共用方式為


規劃單一登入

本文內容:

  • 關於單一登入

  • 常見 SSO 案例

  • Office SharePoint Server SSO 架構

  • 規劃伺服器陣列層級 SSO 設定

  • 規劃企業應用程式定義設定

  • SSO 作業的規劃

  • 工作表

使用本文可進行在 Microsoft Office SharePoint Server 2007 中使用單一登入 (SSO) 的規劃。本文說明如何在安全環境中設定 SSO,包含使用 SSO 連線至後端資料系統的方式。

關於單一登入

Office SharePoint Server 2007 中的 SSO 功能使用者認證對應至後端資料系統。使用 SSO,您可以從 Office SharePoint Server 2007 外部的伺服器電腦與服務存取資料。您可以從 Office SharePoint Server 2007 網頁組件內檢視、建立及變更此資料。SSO 功能可確保:

  • 安全地管理使用者認證。

  • 執行在外部資料來源上設定的使用者權限層級。

  • 當使用者在 Office SharePoint Server 2007 內檢視外部資料來源中的資料時,系統不會提示使用者重新輸入認證。

  • 不論平台與驗證需求為何,Office SharePoint Server 2007 皆可連線至多個外部資料系統。

SSO 需要使用者帳戶使用 Windows 認證。在使用 Web SSO 驗證使用者帳戶的環境中,只有在目前呼叫 SSO 應用程式發展介面 (API) 的執行緒有關聯的 Windows 識別碼時,才可使用 SSO。

常見 SSO 案例

SSO 主要用於商務智慧案例。在 Office SharePoint Server 2007 中,有許多功能與 SSO 相關,包含下列功能:

  • 商務資料目錄

  • Excel Services

  • InfoPath Forms Services

  • 商務資料網頁組件

  • KPI 網頁組件

  • Microsoft Office SharePoint Designer 資料表單網頁組件

  • 商務資料搜尋

  • 清單中的商務資料

此外,您可以引進連線至外部資料來源的自訂網頁組件,包含以 Windows 以外的作業系統為基礎的網頁組件。例如,您可以連線至下列企業應用程式:

  • SAP Business Information Warehouse

  • Siebel eBusiness Applications

  • Microsoft BizTalk Server

如需商務智慧案例的詳細資訊,請參閱<規劃商務智慧>。

Office SharePoint Server SSO 架構

本節說明在 Office SharePoint Server 2007 中實作 SSO 的方式。

Microsoft Single Sign-On 服務

Office SharePoint Server 2007 中的 SSO 功能使用 Microsoft Single Sign-On service (SSOSrv)。下圖顯示在 Office SharePoint Server 2007 伺服器陣列中實作單一登入服務的方式。

伺服器陣列中的單一登入服務

  1. SSO 加密金鑰伺服器   第一部啟用單一登入服務的伺服器電腦會成為加密金鑰伺服器。加密金鑰伺服器會產生並儲存加密金鑰。加密金鑰可用以加密和解密儲存在 SSO 資料庫中的認證。加密金鑰伺服器應為應用程式伺服器電腦,例如索引伺服器。

  2. 單一登入服務   此服務必須安裝於伺服器陣列中的所有網頁伺服器電腦上。此外,此服務必須安裝於架設 Excel Services 應用程式伺服器角色的任何電腦上。如果使用商務資料目錄搜尋,還必須在索引伺服器上安裝此服務。

  3. SSO 資料庫   當您在管理中心網站上設定 SSO 伺服器設定時,Office SharePoint Server 2007 會在架設設定資料庫的資料庫伺服器電腦上建立 SSO 資料庫。如果安裝 Microsoft SQL Server,SSO 資料庫會是 SQL Server 資料庫。如果未安裝 SQL Server,單一登入服務會使用 SQL Server 2005 Express Edition。SSO 資料庫儲存加密的認證。

    注意

    如果您要從舊版 SharePoint Portal Server 升級,必須重新建立 SSO 環境,包含建立新的 SSO 資料庫。SSO 無法移轉或升級至 Office SharePoint Server 2007。

企業應用程式定義

在 SSO 環境中,後端的外部資料來源和系統均稱為企業應用程式。設定 SSO 環境之後,可以建立企業應用程式定義。每個 Office SharePoint Server 2007 連線的企業應用程式皆有一個由管理員設定的對應企業應用程式定義。或者可為相同的實體企業應用程式設定數個企業應用程式定義,以保護擁有存取權的不同群組。

企業應用程式定義會定義:

  • 企業應用程式識別 (顯示名稱、程式設計名稱與連絡人電子郵件地址)。

  • 對應至企業應用程式的使用者帳戶類型。使用者帳戶類型取決於企業應用程式 (在某些情況下會是網頁組件) 是否根據個人帳戶或群組帳戶執行權限。

  • 認證類型是從使用者收集而來 (使用者名稱、密碼或其他認證,例如智慧卡)。

  • Office SharePoint Server 2007 網頁組件連線至企業應用程式所使用的帳戶。

單一登入功能可讓多個網頁組件存取不同的企業應用程式。不同的企業應用程式可各自使用不同的驗證類型。企業應用程式也可以 Windows 以外的作業系統為基礎。

SSO 票證

在使用者與各種系統與應用程式互動的企業環境中,很有可能透過多個程序、產品與電腦而使得環境無法維護使用者內容。由於您必須確認啟動原始要求的人員,因此使用者內容對提供單一登入功能而言很重要。在多部伺服器將認證從加密金鑰伺服器傳送至企業應用程式的案例中,單一登入服務會提供 SSO 票證 (而不是 Kerberos 票證)。這些伺服器使用此票證取得提出原始要求之使用者的對應認證。

例如,薪資環境可設定為透過 BizTalk Server 存取 SAP 系統中的資料。如果有網頁組件連線至 SAP 系統,則會透過 BizTalk Server 電腦路由認證。在 SSO 環境中,網頁組件會傳送 SSO 票證到連線至 SAP 系統之 BizTalk Server 電腦上的服務。如果使用者屬於企業應用程式定義中指定的某一帳戶或群組帳戶,服務會贖回用於 SAP 系統認證的 SSO 票證。為了讓 BizTalk Server 電腦上的服務可贖回 SSO 票證,服務所使用的帳戶必須新增至 SSO 管理員群組。

單一登入服務會在 Windows 使用者要求票證或應用程式代表使用者要求票證時,發出票證。單一登入服務僅會發出票證給提出要求的使用者 (您無法為其他使用者要求票證)。票證包含目前使用者的已加密網域與使用者名稱,以及票證的到期時間。

在企業應用程式確認原始要求者的身分識別之後,應用程式會贖回票證以取得啟動要求之使用者的認證。票證預設會在兩分鐘後到期。SSO 管理員可修改票證的到期時間。票證逾時值的長度必須足以涵蓋從發出票證到贖回票證這段時間。

SSO 管理

管理 SSO 需要兩種管理員類型:

  • SSO 管理員   這些管理員會建立及設定 SSO、管理 SSO 帳戶、備份加密金鑰,以及建立與變更加密金鑰。基於安全性原因,需要 SSO 管理員登入加密金鑰伺服器,以在本機建立、設定及管理 SSO。SSO 管理員無法從遠端伺服器電腦管理 SSO 伺服器設定。

  • 企業應用程式定義管理員   這些管理員會建立及管理企業應用程式定義,以及更新用以存取企業應用程式所使用的帳戶與認證。這些管理員可以遠端方式管理企業應用程式定義。

本文稍後會詳細說明 SSO 管理員的特定帳戶與權限。

網路相依性

在 Office SharePoint Server 2007 伺服器陣列內,單一登入服務需要 NetBIOS 名稱,以在加密金鑰伺服器與資料庫伺服器電腦之間通訊。如果資料庫伺服器電腦無法使用 NetBIOS 名稱解析,SSO 設定會失敗。

規劃伺服器陣列層級 SSO 設定

本節說明伺服器陣列層級設定的規劃選擇。這些規劃選擇包含:

  • 決定將架設 SSO 加密金鑰伺服器角色的伺服器電腦。

  • 設定 SSO 帳戶,並確認使用適當的權限建立這些帳戶。

  • 伺服器陣列層級設定的記錄決策,設定於管理中心的 [管理單一登入的伺服器設定] 頁面上。

  • 工作表動作

SSO 加密金鑰伺服器

決定伺服器陣列中將架設 SSO 加密金鑰伺服器角色的電腦。建議的設定是選取一部應用程式伺服器電腦 (例如索引伺服器),理由如下:

  • 所有執行單一登入服務的伺服器電腦皆必須能夠在網路上與加密金鑰伺服器通訊。使用擁有多部網頁伺服器電腦的伺服器陣列時,某些負載平衡技術不允許網頁伺服器相互通訊。

  • 應用程式伺服器電腦無法由一般使用者直接存取,且一般會受到額外安全層的保護。例如,通常會實作安全性通訊協定 (例如 IPsec 或 SSL) 以在伺服器陣列內保護伺服器對伺服器的通訊。此外,某些伺服器陣列拓撲會在網頁伺服器電腦與應用程式伺服器電腦之間實作額外的路由器或防火牆。

所有架設 Excel Services 角色的應用程式伺服器電腦上必須安裝單一登入服務。如果使用商務資料目錄搜尋,還必須在索引伺服器上安裝單一登入服務。這些需求使每部伺服器電腦成為加密金鑰伺服器角色的最佳選擇。

請確定 SSO 管理員可以本機方式登入加密金鑰伺服器。此外,請確定下列項目,以確保 Internet Explorer 中的安全性設定不會阻礙 SSO 的管理:

  • 預設會選取 [只在近端內部網路區域自動登入]**** 選項 (若要執行這項操作,請在 [工具] 功能表上,依序按一下 [網際網路選項]、[安全性] 索引標籤與 [自訂層級] 按鈕,然後在 [安全性設定] 對話方塊中,移至 [使用者驗證]**** 區段)。

  • 取消選取 [提示輸入使用者名稱及密碼]。

SSO 帳戶

設定、執行及管理 SSO 系統必須有四種帳戶:

  • SSO 連線帳戶

  • SSO 管理員帳戶

  • SSO 服務帳戶

  • 企業應用程式管理員帳戶

在評估環境中,您可以對上述每個帳戶使用伺服器陣列帳戶。但是在安全環境中,您應考量要使用哪些帳戶及如何設定這些帳戶。本節詳細說明帳戶需求,並提供在安全環境中設定這些帳戶的建議。

設定、執行及管理 SSO 系統所需的四個帳戶提供角色分離與權限隔離。下表列出這些帳戶,並說明使用這些帳戶執行的動作。

帳戶 描述

SSO 連線帳戶

  • 在 Office SharePoint Server 2007 中設定單一登入服務。

  • 在 Office SharePoint Server 2007 中設定及管理單一登入服務,包含管理加密金鑰。

  • 在 Office SharePoint Server 2007 內建立、修改或刪除企業應用程式定義。

SSO 管理員帳戶

  • 在 Office SharePoint Server 2007 中設定及管理單一登入服務,包含管理加密金鑰。

  • 在 Office SharePoint Server 2007 內建立、修改或刪除企業應用程式定義。

    贖回 SSO 票證。如果認證在取得企業應用程式定義之前,即通過中繼服務 (例如 BizTalk Server),則會使用此帳戶提供中繼服務贖回 SSO 票證的權限。

SSO 服務帳戶

在 Windows 中執行單一登入服務。

企業應用程式管理員帳戶

在 Office SharePoint Server 2007 內建立、修改或刪除企業應用程式定義。

帳戶 需求

SSO 連線帳戶

  • 必須是使用者網域帳戶。不能是群組帳戶。

  • 使用者帳戶必須是伺服器陣列管理員。

  • 必須是加密金鑰伺服器電腦上的管理員群組成員。

  • 必須是下列在執行 SQL Server 之電腦上的 SQL Server 安全性角色成員:

    • Dbcreator

    • Securityadmin

  • 必須與 SSO 管理員帳戶相同,或是 SSO 管理員帳戶群組帳戶的成員。

SSO 管理員帳戶

  • 必須是 Windows 全域群組或個別使用者帳戶。不能是網域本機群組帳戶或通訊群組清單。

  • SSO 服務帳戶必須是此使用者或此群組的成員。

  • SSO 連線帳戶必須是此使用者或此群組的成員。

  • 必須新增至擁有讀取權限層級的 SharePoint 管理中心網站。

  • 基於管理 SSO 目的而新增至此群組的所有使用者,皆必須是加密金鑰伺服器上的管理員群組成員。請勿讓此帳戶本身成為加密金鑰伺服器上的管理員群組成員。

SSO 服務帳戶

  • 必須是網域使用者帳戶。不能是群組帳戶。

  • 必須是 SSO 管理員帳戶,或 SSO 管理員帳戶群組帳戶的成員。

  • 必須是在伺服器陣列中執行 Office SharePoint Server 2007 之所有伺服器電腦上本機群組 WSS_Admin_WPG 的成員。

  • 必須是 Office SharePoint Server 2007 設定資料庫上公用資料庫角色的成員。

  • 必須是 SSO 資料庫所在 SQL Server 執行個體上系統管理員 (Sysadmin) 伺服器角色的成員。

  • 在安全環境中,請勿在本機電腦上以管理員群組成員的帳戶執行此服務。

    注意

    若要變更服務帳戶,必須先備份主要金鑰,然後在變更服務帳戶之後還原此主要金鑰。

企業應用程式管理員帳戶

  • 必須是全域群組帳戶或個別使用者帳戶。這個帳戶不能是網域本機群組或通訊群組清單。

  • 必須在 SharePoint 管理中心網站上擁有讀取權限層級。

在安全環境中,建議盡可能設定四個不同的帳戶並使用群組帳戶。如果您要 SSO 連線帳戶、SSO 管理員帳戶與 SSO 服務帳戶使用使用者帳戶,則必須使用相同的使用者帳戶。下表提供設定這些帳戶的建議。

帳戶 評估環境 安全環境

SSO 連線帳戶

伺服器陣列帳戶

使用身為「伺服器陣列管理員」群組成員之管理員的個別使用者帳戶。

SSO 管理員帳戶

伺服器陣列帳戶

建立專用網域群組帳戶。新增下列項目到此群組:

  • 將用作 SSO 連線帳戶的使用者帳戶。

  • 執行單一登入服務所使用的帳戶

  • 允許在 Office SharePoint Server 2007 中管理單一登入服務的使用者。同時將這些使用者新增至加密金鑰伺服器上的管理員群組。

    贖回 SSO 票證之服務的服務帳戶。這些是在加密金鑰伺服器與企業應用程式之間傳送認證的中繼服務。

SSO 服務帳戶

伺服器陣列帳戶

  • 使用個別使用者帳戶。使用與 SSO 連線帳戶不同的帳戶。

  • 請勿將此帳戶新增至本機電腦上的「伺服器陣列管理員」群組或管理員群組。

    請勿使用與在網際網路資訊服務 (IIS) 應用程式集區上執行的帳戶相同的服務帳戶。

企業應用程式管理員帳戶

伺服器陣列帳戶

建立專用網域群組帳戶。將允許建立及管理企業應用程式定義的使用者新增至此群組。

下圖顯示這些帳戶建議的安全設定。

設定 SSO 帳戶的建議事項

資料庫設定

資料庫設定會用於建立 SSO 資料庫,包含:

  • 伺服器名稱   這是資料庫伺服器電腦的 NetBIOS 名稱。請勿輸入完整的網域名稱 (FQDN)。

  • 資料庫名稱   這是 SSO 資料庫的名稱。

建議您保留預設設定,除非要事先建立資料庫。

逾時設定

逾時設定包含下列設定:

  • 票證逾時 (分鐘)   使用此選項可設定 SSO 票證到期前可經過的分鐘數。請確定票證逾時值的長度超過發出票證時與企業應用程式贖回票證時兩者之間的長度。建議設定為兩分鐘,提供票證充裕的時間贖回。如果票證在兩分鐘內未贖回,可能有網路或其他問題使得兩部電腦無法連線。

  • 刪除稽核記錄早於   使用此選項可設定刪除記錄之前,在稽核記錄中保留記錄的天數。

預設逾時設定是建議的起點。

規劃企業應用程式定義設定

本節說明企業應用程式定義的規劃選擇。

工作表動作

使用單一登入企業應用程式定義工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x404) 記錄您的規劃選擇。請為每個規劃新增的企業應用程式定義,完成此工作表。

建立企業應用程式定義之後,就無法修改下列屬性:

  • 企業應用程式定義的名稱

  • 帳戶類型 (群組或個人、使用 Windows 驗證的群組或個人,或使用受限帳戶的群組)

  • 登入帳戶資訊欄位

應用程式與連絡人資訊

[應用程式與連絡人資訊] 包含下列設定:

  • 顯示名稱   企業應用程式的易記名稱。

  • 應用程式名稱   企業應用程式的程式設計名稱。這是網頁組件用於呼叫企業應用程式定義的名稱。

  • 連絡人電子郵件地址   使用者可以針對企業應用程式進行連絡的電子郵件地址。

帳戶類型

帳戶類型是指將使用者認證對應至企業應用程式所使用的帳戶類型:可以是個人帳戶或群組帳戶。如果企業應用程式中的每位使用者各有一個帳戶,請選擇 [個人]。如果企業應用程式的所有使用者使用一個帳戶,請選擇 [群組]****。

請注意,安全性授權可由企業應用程式或連線至企業應用程式的網頁組件執行。安全性授權的設定方式會影響企業應用程式所使用的帳戶類型。例如,存取薪資明細應用程式中之個人資料的授權,可透過下列兩種方法之一進行設定:

  • 使用者在薪資明細系統中擁有個人帳戶,以存取其薪資明細表。在此情況下,企業應用程式會使用個人帳戶。

  • 用於存取薪資明細表資料的網頁組件會執行安全性授權。在此情況下,網頁組件會根據使用者認證執行使用者授權,且薪資明細系統的所有使用者會使用群組帳戶。因此,此案例的企業應用程式定義會使用群組帳戶。

此外,如果使用群組帳戶,企業應用程式定義可設定為使用權限帳戶。如果選擇權限帳戶,認證會儲存在與一般認證不同的位置,且會使用不同的 API 存取權限認證。中繼應用程式 (例如商務資料目錄) 若需要對根據認證擷取的資料強制進行進一步的安全性調整,即會使用權限帳戶。

使用受限制之認證的應用程式必須根據使用權限認證傳回的資料,執行進一步授權及資料調整。伺服器陣列管理員必須確保所有使用權限帳戶的應用程式,統一執行此授權與資料調整。否則,如果未執行此額外授權與調整的應用程式擁有權限帳戶的存取權,應用程式可能透過使用權限認證,存取以其他方式調整的資料,因而危害安全性。

僅在下列情況時,才選擇 [使用權限帳戶的群組]:

  • 帳戶是群組帳戶。

  • 使用商務資料目錄連線至企業應用程式。

  • 連線至企業應用程式的中繼應用程式符合使用權限帳戶的條件。

  • 資料高度機密。

驗證類型

驗證類型是指 Office SharePoint Server 2007 伺服器連線至企業應用程式所使用的方法:Windows 驗證或無驗證。此驗證僅適用於執行 Office SharePoint Server 2007 的伺服器用於登入企業應用程式的認證。不會影響使用者認證的驗證。

如果企業應用程式架設在執行 Windows 的電腦上,請選取 [Windows 驗證]****。如果企業應用程式架設在不是執行 Windows 的電腦上,請將此設定保留為空白。如果未使用 Windows 驗證,則不會加密登入認證。如果您選取 Windows 驗證,但企業應用程式系統不支援 Windows 驗證,SSO 連線將失敗。

使用者的登入帳戶資訊

為登入帳戶資訊提供的欄位,決定登入所需的資訊內容。根據預設,僅會指定使用者名稱與密碼。您最多可指定五種必須包含的資訊。例如,您可以要求 SAP 伺服器名稱或 SAP 用戶端數目。在下列情況下,系統會提示使用者輸入認證:

  • 驗證失敗或找不到認證。

  • 程式化網頁組件以提示使用者輸入認證。

登入帳戶資訊用於使用個人帳戶的企業應用程式定義。不建議對使用群組帳戶的企業應用程式定義,提示輸入登入帳戶資訊。

您在此設定的登入帳戶資訊必須符合企業應用程式的登入需求。此外,還必須決定使用者提供認證時,系統是否需要對這些認證進行遮罩。

一般而言,僅需要使用者名稱與密碼。某些高度安全的環境可能需要額外的使用者識別碼。此外,某些系統可能需要其他使用者資訊以識別應用程式。例如,若要存取 Oracle,使用者可能會輸入下表所示的資訊。

在此欄位中 輸入此資訊

欄位 1

Oracle 使用者名稱

欄位 2

Oracle 使用者密碼 (在 [遮罩] 選項中選取 [是])

欄位 3

Oracle 資料庫名稱

若要存取 SAP 應用程式,使用者可能會輸入下表所示的資訊。

在此欄位中 輸入此資訊

欄位 1

SAP 使用者名稱

欄位 2

SAP 密碼 (在 [遮罩] 選項中選取 [是])

欄位 3

SAP 系統數目

欄位 4

SAP 用戶端數目

欄位 5

語言

企業應用程式的帳戶資訊

如果要使用群組帳戶連線至企業應用程式,就需要提供帳戶認證。新增企業應用程式定義之後,SSO 管理員或企業應用程式管理員帳戶成員,即可在管理中心網站上按一下 [管理企業應用程式定義的帳戶資訊],以指定用於連線至外部伺服器電腦的帳戶名稱與密碼。

工作表動作

使用單一登入企業應用程式定義工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x404) 記錄群組帳戶的名稱。

在管理中心網站上輸入帳戶資訊的管理員還必須知道群組帳戶的密碼。

如果要使用個人帳戶連線至企業應用程式,則不需要在管理中心網站上輸入帳戶資訊。

SSO 作業的規劃

管理加密金鑰

在搭配 SSO 使用認證的加密過程中,會使用加密金鑰。金鑰有助於解密儲存在 SSO 資料庫中的已加密認證。第一次在管理中心的 [管理單一登入的伺服器設定] 頁面中設定 SSO 與企業應用程式定義時,會自動建立加密金鑰。管理加密金鑰包含稽核加密金鑰及重新產生加密金鑰。

稽核加密金鑰

您可以對加密金鑰所做的變更啟用稽核。如果讀取或寫入金鑰,會在安全性記錄檔中記錄安全性事件。您可以使用 [事件檢視器] 檢視安全性記錄檔。啟用記錄包含:

  • 修改 SSO 登錄機碼。

  • 使用「群組原則物件編輯器」建立本機電腦原則。

重新產生加密金鑰

由於加密金鑰保護安全性認證,因此您應定期重新產生金鑰,例如每 90 天。如果帳戶認證受到危害,也應該重新產生加密金鑰。

重新加密程序是漫長的作業。建議您在非尖峰時段變更加密金鑰。重新加密「加密金鑰」會對 SSO 環境造成下列影響:

  • 在重新加密程序期間,無法進行寫入作業,例如更新認證與變更企業應用程式定義。

  • 讀取作業仍會繼續如常運作,例如擷取認證。

您必須在本機登入加密金鑰伺服器,以重新加密「加密金鑰」。您也必須是 SSO 管理員帳戶的成員。

如果在重新加密程序期間重新啟動加密金鑰伺服器,或在加密金鑰伺服器上停止單一登入服務,則應查詢事件記錄檔以找出錯誤。如果事件記錄檔報告錯誤,則必須重新啟動重新加密程序。如果重新加密程序無論如何皆會優先執行,則必須重新執行。如果重新加密程序會優先執行,則會還原為原始狀態。

當您建立加密金鑰時,可以選擇使用新的金鑰重新加密現有的認證。如果您沒有使用新的加密金鑰重新加密現有的認證,則使用者必須針對個別企業應用程式定義,重新輸入他們的認證,而群組企業應用程式定義的管理員必須重新輸入群組認證。

當您重新加密單一登入服務認證存放區時,會在 Microsoft Windows Server 2003 應用程式事件記錄檔中記錄這些事件。啟動重新加密之後,您可以監視應用程式事件記錄檔,以確認認證存放區已重新加密。啟動重新加密時,會在應用程式事件記錄檔中記錄事件識別碼 1032。重新加密結束時,會在應用程式事件記錄檔中記錄事件識別碼 1033。如果重新加密期間發生任何失敗,會在記錄檔中記錄事件。

當您在決定管理加密金鑰的規劃選擇時,請考量下列項目:

  • 您規劃重新加密「加密金鑰」的間隔為何?

  • 是否應同時使用新的加密金鑰重新加密現有的認證?

  • 在哪些其他情況下要重新加密「加密金鑰」?

工作表動作

使用單一登入伺服器陣列設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x404) 記錄您的規劃選擇。

備份 SSO 環境

備份 SSO 環境需要備份下列兩個不同的實體:

  • 加密金鑰

  • SSO 資料庫

請在首次設定 SSO 之後備份加密金鑰,再於每次重新產生時重新備份金鑰。除非限制要定期重新產生加密金鑰,否則不需要定期備份加密金鑰。加密金鑰無法從遠端進行備份。您必須是 SSO 管理員帳戶的成員並已從本機登入加密金鑰伺服器,才可備份加密金鑰。加密金鑰僅可備份至抽取式儲存媒體。無法備份至本機硬碟。加密金鑰可從管理中心的 [管理加密金鑰] 頁面進行備份。

請在首次建立 SSO 資料庫之後加以備份,再於每次重新加密認證時重新備份。此外,您可以在 SSO 資料庫備份中包含伺服器陣列的定期資料庫備份。定期備份會包含 SSO 資料庫的其他變更,例如新的企業應用程式定義與更新的認證。

請勿在與 SSO 資料庫之備份媒體相同的位置儲存加密金鑰的備份媒體。如果使用者取得同時包含資料庫與金鑰的複本,可能會危害在資料庫中儲存的認證。在理想狀況下,加密金鑰的備份會鎖定在安全的位置。

當您在決定備份 SSO 環境的規劃選擇時,請考量下列項目:

  • 備份加密金鑰的間隔。

  • 規劃備份 SSO 資料庫。最有效的規劃是在定期備份伺服器陣列時備份 SSO 資料庫。

工作表動作

使用單一登入伺服器陣列設定工作表 (英文) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x404) 記錄您的規劃選擇。

還原 SSO 環境

需要還原 SSO 環境的情況有幾種。在某些情況下,您僅需要還原加密金鑰或 SSO 資料庫。下表說明數個還原案例並指出需要還原的項目。

案例 還原項目

將加密金鑰伺服器角色移至不同的伺服器電腦。

加密金鑰

變更 SSO 服務帳戶。

加密金鑰

還原失敗的資料庫伺服器電腦。

SSO 資料庫

將 Office SharePoint Server 2007 伺服器陣列移轉至不同的一組伺服器電腦。

加密金鑰與 SSO 資料庫

從損毀的整個伺服器陣列復原。

加密金鑰與 SSO 資料庫

本節的其餘部分,根據案例詳細說明與還原 SSO 環境相關的特定工作。

若要將加密金鑰伺服器角色移至不同的伺服器電腦,請使用下列步驟:

將加密金鑰伺服器角色移至不同的伺服器電腦

  1. 備份加密金鑰。

  2. 在伺服器陣列中的所有電腦上,停用單一登入服務。

  3. 登入新的加密金鑰伺服器。

  4. 啟動單一登入服務。

  5. 在管理中心網站上設定 SSO 伺服器陣列層級設定。指定現有的 SSO 資料庫。

  6. 還原加密金鑰。

  7. 在伺服器陣列的所有網頁伺服器電腦上,啟動單一登入服務。

變更 SSO 服務帳戶

SSO 服務帳戶的安全性識別項 (SID) 是加密 SSO 認證所使用的準則之一。因此,若要變更 SSO 服務帳戶,您必須重新設定 SSO 環境。使用下列步驟可變更 SSO 服務帳戶:

變更 SSO 服務帳戶

  1. 備份加密金鑰。

  2. 在伺服器陣列中執行單一登入服務的所有伺服器電腦上,使用新的服務帳戶重新設定服務。

  3. 在管理中心網站上,使用新的 SSO 服務帳戶重新設定 SSO 伺服器陣列層級設定。指定現有的 SSO 資料庫。

  4. 還原加密金鑰。

  5. 重新加密 SSO 資料庫中的認證。使用還原的加密金鑰重新加密認證。

僅還原 SSO 資料庫伺服器

如果架設 SSO 資料庫的伺服器電腦失敗,您僅需要還原 SSO 資料庫。使用您在 Office SharePoint Server 2007 環境中用以還原任何其他資料庫的方法,還原資料庫。如果您將 SSO 資料庫還原到不同的伺服器電腦,請使用新資料庫伺服器電腦的名稱重新設定 SSO 伺服器陣列層級設定。

還原整個 SSO 環境

需要同時還原加密金鑰與 SSO 資料庫的情況有幾種。使用下列步驟可還原整個 SSO 環境:

還原整個 SSO 環境

  1. 將 SSO 資料庫還原至預定資料庫伺服器電腦。

  2. 請以設定新 SSO 環境之方式,建立及設定 SSO,但是輸入現有 SSO 資料庫的伺服器名稱與資料庫名稱。

  3. 將加密金鑰還原至新的 SSO 環境。

回應 SSO 安全性危害

安全性危害可能包含遺失備份媒體、密碼洩漏或其他可能危害在 SSO 資料庫中儲存的認證或是在企業應用程式中儲存之資料的事件。如果您發生可能影響 SSO 環境的安全性危害,請執行下列作業以回應危害:

回應安全性危害

  1. 重新產生加密金鑰。

  2. 重新加密 SSO 資料庫中的認證 (使用新的加密金鑰)。

  3. 如果企業應用程式的密碼可能遭到洩漏,請變更密碼。

  4. 如果使用者的密碼可能遭到洩漏,建議使用者變更密碼。

如果安全性危害可能很嚴重,您可以停止單一登入服務,以立即暫停存取 SSO 資料庫中儲存的認證。如果需要停止單一登入服務,您可以使用下列步驟,安全地將服務還原到現有的 Office SharePoint Server 2007 伺服器陣列:

將單一登入服務還原到現有的伺服器陣列

  1. 將 SSO 環境還原到隔離的伺服器電腦。

  2. 重新產生加密金鑰。

  3. 重新加密 SSO 資料庫中的認證。

  4. 備份 SSO 環境。

  5. 將 SSO 環境還原到現有的 Office SharePoint Server 2007 伺服器陣列。

工作表

使用下列工作表規劃單一登入:

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。