在 SharePoint 中配置 Secure Store Service

 

**上一次修改主题:**2017-07-14

**摘要:**在 SharePoint Server 2013 或 SharePoint Server 2016 服务器场的 Secure Store Service 中配置授权凭据的存储区。

本文介绍如何在 SharePoint Server 服务器场中配置 Secure Store Service。Secure Store 具有与其关联的重要规划注意事项。确保在开始本文中的过程之前阅读在 SharePoint Server 中规划 Secure Store Service

本文内容:

  • 配置安全存储

  • 使用加密密钥

  • 在安全存储中存储凭据

  • 创建目标应用程序

  • 设置目标应用程序的凭据

  • 启用审核日志

在 SharePoint Server 中配置安全存储

Secure Store 服务在应用程序和前端服务器角色下运行。在创建 Secure Store 服务应用程序时会自动设置。

若要配置安全存储,请执行下列步骤:

  1. 在 SharePoint Server 中注册管理帐户以运行安全存储应用程序池。

  2. 在服务器场中的应用程序服务器上启动 Secure Store Service(仅限 SharePoint Server 2013)。

  3. 创建 Secure Store Service Service 应用程序。

若要运行应用程序池,您必须具有标准域帐户。此帐户不需要特定权限。在 Active Directory 中创建帐户之后,请执行以下步骤以使用 SharePoint Server 注册它。

注册管理帐户的具体步骤

  1. 在 SharePoint 管理中心网站主页的左侧导航窗格中,单击“安全性”。

  2. 在“安全性”页的“一般安全性”部分,单击“配置管理帐户”。

  3. 在“管理帐户”页上,单击“注册管理帐户”。

  4. 在“用户名”框中,键入帐户的名称。

  5. 在“密码”框中,键入帐户的密码。

  6. 如果您希望 SharePoint Server 处理对帐户密码的更改,请选中“启用自动更改密码”框并指定要使用的密码更改参数。

  7. 单击“确定”。

如果使用的是 SharePoint Server 2013,则必须在服务器场中的应用程序服务器上启动 Secure Store Service。(如果使用的是 SharePoint Server 2016,MinRole 会自动启动此服务。)

启动 Secure Store Service (SharePoint Server 2013)

  1. 在管理中心主页上,单击“系统设置”部分的“管理服务器上的服务”。

  2. 在“服务”列表上面,单击“服务器”下拉列表,然后单击“更改服务器”。

  3. 选择要运行 Secure Store Service 的应用程序服务器。

  4. 在“服务”列表中,单击“Secure Store Service”旁边的“启动”。

接下来,必须创建一个 Secure Store Service Service 应用程序。使用以下过程可创建该服务应用程序。

创建 Secure Store Service 服务应用程序的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 在“管理服务应用程序”页上,单击“新建”,再单击“Secure Store Service”。

  3. 在“服务应用程序名称”框中,键入服务应用程序的名称(例如,Secure Store Service)。

  4. 在“数据库服务器”框中,键入要在其中创建安全存储数据库的 SQL Server 的实例。

    备注

    因为安全存储数据库包含敏感信息,所以建议您从 SharePoint Server 的其余部分将安全存储数据库部署到 SQL Server 的其他实例。

  5. 选择“新建应用程序池”选项,在文本框中为应用程序池键入名称。

  6. 选择“可配置”选项,并从下拉列表中选择之前为其创建了管理帐户的帐户。

  7. 单击“确定”。

Secure Store Service 现已配置。下一步是生成用于加密安全存储数据库的加密密钥。

使用安全存储加密密钥

使用 Secure Store Service 之前,必须生成加密密钥。该密钥用于对存储在 Secure Store Service 数据库中的凭据进行加密和解密。

生成加密密钥

首次访问 Secure Store Service 应用程序时,您的唯一选项是生成新的加密密钥。生成密钥之后,其余安全存储功能将变为可用。

生成新的加密密钥的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在“密钥管理”组中,单击“生成新密钥”。

  4. 在“生成新密钥”页上的“通行短语”框中键入通行短语字符串,然后在“确认通行短语”框中键入同一字符串。此通行短语将用于加密安全存储数据库。

    重要

    通行短语字符串必须至少包含八个字符和以下四个元素中的三个:

    • 大写字符

    • 小写字符

    • 数字

    • 以下任何特殊字符

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    重要

    系统不会存储您输入的通行短语。请确保将其写下并存放在安全的地方。您将需要它来刷新密钥,例如在向服务器场添加新的应用程序服务器时。

  5. 单击“确定”。

作为安全预防措施或作为定期维护的一部分,您可能会决定生成新的加密密钥,并强制依据新的密钥对 Secure Store Service 进行重新加密。可使用这一相同过程来执行此操作。

警告

在生成新的密钥之前,应备份 Secure Store Service 应用程序的数据库。

刷新安全存储加密密钥

刷新加密密钥会将密钥传播到服务器场中的所有应用程序服务器。如果出现以下任何情况,则您可能需要刷新加密密钥:

  • 向服务器场添加新的应用程序服务器。

  • 还原以前备份的 Secure Store Service 数据库,而且此后更改了加密密钥。

  • 收到“无法获取主密钥”错误消息。

刷新加密密钥的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在“密钥管理”组中,单击“刷新密钥”。

  4. 在“通行短语”框中,键入最初用于生成加密密钥的通行短语。

    此短语是您在初始化 Secure Store Service 服务应用程序时使用的通行短语,或者是您在使用“生成新密钥”命令创建新密钥时使用的通行短语。

  5. 单击“确定”。

在安全存储中存储凭据

在安全存储中存储凭据可通过使用安全存储目标应用程序来实现。目标应用程序可将用户、组或声明的凭据映射到安全存储数据库中存储的一组加密凭据。创建目标应用程序之后,可以将其与外部内容类型或应用程序模型关联,或者将其与 Excel Online 或 Visio Services 等商业智能服务一起使用,以提供对外部数据源的访问权。当 SharePoint Server 服务应用程序调用目标应用程序时,安全存储将确认发出请求的用户是否是目标应用程序的授权用户,然后检索已加密凭据。这些凭据稍后将由 SharePoint Server 服务应用程序代表用户使用。

要创建目标应用程序,必须执行以下操作:

  1. 创建目标应用程序本身,指定要在安全存储数据库中存储的凭据的类型、目标应用程序的管理员和凭据所有者。

  2. 指定要存储的凭据。

创建目标应用程序

目标应用程序在管理中心的“Secure Store Service 应用程序”页上配置。使用以下过程可创建目标应用程序。

创建目标应用程序的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在“管理目标应用程序”组中,单击“新建”。

  4. 在“目标应用程序 ID”框中,键入文本字符串。

    这是将在外部用于标识此目标应用程序的唯一字符串。

  5. 在“显示名称”框中,键入文本字符串,它将用于在用户界面中显示目标应用程序的标识符。

  6. 在“联系人电子邮件”框中,键入此目标应用程序的主联系人的电子邮件地址。

    此地址可以是任何合法的电子邮件地址,并且不一定非得是 Secure Store Service 应用程序管理员的标识。

  7. 在创建类型为“个人”(见下文)的目标应用程序时,可以实现一个自定义网页,让用户添加目标数据源的个人凭据。这样做需要编写自定义代码,以便将凭据传递给目标应用程序。如果已这样做,请在“目标应用程序页 URL”字段中键入此网页的完整 URL。有三个选项:

    • 使用默认页:任何使用目标应用程序来访问外部数据的网站都会具有一个自动添加的个人注册网页。此网页的 URL 为:http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>,其中 <TargetApplicationID> 是在“目标应用程序 ID”框中键入的字符串。通过公布此网页的位置,可以让用户添加外部数据源的凭据。

    • 使用自定义页:您提供自定义网页,用户通过该网页可以提供个人凭据。在此字段中键入自定义页的 URL。

    • :没有注册页。只能由使用 Secure Store Service 应用程序的 Secure Store Service 管理员来添加个人凭据。

  8. 在“目标应用程序类型”下拉列表中,选择目标应用程序类型:对于组凭据,键入“组”;如果将各个用户映射到外部数据源上唯一的一组凭据,则键入“个人”。

    备注

    可以创建两种主要类型的目标应用程序:

    • “组”类型,对应于将一个或多个组的所有成员映射到外部数据源上的一组凭据。

    • “个人”类型,对应于将各个用户映射到外部数据源上唯一的一组凭据。

  9. 单击“下一步”。

  10. 使用“为安全存储目标应用程序指定凭据字段”页,配置向外部数据源提供凭据可能需要用到的不同字段。默认情况下会列出两个字段:“Windows 用户名”和“Windows 密码”。

    要添加其他向外部数据源提供凭据的字段,请在“为安全存储目标应用程序指定凭据字段”页上单击“添加字段”。

    默认情况下,新字段的类型为“通用”。可以使用以下字段类型:

    字段 说明

    通用

    不适合任何其他类别的值。

    用户名

    标识用户的用户帐户。

    密码

    机密的字词或短语。

    PIN

    个人标识号。

    密钥

    一个参数,确定加密算法或加密程序的功能性输出。

    Windows 用户名

    标识用户的 Windows 用户帐户。

    Windows 密码

    针对 Windows 帐户的机密字词或短语。

    证书

    一个证书。

    证书密码

    证书的密码。

    • 要更改新字段或现有字段的类型,请单击字段类型旁边出现的箭头,然后选择新的字段类型。

      备注

      对于您添加的每个字段,在为此目标应用程序设置凭据时,它们都需要具有数据。

    • 可以更改用户在与字段交互时看到的名称。在“为安全存储目标应用程序指定凭据字段”页的“字段名称”列中,通过选择当前的文本并键入新文本来更改字段名称。

    • 在字段被屏蔽时,用户键入的每个字符将不会显示出来,而是替换为屏蔽字符(例如星号“*”)。要屏蔽某字段,请在该页的“已屏蔽”列中选中该字段的复选框。

    • 要删除某字段,请在该页的“删除”列中单击该字段的删除图标。

    完成凭据字段的编辑时,单击“下一步”。

  11. 在“指定成员资格设置”页中,“目标应用程序管理员”字段中列出了有权管理目标应用程序设置的所有用户。

  12. 如果目标应用程序类型为“组”,则“成员”字段中列出了用户组,它们映射到此目标应用程序的一组凭据。

  13. 单击“确定”完成目标应用程序的配置。

设置安全存储目标应用程序的凭据

创建目标应用程序后,目标应用程序的管理员可以为其设置凭据。这些凭据由调用应用程序使用,以提供对外部数据源的访问。如果目标应用程序类型为“个人”,则还可让用户提供他们自己的凭据。

设置目标应用程序的凭据的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 单击 Secure Store Service 应用程序。

  3. 在目标应用程序列表中,指向要为其设置凭据的目标应用程序,单击显示的箭头,然后在菜单中单击“设置凭据”。

    如果目标应用程序类型为“组”,则键入外部数据源的凭据。根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

    如果目标应用程序类型为“个人”,则键入将映射到外部数据源上这一组凭据的个人的用户名,然后键入外部数据源的凭据。根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

  4. 单击“确定”。

为目标应用程序设置凭据之后,Business Connectivity Services、Excel Services 或 Visio Services 等 SharePoint Server 服务即可使用它。

启用安全存储审核日志

Secure Store Service 的审核条目存储在 Secure Store Service 数据库中。默认情况下禁用审核日志文件。

审核日志条目存储有关 Secure Store Service 操作的信息,如执行操作的时间、操作是否成功、为什么会失败(如果未成功)、执行操作的 Secure Store Service 用户以及(可选)代表其执行操作的 Secure Store Service 用户。因此,启用审核日志文件的正当理由是:解决身份验证问题。

使用管理中心启用审核日志的具体步骤

  1. 在管理中心主页的“应用程序管理”部分,单击“管理服务应用程序”。

  2. 选择 Secure Store Service 应用程序。(即,选择服务应用程序,但不要单击转到Secure Store Service 应用程序设置页的链接。)

  3. 在功能区上单击“属性”。

  4. 从“启用审核”部分,单击以选中“审核日志已启用”框。

  5. 若要更改从审核日志文件清除条目的天数,请在“清除之前经过的天数”字段中指定天数。默认值为 30 天。

  6. 单击“确定”。

See also

SharePoint Server 2016 中的 Secure Store Service cmdlet