

Обновление ключа шифрования

Поскольку ключ шифрования защищает учетные данные, его следует обновлять постоянно обновлять, например, каждые 90 дней. Также следует обновить ключ шифрования, если учетные данные были раскрыты.

Процесс повторного шифрования является длительной операцией. Рекомендуется выбирать не пиковые периоды для изменения ключа шифрования. Повторное шифрование ключа оказывает следующее влияние на среду единого входа.

  • Во время процесса повторного шифрования операции записи, такие как обновление учетных данных и изменение определений корпоративных приложений, не поддерживаются.

  • Операции чтения, такие как получение учетных данных, продолжают выполняться в обычном режиме.

Для повторного шифрования ключа необходимо локально войти на сервер ключа шифрования. Также необходимо быть членом учетной записи администратора единого входа.

Если во время процесса повторного шифрования произойдет перезапуск сервера ключа шифрования или остановка службы единого входа, следует просмотреть ошибки в журнале событий. Если журнал событий сообщает об ошибках, необходимо перезагрузить процесс повторного шифрования. Если процесс повторного шифрования каким-либо образом прерывается, его необходимо перезапустить. Если процесс повторного шифрования прервется, система вернется в исходное состояние.

При создании ключа шифрования можно выбрать повторное шифрование существующих учетных данных с новым ключом. Если не выполнить повторное шифрование существующих учетных данных с новым ключом, пользователи должны заново ввести их учетные данные для отдельных определений корпоративных приложений, а администраторы должны повторно ввести учетные данные групп для групповых определений корпоративных приложений.

Если выполняется повторное шифрование хранилища учетных данных службы единого входа, события регистрируются в журнале событий приложений Microsoft Windows Server 2003. После запуска повторного шифрования можно отслеживать ход процесса в журнале событий приложений, чтобы проверить, что повторное шифрование хранилища учетных данных выполнено. При запуске повторного шифрования в журнале регистрируется событие с идентификатором 1032. После завершения повторного шифрования в журнале регистрируется событие с идентификатором 1033. Если в ходе повторного шифрования происходят ошибки, эти события регистрируются в журнале.

Если принято решение о планировании параметров управления ключом шифрования, рассмотрите следующие вопросы.

  • В каком интервале планируется повторно обновлять ключ шифрования?

  • Будет ли выполняться повторное шифрование существующих учетных данных одновременно с применением нового ключа шифрования?

  • Какие дополнительные обстоятельства приведут к повторному шифрованию ключа?

Действие листа

Для записи параметров планирования используйте Таблицу параметров фермы серверов единого входа (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x419) (на английском языке) .

Резервное копирование среды единого входа

Резервное копирование среды единого входа включает резервное копирование следующих двух объектов:

  • Ключ шифрования

  • База данных службы единого входа

Необходимо создать резервную копию ключа шифрования после начальной настройки единого входа и затем архивировать его каждый раз после обновления. Не требуется архивировать ключ шифрования в периоды времени, не связанные с его регулярным обновлением. Ключ шифрования нельзя архивировать в удаленном режиме. Для создания резервной копии ключа шифрования необходимо быть членом учетной записи администратора единого входа и войти локально на сервер ключа шифрования. Архивирование ключа шифрования можно выполнить только на съемный носитель. Невозможно создать его резервную копию на локальном жестком диске. Резервное копирование ключа шифрования можно выполнить на странице "Управление ключом шифрования" в центре администрирования.

Необходимо создать резервную копию базы данных единого входа после ее начального создания и затем архивировать ее каждый раз после повторного шифрования учетных данных. Дополнительно, можно включить архивирование базы данных единого входа в расписание архивирования базы данных фермы серверов. Регулярное архивирование будет включать другие изменения в базе данных единого входа, такие как новые определения корпоративных приложений и обновленные учетные данные.

Следует отдельно хранить носители с резервными копиями ключа шифрования и базы данных единого входа. Если какой-либо пользователь получит копию базы данных и ключа, сохраненные в базе данных учетные данные могут быть раскрыты. Лучше всего резервную копию ключа шифрования закрыть в надежном месте.

Если принято решение о планировании параметров резервного копирования среды единого входа, рассмотрите следующие вопросы.

  • Интервал резервного копирования ключа шифрования.

  • Планирование резервного копирования базы данных единого входа. Наиболее целесообразно будет включить в план архивирование базы данных единого входа одновременно с регулярным резервным копированием фермы.

Действие листа

Для записи параметров планирования используйте Таблицу параметров фермы серверов единого входа (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x419) (на английском языке) .

Восстановление среды единого входа

Существует несколько сценариев, которые требуют восстановления среды единого входа. В некоторых случаях, требуется восстановить только ключ шифрования или только базу данных единого входа. В следующей таблице описываются несколько сценариев восстановления и указано, какие компоненты нужно восстановить.

Сценарий Что восстанавливается

Перемещение роли ключа шифрования на другой компьютер.

Ключ шифрования

Изменение учетной записи службы единого входа.

Ключ шифрования

Восстановление поврежденного сервера базы данных.

База данных службы единого входа

Перенос фермы Office SharePoint Server 2007 на другой набор серверов.

Ключ шифрования и база данных единого входа

Восстановление из повреждения в масштабах фермы.

Ключ шифрования и база данных единого входа

В оставшейся части этого раздела представлены подробные сведения об отдельных задачах восстановления среды единого входа в зависимости от сценария.

Чтобы переместить роль сервера ключа шифрования на дугой компьютер, выполните следующие шаги.

Перемещение роли сервера ключа шифрования на дугой компьютер

  1. Создайте резервную копию ключа шифрования.

  2. Отключите службу единого входа на всех компьютерах в ферме.

  3. Войдите на новый сервер ключа шифрования.

  4. Запустите службу единого входа.

  5. Настройте параметры уровня фермы единого входа на сайте центра администрирования. Укажите существующую базу данных единого входа.

  6. Восстановите ключ шифрования.

  7. Запустите службу единого входа на всех веб-серверах в ферме.

Изменение учетной записи службы единого входа

В качестве части формулы шифрования учетных данных единого входа используется идентификатор безопасности (SID) учетной записи службы единого входа. Поэтому, чтобы изменить учетную запись службы единого входа, необходимо повторно настроить среду единого входа. Для изменения учетной записи службы единого входа выполните следующие шаги.

Изменение учетной записи службы единого входа

  1. Создайте резервную копию ключа шифрования.

  2. На всех компьютерах в ферме, работающих под управлением службы единого входа, повторно настройте службу с новой учетной записью службы.

  3. Повторно настройте параметры уровня фермы единого входа на сайте центра администрирования с новой учетной записью службы единого входа. Укажите существующую базу данных единого входа.

  4. Восстановите ключ шифрования.

  5. Повторно зашифруйте учетные данные в базе данных единого входа. Для повторного шифрования учетных данных используется восстановленный ключ шифрования.

Восстановление только сервера базы данных единого входа

Если не работает компьютер с базой данных единого входа, нужно восстановить только базу единого входа. Восстановите базу данных с помощью тех же методов, которые используются для восстановления любых других баз данных в среде Office SharePoint Server 2007. Если выполняется восстановление базы данных единого входа на другой компьютер, повторно настройте параметры уровня фермы единого входа с именем нового сервера базы данных.

Восстановление всей среды единого входа

Существует несколько сценариев, которые требуют восстановления и ключа шифрования, и базы данных единого входа. Для восстановления всей среды единого входа выполните следующие шаги.

Восстановление всей среды единого входа

  1. Восстановите базу данных единого входа на запланированный сервер базы данных.

  2. Установите и настройте единый вход как для конфигурации новой среды единого входа, однако введите имя сервера и имя базы данных существующей базы данных единого входа.

  3. Восстановите ключ шифрования в новую среду единого входа.

Действия при возникновении риска безопасности единого входа

Риск безопасности может включать потерю носителя с резервной копией, утечку пароля или другие события, в результате которых могут быть раскрыты учетные данные, хранящиеся в базе данных единого входа, или данные, хранящиеся в корпоративных приложениях. При возникновении риска безопасности, который может затронуть среду единого входа, выполните следующие действия по реагированию на раскрытие зашифрованных данных.

Действия при возникновении риска безопасности

  1. Обновите ключ шифрования.

  2. Выполните повторное шифрование учетных данных в базе единого входа (с использованием нового ключа шифрования).

  3. Измените пароли для корпоративных приложений, если они могут быть раскрыты.

  4. Предложите пользователям изменить их пароли, если они могут быть раскрыты.

Если риск безопасности очень высокий, можно остановить службу единого входа, чтобы немедленно прервать доступ к учетным данным, хранящимся в базе данных единого входа. Если нужно остановить службу единого входа, ее можно безопасно восстановить в существующую ферму серверов Office SharePoint Server 2007 с помощью следующих шагов.

Восстановление службы единого входа в существующую ферму серверов

  1. Восстановите среду единого входа на изолированный сервер.

  2. Обновите ключ шифрования.

  3. Выполните повторное шифрование учетных данных в базе данных единого входа.

  4. Создайте резервную копию среды единого входа.

  5. Восстановите среду единого входа в существующую ферму серверов Office SharePoint Server 2007.

Таблицы

Для планирования единого входа используйте следующие таблицы:

Загрузить эту книгу

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

См. полный список доступных книг на веб-сайте Загружаемые материалы для Office SharePoint Server 2007.