Планирование службы безопасного хранения (SharePoint Server 2010)
Применимо к: SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
В Microsoft SharePoint Server 2010 представлена служба безопасного хранения, заменяющая функцию единого входа (SSO). Служба безопасного хранения представляет собой службу проверки подлинности на основе утверждений, которая включает в себя защищенную базу данных для хранения учетных данных, связанных с идентификаторами приложений. Эти идентификаторы могут использоваться для проверки подлинности доступа к внешним источникам данных.
Содержание:
Служба безопасного хранения
Подготовка службы безопасного хранения
Идентификаторы приложений
Сопоставления службы безопасного хранения
Служба безопасного хранения и проверка подлинности на основе утверждений
Служба безопасного хранения
Служба безопасного хранения представляет собой службу проверки подлинности, которая выполняется на сервере приложений. Служба безопасного хранения содержит базу данных для хранения учетных данных (удостоверение пользователя и пароль) для идентификаторов приложений, которые могут использоваться приложениями для авторизации доступа к общим ресурсам. Например, в SharePoint Server 2010 база данных безопасного хранения может использоваться для хранения и извлечения учетных данных для доступа к внешним источникам данных. Служба безопасного хранения поддерживает хранение учетных данных для нескольких внутренних систем, использующих различные идентификаторы приложений.
Подготовка службы безопасного хранения
При подготовке к развертыванию службы безопасного хранения необходимо учитывать следующие рекомендации:
Запускайте службу безопасного хранения в отдельном пуле приложений, который не используется другими службами.
Запускайте службу безопасного хранения на отдельном сервере приложений, который не используется другими службами.
Создавайте базу данных безопасного хранения на отдельном сервере приложений под управлением SQL Server. При этом не следует использовать установку SQL Server, в которой хранится база данных контента.
Перед созданием нового ключа шифрования необходимо создать резервную копию базы данных безопасного хранения. Кроме того, резервную копию такой базы данных следует создавать после ее создания, а также при каждом повторном шифровании учетных данных. После создания нового ключа его можно использовать для повторного шифрования учетных данных. Если не удается обновить ключ или утрачена парольная фраза, учетные данные будут недоступны для использования.
Создавать резервную копию ключа шифрования следует после начальной настройки службы безопасного хранения, а также после каждого повторного создания ключа.
Следует отдельно хранить носители с резервными копиями ключа шифрования и базы данных безопасного хранения. Если какой-либо пользователь получит копию базы данных и ключа, сохраненные в базе данных учетные данные могут быть раскрыты.
Идентификаторы приложений
Каждая запись службы безопасного хранения содержит идентификатор приложения, который используется для извлечения набора учетных данных из базы данных безопасного хранения. Каждый идентификатор приложения может иметь разрешения, применяемые таким образом, что только отдельные пользователи или группы могут обращаться к учетным данным, сохраненным для данного идентификатора. Идентификаторы используются приложениями для извлечения учетных данных из базы данных безопасного хранения от имени пользователя. Извлеченные учетные данные используются приложениями для доступа к источникам данных.
Идентификаторы приложений используются для сопоставления пользователей с наборами учетных данных. Сопоставления доступны для групп и отдельных пользователей. Сопоставление групп означает, что каждый участник отдельной группы в домене сопоставляется с тем же набором учетных данных. При сопоставлении отдельных пользователей каждому пользователю сопоставляется уникальный набор учетных данных.
Сопоставления службы безопасного хранения
Служба безопасного хранения поддерживает сопоставления отдельных пользователей и групп. В этой службе хранится набор учетных данных для идентификаторов приложений для ресурсов, которые содержатся в базе данных безопасного хранения. Отдельные учетные данные извлекаются в соответствии с идентификатором приложения. Сопоставления отдельных пользователей рекомендуется применять в том случае, когда требуется заносить в журнал сведения о доступе отдельных пользователей к общим ресурсам. Для сопоставлений групп на уровне безопасности учетные данные групп, состоящих из пользователей разных доменов, сверяются с одним набором учетных записей ресурсов, которым соответствует идентификатор приложения из базы данных безопасного хранения. Сопоставления групп проще сопоставлений отдельных пользователей в обслуживании и обеспечивают более высокую производительность.
Служба безопасного хранения и проверка подлинности на основе утверждений
Служба безопасного хранения реализована на основе утверждений. Эта служба принимает маркеры безопасности и расшифровывает их для получения идентификатора приложения, после чего выполняет поиск. Служба маркеров безопасности SharePoint Server 2010 (STS) выдает маркер безопасности в ответ на запрос проверки подлинности. После этого служба безопасного хранения расшифровывает маркер и считывает идентификатор приложения. Этот идентификатор используется службой безопасного хранения для извлечения учетных данных из службы безопасного хранения. Извлеченные учетные данные используются для авторизации доступа к ресурсам.
See Also
Concepts
Настройка службы безопасного хранения (SharePoint Server 2010)