SSO 安全性建議
本節包含如何協助保護 Enterprise Single Sign-On (SSO) 系統的建議。
使用「企業單一登入」(SSO) 系統,使用者只需使用一組認證,便可連接至不同的系統。 主機整合伺服器使用 SSO 系統作為敏感性資訊的存放區。 雖然每當您安裝 Host Integration Server 執行時間時,它會自動安裝,但您也可以將 Enterprise Single Sign-On 安裝為獨立元件,與主機整合伺服器環境無關。 建議您遵循這些指導方針,以保護及部署環境中的企業 SSO 服務和資源。
SSO 的一般部署建議
您的環境必須要有一個時間伺服器,以確保所有 SSO 伺服器均同步。 如果 SSO 伺服器上的時鐘未同步處理,這可能會危害環境的安全性。
考慮到整個環境中只有一部主要密碼伺服器,我們會使用主要秘密伺服器的主動-被動叢集設定。 如需叢集主要密碼伺服器的詳細資訊,請參閱 如何叢集主要密碼伺服器。
主要密碼伺服器會保存 SSO 系統用來加密 SSO 資料庫中資訊的加密金鑰。 建議您不要在此電腦上安裝或設定任何其他產品或服務。
注意
您安裝和設定主要密碼伺服器的電腦,不一定要是伺服器。
主要密碼伺服器應能存取卸除式媒體或 NTFS 檔案系統資料夾,才能備份和還原主要密碼。 如果您使用抽取式媒體,請確定您採取適當的措施來保護抽取式媒體。 如果您將主要密碼備份至 NTFS 檔案系統,請確定您保護檔案和資料夾。 只有 SSO 系統管理員才可存取此檔案。
您應在主要密碼伺服器產生主要密碼後,立即將它備份。 如此一來,您就可以在主要秘密伺服器失敗時復原 SSO 資料庫中的資料。 如需備份主要密碼的詳細資訊,請參閱 管理主要密碼。
備份您目前的秘密,或定期產生新的秘密,例如,一個月一次。 沒有密碼,便無法從 SSO 資料庫中擷取資訊。 如需備份和還原主要密碼的詳細資訊,請參閱 管理主要密碼。
SSO 群組和帳戶的安全性建議
我們建議您使用 Windows 群組,而不是單一使用者帳戶,特別是 SSO 系統管理員和 SSO 聯盟系統管理員群組。 這些群組至少需有兩個使用者帳戶,以做為群組的成員。
SSO 執行階段服務帳戶和 SSO 系統管理員使用者帳戶應該是不同的帳戶,即使它們是同一個「SSO 系統管理員」群組的成員。 執行系統管理工作的 SSO 系統管理員使用者,例如產生和備份秘密必須是 Windows 系統管理員,而 SSO 執行時間服務帳戶不需要是 Windows 系統管理員。
重要
Windows 管理員使用者權限不能取代 SSO 系統管理員使用者權限。 若要執行任何 SSO 系統管理層級工作,即使您已經是 Windows 系統管理員,您也必須是 SSO Administrators 群組的成員。
若使用 SSO 票證功能,必須使用處理網域 (SSO 伺服器所在的網域) 的電腦所識別的網域帳戶。
建議您針對對應至主要秘密伺服器的 SSO 服務使用唯一的服務帳戶。
SSO 系統管理員帳戶是 SSO 系統中具有高度特殊許可權的帳戶,也是具有 SSO 資料庫的 SQL Server SQL Server系統管理員帳戶。 您應該具備 SSO 系統管理員的專用帳戶,而且不得將這些帳戶用於任何其他用途。 您應該將 SSO Administrators 群組的成員資格限制為負責執行和維護 SSO 系統的帳戶。
SSO 部署的安全性建議
若您的網路支援 Kerberos 驗證,您應該註冊所有 SSO 伺服器。 當您在主要密碼伺服器與 SSO 資料庫之間使用 Kerberos 驗證時,需在 SSO 資料庫所在的 SQL Server 上設定服務主要名稱 (SPN)。
當您執行 Windows Server 2003 時,如果主要密碼伺服器位於與其他 SSO 伺服器不同的網域,以及從 SSO 資料庫執行時,您必須停用 RPC 安全性 (,如同用於資料交易協調器 (DTC) 驗證,) 主要密碼伺服器上的 SSO 伺服器、SSO 伺服器上 (處理網域中的電腦) 和 在 SSO 資料庫上。 RPC 安全性是 Windows Server 2003 中的新 DTC 功能。 當您停用 RPC 安全性時,RPC 呼叫的 DTC 驗證安全性層級會回到 Microsoft Windows 中可用的 DTC 驗證安全性層級。 如需停用 RPC 安全性的詳細資訊,請參閱 Microsoft 說明及支援。
SSO 系統管理員應定期監控主要密碼伺服器和 SSO 伺服器中的事件日誌,以瞭解 SSO 稽核事件。
除了防火牆之外,建議您在所有 SSO 伺服器與 SSO 資料庫之間使用網際網路通訊協定安全性 (IPsec) 或安全通訊端層 (SSL) 。 如需 SSL 的詳細資訊,請參閱 Microsoft 說明及支援。
周邊網路
執行 Internet Information Services (IIS) 和「企業單一登入」時,請按照以下建議執行:
如果 IIS 位於周邊網路中 (也稱為已篩選的子網) ,請提供防火牆後方執行 IIS 的另一部伺服器,以連線到 SSO 系統。
請不要開啟 IIS 上的遠端程序呼叫 (RPC) 連接埠。
SQL Server 存取
所有 SSO 伺服器都會存取SQL Server認證資料庫。
Microsoft 建議您使用安全通訊端層 (SSL) 和/或網際網路通訊協定安全性 (IPsec) ,協助保護 SSO 伺服器與認證資料庫之間的資料傳輸。 如需使用 SSL 的詳細資訊,請參閱 Microsoft 說明及支援。
若要只針對 SSO 伺服器與認證資料庫之間的連線啟用 SSL,您可以使用 ssoconfig 公用程式在每個 SSO 伺服器上設定 SSL 支援。 此選項可讓 SSO 在存取認證資料庫時一律使用 SSL。 如需詳細資訊,請參閱 How to Enable SSL for Enterprise Single Sign-On。
增強式密碼
對於所有帳戶而言,使用強式密碼十分重要,特別是「SSO 系統管理員」群組成員的帳戶,因為這些使用者可以控制整個 SSO 系統。
SSO 系統管理員帳戶
建議您針對在不同電腦上執行的 SSO 服務使用不同的服務帳戶。 您不應使用執行管理作業 (例如產生和備份 SSO 服務的密碼) 的 SSO 系統管理員帳戶。 雖然 SSO 服務帳戶不應該是該電腦上的本機系統管理員,但執行管理作業的 SSO 系統管理員必須是電腦上某些作業的本機系統管理員。
主要密碼伺服器
強烈建議您保護並鎖定主要秘密伺服器。 您不應將此伺服器當成處理伺服器。 此伺服器的唯一用途應該是保存主要密碼。 您應確定此電腦的實體安全性,且只有「SSO 系統管理員」才能存取此電腦。
Kerberos
SSO 支援 Kerberos,建議您為 SSO 設定 Kerberos。 要在 SSO 設定 Kerberos,必須註冊 SSO 服務的 Secure Principal Name (SPN)。 根據預設,當您設定 Kerberos 時,SSO 會使用該 SPN 來驗證使用 SSO 服務來驗證元件。 建議您設定 SSO 系統管理子服務與 SSO 伺服器之間的 Kerberos 驗證。 您也可以在 SSO 伺服器與 SSO 伺服器與認證資料庫所在的SQL Server之間進行使用者 Kerberos 驗證。
若要設定及驗證 Kerberos,您可以使用公用程式 setpn 和 kerbtray。
委派
當您使用 Windows Server 2003 時,可以使用限制委派,但建議您不要使用委派來執行單一 Sign-On 系統管理員的工作。 同樣地,我們建議您不要將其他工作或使用者權限委派給單一 Sign-On 系統管理員。
稽核
稽核是追蹤環境資訊的重要機制。 Enterprise Single Sign-On (SSO) 稽核認證資料庫中執行的所有作業。 SSO 使用資料庫本身的事件日誌和稽核日誌。 SSO 為「單一登入」伺服器提供兩種稽核層級:
正面稽核層級會稽核成功的作業。
負面稽核層級會失敗的稽核作業。
SSO 系統管理員可設定符合公司政策的正面和負面稽核層級。
您可以將正面和負面稽核設定為下列其中一個層級:
0 = 無 - 此層級不會發出稽核訊息。
1 = 低
2 = 中
3 = 高 - 此層級會盡可能發出許多稽核訊息。
正面稽核的預設值是 0 (無),負面稽核的預設值是 1 (低)。 您可按照 SSO 系統的稽核層級來變更這些值。
重要
企業單一 Sign-On 稽核會發出單一 Sign-On 服務所產生的訊息。 這不是安全性稽核,SSO 系統不會將資訊儲存在事件記錄檔的安全性記錄檔中。 SSO 系統會將 SSO 稽核訊息直接儲存至「應用程式事件日誌」。
資料庫層級稽核
針對資料庫層級稽核,SSO 系統會追蹤在資料庫中稽核資料表中認證資料庫上執行的作業。 這些稽核資料表的大小是在 SSO 系統層級定義。 您可以稽核刪除的分支機構應用程式、刪除的對應,以及所執行的認證查詢。 根據預設,稽核大小會設定為 1000 個專案。 SSO 系統管理員可變更此大小,以符合公司的政策。
使用企業單一 Sign-On 帳戶
本節包含當您在 Enterprise Single Sign-On (SSO) 系統中使用網域和本機群組和個別帳戶時的最佳做法。
網域 Windows 群組和帳戶
當您使用網域 Windows 群組時,適用下列建議:
使用網域群組和網域帳戶。
對於 SSO 系統管理員,請使用網域群組。 您不應將個人網域帳戶指定為 SSO 系統管理員,因為您無法將此帳戶變更為另一個個人帳戶。
您可將個別網域帳戶指定為 SSO 分支機構系統管理員,但建議您使用網域群組。
您可將個別網域帳戶指定為應用程式系統管理員,但建議您使用網域群組。
您必須針對應用程式使用者帳戶使用網域群組。 SSO 應用程式使用者帳戶不支援個別帳戶。