Planen des einmaligen Anmeldens
Inhalt dieses Artikels:
Informationen zum einmaligen Anmelden
Häufig vorkommende SSO-Szenarien
SSO-Architektur von Office SharePoint Server
Planen von SSO-Einstellungen auf Farmebene
Planen von Einstellungen für Enterpriseanwendungsdefinitionen
Planen von SSO-Vorgängen
Arbeitsblätter
Mithilfe dieses Artikels können Sie das einmalige Anmelden (Single Sign-On, SSO) in Microsoft Office SharePoint Server 2007 planen. In diesem Artikel wird beschrieben, wie SSO in einer sicheren Umgebung konfiguriert wird, einschließlich der Verwendung von SSO zum Herstellen von Verbindungen zu Back-End-Datensystemen.
Informationen zum einmaligen Anmelden
Mit dem SSO-Feature in Microsoft Office SharePoint Server 2007 werden Benutzeranmeldeinformationen den Back-End-Datensystemen zugeordnet. Mithilfe von SSO können Sie über Servercomputer und Dienste, die außerhalb von Microsoft Office SharePoint Server 2007 ausgeführt werden, auf Daten zugreifen. In Microsoft Office SharePoint Server 2007-Webparts können Sie diese Daten anzeigen, erstellen und ändern. Mit dem SSO-Feature werden folgende Bedingungen sichergestellt:
Benutzeranmeldeinformationen werden sicher verwaltet.
Die für die externe Datenquelle konfigurierten Benutzerberechtigungsstufen werden durchgesetzt.
Die Benutzer werden nicht aufgefordert, ihre Anmeldeinformationen erneut einzugeben, wenn sie Daten aus externen Datenquellen in Microsoft Office SharePoint Server 2007 anzeigen.
In Microsoft Office SharePoint Server 2007 können unabhängig von der Plattform und den Authentifizierungsanforderungen Verbindungen zu mehreren externen Datensystemen hergestellt werden.
Für SSO ist die Verwendung von Windows-Anmeldeinformationen für die Benutzerkonten erforderlich. In Umgebungen, in denen Web-SSO zum Authentifizieren von Benutzerkonten verwendet wird, kann SSO nur verwendet werden, wenn dem aktuellen Thread, der SSO-Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) aufruft, eine Windows-Identität zugeordnet ist.
Häufig vorkommende SSO-Szenarien
SSO wird vorwiegend für Business Intelligence-Szenarien verwendet. In Microsoft Office SharePoint Server 2007 sind viele Features von SSO abhängig, beispielsweise folgende Features:
Geschäftsdatenkatalog
Excel Services
InfoPath Forms Services
Geschäftsdatenwebparts
KPI-Webpart
Microsoft Office SharePoint Designer-Datenformular-Webpart
Geschäftsdatensuche
Geschäftsdaten in Listen
Zusätzlich können Sie benutzerdefinierte Webparts aufnehmen, die Verbindungen mit externen Datenquellen herstellen, einschließlich Datenquellen, die auf anderen Betriebssystemen als Windows basieren. Sie können beispielsweise Verbindungen mit den folgenden Enterpriseanwendungen herstellen:
SAP Business Information Warehouse
eBusiness-Anwendungen von Siebel
Microsoft BizTalk Server
Weitere Informationen zu Business Intelligence-Szenarien finden Sie unter Planen von Business Intelligence.
SSO-Architektur von Office SharePoint Server
In diesem Abschnitt wird beschrieben, wie SSO in Microsoft Office SharePoint Server 2007 implementiert wird.
Microsoft-Dienst für einmaliges Anmelden
Für das SSO-Feature in Microsoft Office SharePoint Server 2007 wird der Microsoft-Dienst für einmaliges Anmelden verwendet (SSOSrv). In der folgenden Abbildung wird veranschaulicht, wie der Dienst für einmaliges Anmelden in einer Microsoft Office SharePoint Server 2007-Serverfarm implementiert wird.
.gif "Dienst für einmaliges Anmelden in einer Serverfarm")
Server für den SSO-Verschlüsselungsschlüssel Der erste Servercomputer, auf dem der Dienst für einmaliges Anmelden aktiviert wird, fungiert als Server für den Verschlüsselungsschlüssel. Auf dem Server für den Verschlüsselungsschlüssel wird der Verschlüsselungsschlüssel generiert und gespeichert. Der Verschlüsselungsschlüssel wird zum Verschlüsseln und Entschlüsseln der Anmeldeinformationen verwendet, die in der SSO-Datenbank gespeichert werden. Beim Server für den Verschlüsselungsschlüssel muss es sich um einen Anwendungsservercomputer handeln, z. B. um den Indexserver.
Dienst für einmaliges Anmelden Dieser Dienst muss auf allen Webservercomputern in der Serverfarm installiert werden. Außerdem muss der Dienst auf allen Computern installiert werden, die die Excel Services-Anwendungsserverrolle hosten. Wenn eine Geschäftsdatenkatalogsuche verwendet wird, muss der Dienst auch auf dem Indexserver installiert werden.
SSO-Datenbank Wenn Sie SSO-Servereinstellungen auf der Website für die Zentraladministration konfigurieren, wird von Microsoft Office SharePoint Server 2007 eine SSO-Datenbank auf dem Datenbankservercomputer erstellt, der die Konfigurationsdatenbank hostet. Wenn Microsoft SQL Server installiert ist, handelt es sich bei der SSO-Datenbank um eine SQL Server-Datenbank. Wenn SQL Server nicht installiert ist, wird SQL Server 2005 Express Edition vom Dienst für einmaliges Anmelden verwendet. In der SSO-Datenbank werden die verschlüsselten Anmeldeinformationen gespeichert.
Hinweis
Wenn Sie eine Aktualisierung von einer vorherigen Version von SharePoint Portal Server ausführen, müssen Sie Ihre SSO-Umgebung neu erstellen sowie eine neue SSO-Datenbank erstellen. SSO kann nicht zu Microsoft Office SharePoint Server 2007 migriert oder auf Microsoft Office SharePoint Server 2007 aktualisiert werden.
Enterpriseanwendungsdefinitionen
In einer SSO-Umgebung werden die externen Back-End-Datenquellen und Systeme als Enterpriseanwendungen bezeichnet. Nach der Konfiguration der SSO-Umgebung können Sie Enterpriseanwendungsdefinitionen erstellen. Für jede Enterpriseanwendung, zu der mit Microsoft Office SharePoint Server 2007 eine Verbindung hergestellt wird, ist eine entsprechende, von einem Administrator konfigurierte Enterpriseanwendungsdefinition vorhanden. Es können jedoch auch mehrere Enterpriseanwendungsdefinitionen für dieselbe physische Enterpriseanwendung konfiguriert werden, um verschiedene Gruppen zu sichern, die über Zugriff verfügen.
Mit einer Enterpriseanwendungsdefinition werden folgende Angaben definiert:
Die Enterpriseanwendungsidentität (Anzeigename, programmatischer Name und E-Mail-Adresse des Kontakts)
Die Art der Benutzerkonten, die den Enterpriseanwendungen zugeordnet sind. Dies hängt davon ab, ob die Enterpriseanwendung (oder in einigen Fällen das Webpart) Berechtigungen auf der Grundlage von einzelnen Konten oder Gruppenkonten erzwingt.
Die Art der Anmeldeinformationen, die von Benutzern erfasst werden (Benutzername, Kennwort oder andere Anmeldeinformationen, z. B. eine Smartcard)
Das von Microsoft Office SharePoint Server 2007-Webparts zum Herstellen von Verbindungen mit der Enterpriseanwendung verwendete Konto
Durch die Funktionalität für einmaliges Anmelden werden Szenarien ermöglicht, in denen mehrere Webparts auf unterschiedliche Enterpriseanwendungen zugreifen. Für die unterschiedlichen Enterpriseanwendungen kann jeweils eine andere Art der Authentifizierung verwendet werden. Die Enterpriseanwendungen können auch auf anderen Betriebssystemen als Windows basieren.
SSO-Tickets
In einer Enterpriseumgebung, in der ein Benutzer mit verschiedenen Systemen und Anwendungen interagiert, ist es sehr wahrscheinlich, dass der Benutzerkontext in der Umgebung über mehrere Prozesse, Produkte und Computer hinweg nicht beibehalten wird. Dieser Benutzerkontext ist von entscheidender Bedeutung, wenn Funktionen für einmaliges Anmelden bereitgestellt werden sollen, da überprüft werden muss, wer die ursprüngliche Anforderung initiiert hat. In Szenarien, in denen mehrere Server beim Übergeben von Anmeldeinformationen vom Server für den Verschlüsselungsschlüssel an die Enterpriseanwendung beteiligt sind, stellt der Dienst für einmaliges Anmelden ein SSO-Ticket zur Verfügung (kein Kerberos-Ticket). Das Ticket wird von diesen Servern zum Abrufen der Anmeldeinformationen verwendet, die dem Benutzer entsprechen, der die ursprüngliche Anforderung initiiert hat.
Beispielsweise kann eine Lohnumgebung für den Zugriff auf Daten in einem SAP-System über BizTalk Server konfiguriert werden. Wenn ein Webpart eine Verbindung mit dem SAP-System herstellt, werden Anmeldeinformationen über den Computer mit BizTalk Server weitergeleitet. In einer SSO-Umgebung sendet ein Webpart ein SSO-Ticket an den Dienst auf dem Computer mit BizTalk Server, der Verbindungen mit dem SAP-System herstellt. Wenn der Benutzer zu einem Konto oder Gruppenkonto gehört, das in der Enterpriseanwendungsdefinition angegeben wird, löst der Dienst das SSO-Ticket gegen Anmeldeinformationen mit dem SAP-System ein. Damit der Dienst auf dem Computer mit BizTalk Server die SSO-Tickets einlösen kann, muss das vom Dienst verwendete Konto der Gruppe der SSO-Administratoren hinzugefügt werden.
Der Dienst für einmaliges Anmelden stellt ein Ticket aus, wenn ein Windows-Benutzer ein Ticket anfordert oder wenn eine Anwendung im Namen eines Benutzers ein Ticket anfordert. Der Dienst für einmaliges Anmelden kann nur ein Ticket für den Benutzer ausstellen, der die Anforderung initiiert (es kann kein Ticket für andere Benutzer angefordert werden). Ein Ticket enthält den verschlüsselten Domänen- und Benutzernamen des aktuellen Benutzers sowie die Angabe des Zeitpunkts, zu dem das Ticket abläuft.
Nachdem die Identität des ursprünglichen Anforderers mit einer Enterpriseanwendung überprüft wurde, wird das Ticket von der Anwendung eingelöst, um die Anmeldeinformationen des Benutzers abzurufen, der die Anforderung initiiert hat. Tickets laufen standardmäßig in 2 Minuten ab. SSO-Administratoren können die Ablaufzeit für Tickets ändern. Der Timeoutwert des Tickets muss lang genug sein, sodass er vom Zeitpunkt, zu dem das Ticket ausgestellt wird, und dem Zeitpunkt, zu dem es eingelöst wird, dauert.
SSO-Administration
Das Verwalten von SSO umfasst zwei Typen von Administratoren:
SSO-Administratoren Diese Administratoren richten SSO ein und konfigurieren es, verwalten SSO-Konten, sichern den Verschlüsselungsschlüssel und erstellen bzw. ändern den Verschlüsselungsschlüssel. Aus Sicherheitsgründen müssen sich SSO-Administratoren am Server für den Verschlüsselungsschlüssel lokal anmelden, um SSO einzurichten, zu konfigurieren und zu verwalten. SSO-Administratoren können auf einem Remoteservercomputer keine SSO-Servereinstellungen verwalten.
Administratoren für Enterpriseanwendungsdefinitionen Diese Administratoren erstellen und verwalten Enterpriseanwendungsdefinitionen, und sie aktualisieren Konten und Anmeldeinformationen, die für den Zugriff auf Enterpriseanwendungen verwendet werden. Diese Administratoren können Enterpriseanwendungsdefinitionen remote verwalten.
Bestimmte Konten und Berechtigungen für SSO-Administratoren werden später in diesem Artikel detailliert beschrieben.
Netzwerkabhängigkeiten
In einer Microsoft Office SharePoint Server 2007-Serverfarm beruht der Dienst für einmaliges Anmelden für die Kommunikation zwischen dem Server für den Verschlüsselungsschlüssel und dem Datenbankservercomputer auf NetBIOS-Namen. Wenn die NetBIOS-Namensauflösung für den Datenbankservercomputer nicht verfügbar ist, kann die SSO-Konfiguration nicht ausgeführt werden.
Planen von SSO-Einstellungen auf Farmebene
In diesem Abschnitt wird das Planen der Auswahlmöglichkeiten für Einstellungen auf Farmebene beschrieben. Hierzu zählen die folgenden Planungsauswahlmöglichkeiten:
Die Entscheidung, welcher Servercomputer die SSO-Verschlüsselungsschlüssel-Serverrolle hostet
Das Einrichten von SSO-Konten und Sicherstellen, dass diese Konten mit den entsprechenden Berechtigungen erstellt werden
Das Aufzeichnen von Entscheidungen zu Einstellungen auf Farmebene, die auf der Seite Servereinstellungen für einmaliges Anmelden verwalten in der Zentraladministration konfiguriert werden
|
|---|
|
Server für den SSO-Verschlüsselungsschlüssel
Bestimmen Sie, auf welchem Computer in Ihrer Farm die SSO-Verschlüsselungsschlüssel-Serverrolle gehostet wird. Die empfohlene Konfiguration besteht darin, aus folgenden Gründen einen Anwendungsservercomputer auszuwählen (z. B. den Indexserver):
Alle Servercomputer, auf denen der Dienst für einmaliges Anmelden ausgeführt wird, müssen über das Netzwerk mit dem Server für den Verschlüsselungsschlüssel kommunizieren können. Wenn Sie eine Farm mit mehreren Webservercomputern verwenden, lassen einige Lastenausgleichstechnologien die Kommunikation zwischen den Webservern nicht zu.
Endbenutzer können nicht direkt auf Anwendungsservercomputer zugreifen, und die Computer werden normalerweise durch zusätzliche Sicherheitsschichten geschützt. Beispielsweise werden häufig Sicherheitsprotokolle wie IPsec oder SSL implementiert, um die Kommunikation zwischen den Servern in einer Serverfarm zu sichern. Zudem wird in einigen Farmtopologien ein zusätzlicher Router oder eine Firewall zwischen den Webservercomputern und den Anwendungsservercomputern implementiert.
Der Dienst für einmaliges Anmelden muss auf allen Anwendungsservercomputern installiert werden, die die Excel Services-Rolle hosten. Wenn eine Geschäftsdatenkatalogsuche verwendet wird, muss der Dienst für einmaliges Anmelden auch auf dem Indexserver installiert werden. Durch diese Anforderungen stellt jeder dieser Servercomputer eine gute Wahl für die Verschlüsselungsschlüssel-Serverrolle dar.
Stellen Sie sicher, dass sich SSO-Administratoren lokal am Server für den Verschlüsselungsschlüssel anmelden können. Überprüfen Sie außerdem, ob die Sicherheitseinstellungen in Internet Explorer die Verwaltung von SSO verhindern, indem Sie folgende Bedingungen sicherstellen:
Die Standardoption Automatisches Anmelden nur in der Intranetzone ist ausgewählt. (Klicken Sie dazu im Menü Extras auf Internetoptionen, klicken Sie auf die Registerkarte Sicherheit, klicken Sie auf die Schaltfläche Stufe anpassen, und wechseln Sie dann im Dialogfeld Sicherheitseinstellungen zum Abschnitt Benutzerauthentifizierung.)
Nach Benutzername und Kennwort fragen ist nicht ausgewählt.
SSO-Konten
Zum Einrichten, Ausführen und Verwalten des SSO-Systems sind vier verschiedene Konten erforderlich:
SSO-Konfigurationskonto
SSO-Administratorkonto
SSO-Dienstkonto
Administratorkonto der Enterpriseanwendung
In einer Auswertungsumgebung können Sie das Serverfarmkonto für jedes dieser Konten verwenden. In einer sicheren Umgebung sollten Sie jedoch überdenken, welche Konten Sie verwenden und wie Sie diese Konten konfigurieren. In diesem Abschnitt werden die Kontoanforderungen im Detail beschrieben, und er enthält Empfehlungen für die Konfiguration dieser Konten in einer sicheren Umgebung.
In den vier Konten, die zum Einrichten, Ausführen und Verwalten des SSO-Systems erforderlich sind, sind Rollentrennung und Berechtigungsisolation möglich. In den folgenden Tabellen werden die Konten aufgelistet und die Aktionen beschrieben, die mithilfe dieser Konten ausgeführt werden.
| Konto | Beschreibung |
|---|---|
SSO-Konfigurationskonto |
|
SSO-Administratorkonto |
|
SSO-Dienstkonto |
Ausführen des Diensts für einmaliges Anmelden unter Windows |
Administratorkonto der Enterpriseanwendung |
Erstellen, Ändern oder Löschen der Enterpriseanwendungsdefinitionen innerhalb von Microsoft Office SharePoint Server 2007 |
| Konto | Anforderungen |
|---|---|
SSO-Konfigurationskonto |
|
SSO-Administratorkonto |
|
SSO-Dienstkonto |
|
Administratorkonto der Enterpriseanwendung |
|
In einer sicheren Umgebung empfiehlt es sich, nach Möglichkeit vier verschiedene Konten zu konfigurieren und ein Gruppenkonto zu verwenden. Wenn Sie ein Benutzerkonto für das SSO-Konfigurationskonto, SSO-Administratorkonto und für das SSO-Dienstkonto verwenden, müssen Sie dasselbe Benutzerkonto verwenden. In der folgenden Tabelle werden Empfehlungen für die Konfiguration dieser Konten angegeben.
| Konto | Auswertungsumgebung | Sichere Umgebung |
|---|---|---|
SSO-Konfigurationskonto |
Serverfarmkonto |
Verwenden Sie das einzelne Benutzerkonto eines Administrators, der Mitglied der Gruppe Farmadministratoren ist. |
SSO-Administratorkonto |
Serverfarmkonto |
Erstellen Sie ein dediziertes Domänengruppenkonto. Fügen Sie dieser Gruppe Folgendes hinzu:
|
SSO-Dienstkonto |
Serverfarmkonto |
|
Administratorkonto der Enterpriseanwendung |
Serverfarmkonto |
Erstellen Sie ein dediziertes Domänengruppenkonto. Fügen Sie dieser Gruppe die Benutzer hinzu, die Enterpriseanwendungsdefinitionen erstellen und verwalten dürfen. |
In der folgenden Abbildung wird die empfohlene sichere Konfiguration für diese Konten dargestellt.
.gif "Empfehlungen für die Konfiguration von SSO-Konten")
Datenbankeinstellungen
Datenbankeinstellungen werden zum Erstellen der SSO-Datenbank verwendet und umfassen folgende Einstellungen:
Servername Dies ist der NetBIOS-Name des Datenbankservercomputers. Geben Sie nicht den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) ein.
Datenbankname Dies ist der Name der SSO-Datenbank.
Wenn Sie die Datenbanken nicht vorab erstellen, empfiehlt es sich, die Standardeinstellungen beizubehalten.
Timeouteinstellungen
Die folgenden Einstellungen zählen zu den Timeouteinstellungen:
Ticket-Timeout (in Minuten) Verwenden Sie diese Einstellung, um die Anzahl der Minuten festzulegen, die vergehen können, bevor ein SSO-Ticket abläuft. Stellen Sie sicher, dass der Timeoutwert für das Ticket hoch genug ist, sodass er für die Zeit zwischen dem Zeitpunkt der Ausstellung des Tickets und dem Zeitpunkt der Einlösung durch die Enterpriseanwendung ausreicht. Die empfohlene Einstellung beträgt 2 Minuten und bietet genug Zeit zum Einlösen der Tickets. Wenn die Tickets nicht innerhalb von 2 Minuten eingelöst werden, wird eine Verbindung zwischen den Computern möglicherweise durch Netzwerkprobleme oder andere Probleme verhindert.
Überwachungsprotokolldatensätze löschen, die älter sind als Verwenden Sie diese Einstellung, um festzulegen, für wie viele Tage Datensätze vor dem Löschen im Überwachungsprotokoll beibehalten werden sollen.
Die Standardtimeouteinstellungen sind die empfohlenen Ausgangspunkte.
Planen von Einstellungen für Enterpriseanwendungsdefinitionen
In diesem Abschnitt werden die Planungsmöglichkeiten für Enterpriseanwendungsdefinitionen beschrieben.
| Arbeitsblattaktion |
|---|
Verwenden Sie das Dokument Arbeitsblatt "Enterpriseanwendungsdefinitionen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x407), um Ihre Planungsauswahl aufzuzeichnen. Füllen Sie dieses Arbeitsblatt für jede Enterpriseanwendungsdefinition aus, die Sie hinzufügen möchten. |
Nachdem Sie eine Enterpriseanwendungsdefinition erstellt haben, können Sie die folgenden Eigenschaften nicht mehr ändern:
Name der Enterpriseanwendungsdefinition
Kontotyp (Gruppenkonto oder einzelnes Konto, Windows-authentifizierte Gruppe bzw. einzelnes Konto oder Gruppe mit eingeschränktem Konto)
Felder mit Anmeldekontoinformationen
Anwendungs- und Kontaktinformationen
Anwendungs- und Kontaktinformationen umfassen folgende Einstellungen:
Anzeigename Anzeigename für die Enterpriseanwendung
Anwendungsname Programmatischer Name für die Enterpriseanwendung: Hierbei handelt es sich um den Namen, der von Webparts zum Aufrufen der Enterpriseanwendungsdefinition verwendet wird.
E-Mail-Adresse des Kontakts Die E-Mail-Adresse, an die sich die Benutzer für die Enterpriseanwendung wenden können
Kontotyp
Der Kontotyp bezieht sich auf die Art des Kontos, das zum Zuordnen von Benutzeranmeldeinformationen zur Enterpriseanwendung verwendet wird: ein einzelnes Konto oder ein Gruppenkonto. Wenn jeder Benutzer ein Konto in der Enterpriseanwendung besitzt, wählen Sie Individual (Individuell) aus. Wenn in der Enterpriseanwendung ein Konto für alle Benutzer verwendet wird, wählen Sie Group (Gruppe) aus.
Berücksichtigen Sie, dass die Sicherheitsautorisierung von der Enterpriseanwendung oder vom Webpart ausgeführt werden kann, das Verbindungen zur Enterpriseanwendung herstellt. Die Art und Weise der Einrichtung der Sicherheitsautorisierung hat Einfluss auf den von der Enterpriseanwendung verwendeten Kontotyp. Beispielsweise kann die Autorisierung für den Zugriff auf persönliche Daten in einer Lohn- und Gehaltsbuchhaltungsanwendung mithilfe einer dieser beiden Methoden eingerichtet werden:
Die Benutzer besitzen für den Zugriff auf ihre Lohn- und Gehaltsbuchhaltung ein eigenes Konto im Lohn- und Gehaltsbuchhaltungssystem. In diesem Fall werden von der Enterpriseanwendung einzelne Konten verwendet.
Durch das für den Zugriff auf Lohn- und Gehaltsbuchhaltungsdaten verwendete Webpart wird die Sicherheitsautorisierung erzwungen. In diesem Fall führt das Webpart eine Benutzerautorisierung auf der Grundlage der Benutzeranmeldeinformationen aus, und das Lohn- und Gehaltsbuchhaltungssystem verwendet ein Gruppenkonto für alle Benutzer. Als Konsequenz verwendet die Enterpriseanwendungsdefinition für dieses Szenario ein Gruppenkonto.
Wenn ein Gruppenkonto verwendet wird, kann die Enterpriseanwendungsdefinition zusätzlich so konfiguriert werden, dass sie ein privilegiertes Konto verwendet. Wenn Sie ein privilegiertes Konto auswählen, werden die Anmeldeinformationen getrennt von gewöhnlichen Anmeldeinformationen gespeichert, und es wird eine andere API für den Zugriff auf privilegierte Anmeldeinformationen verwendet. Privilegierte Konten werden in Szenarien verwendet, in denen eine Zwischenanwendung (z. B. ein Geschäftsdatenkatalog) weitere Sicherheitseinschränkungen für die auf der Grundlage der Anmeldeinformationen abgerufenen Daten durchsetzt.
Anwendungen, für die eingeschränkte Anmeldeinformationen verwendet werden, müssen weitere Autorisierungen und Dateneinschränkungen auf der Grundlage der mithilfe der privilegierten Anmeldeinformationen zurückgegebenen Daten vornehmen. Farmadministratoren müssen sicherstellen, dass alle Anwendungen, die privilegierte Konten verwenden, diese Autorisierung und Dateneinschränkung einheitlich ausführen. Wenn in einer Anwendung, in der diese zusätzliche Autorisierung und Einschränkung nicht vorgenommen werden, der Zugriff auf privilegierte Konten möglich ist, kann durch die Anwendung andernfalls die Sicherheit gefährdet werden, indem privilegierte Anmeldeinformationen für den Zugriff auf Daten verwendet werden, die ansonsten eingeschränkt worden wären.
Wählen Sie Gruppe mit eingeschränktem Konto nur unter folgenden Bedingungen aus:
Das Konto ist ein Gruppenkonto.
Der Geschäftsdatenkatalog wird zum Herstellen von Verbindungen mit der Enterpriseanwendung verwendet.
In der Zwischenanwendung, die Verbindungen mit der Enterpriseanwendung herstellt, werden die Bedingungen für die Verwendung eines privilegierten Kontos eingehalten.
Die Daten sind in hohem Maße vertraulich.
Authentifizierungstyp
Der Authentifizierungstyp bezieht sich auf die Methode, mit der der Server mit Microsoft Office SharePoint Server 2007 Verbindungen mit der Enterpriseanwendung herstellt: Windows-Authentifizierung oder keine Authentifizierung. Diese Authentifizierung ist nur auf die Anmeldeinformationen anwendbar, die der Server mit Microsoft Office SharePoint Server 2007 zum Anmelden bei der Enterpriseanwendung verwendet. Die Authentifizierung von Benutzeranmeldeinformationen ist davon nicht betroffen.
Wenn die Enterpriseanwendung auf einem Computer unter Windows gehostet wird, wählen Sie Windows-Authentifizierung aus. Wenn die Enterpriseanwendung auf einem Computer gehostet wird, auf dem nicht Windows ausgeführt wird, lassen Sie diese Einstellung leer. Wenn die Windows-Authentifizierung nicht verwendet wird, werden die Anmeldeinformationen nicht verschlüsselt. Wenn Sie die Windows-Authentifizierung auswählen und das System der Enterpriseanwendung die Windows-Authentifizierung nicht unterstützt, kann die SSO-Verbindung nicht hergestellt werden.
Anmeldekontoinformationen für Benutzer
Mit den für Anmeldekontoinformationen bereitgestellten Feldern wird bestimmt, welche Informationen zum Anmelden erforderlich sind. Standardmäßig werden nur der Benutzername und das Kennwort angegeben. Sie können bis zu 5 verschiedene Angaben vornehmen, die aufgenommen werden müssen. Beispielsweise können Sie angeben, dass ein SAP-Servername oder eine SAP-Clientnummer erforderlich ist. Die Benutzer werden unter folgenden Bedingungen aufgefordert, Anmeldeinformationen einzugeben:
Die Authentifizierung kann nicht ausgeführt werden, oder die Anmeldeinformationen werden nicht gefunden.
Das Webpart ist so programmiert, dass die Benutzer nach Anmeldeinformationen gefragt werden.
Anmeldekontoinformationen werden für Enterpriseanwendungsdefinitionen verwendet, die einzelne Konten verwenden. Das Anfordern von Anmeldekontoinformationen empfiehlt sich nicht für Enterpriseanwendungsdefinitionen, die Gruppenkonten verwenden.
Die Anmeldekontoinformationen, die Sie hier konfigurieren, müssen mit den Anmeldeanforderungen für die Enterpriseanwendung übereinstimmen. Zusätzlich müssen Sie auch bestimmen, ob das System für diese Anmeldeinformationen eine Maske verwenden muss, wenn der Benutzer die Anmeldeinformationen angibt.
Normalerweise sind nur ein Benutzername und ein Kennwort erforderlich. In einigen hochsicheren Umgebungen sind möglicherweise weitere Angaben zur Benutzeridentifikation erforderlich. Zudem sind in einigen Systemen möglicherweise zusätzliche Informationen von Benutzern zum Identifizieren der Anwendung erforderlich. Beispielsweise geben die Benutzer für den Zugriff auf Oracle möglicherweise die in der folgenden Tabelle dargestellten Informationen ein.
| Feld | Einzugebende Informationen |
|---|---|
Feld 1 |
Oracle-Benutzername |
Feld 2 |
Oracle-Benutzerkennwort (wählen Sie für die Maskenoption Ja aus) |
Feld 3 |
Oracle-Datenbankname |
Für den Zugriff auf die SAP-Anwendung geben die Benutzer möglicherweise die in der folgenden Tabelle dargestellten Informationen ein.
| Feld | Einzugebende Informationen |
|---|---|
Feld 1 |
SAP-Benutzername |
Feld 2 |
SAP-Kennwort (wählen Sie für die Maskenoption Ja aus) |
Feld 3 |
SAP-Systemnummer |
Feld 4 |
SAP-Clientnummer |
Feld 5 |
Sprache |
Kontoinformationen für die Enterpriseanwendung
Wenn Sie ein Gruppenkonto verwenden, um eine Verbindung mit der Enterpriseanwendung herzustellen, müssen Sie die Kontoanmeldeinformationen angeben. Nach dem Hinzufügen einer Enterpriseanwendungsdefinition gibt ein SSO-Administrator oder ein Mitglied des Administratorkontos der Enterpriseanwendung durch Klicken auf Kontoinformationen für eine Enterpriseanwendungsdefinition verwalten auf der Website für die Zentraladministration den zum Herstellen von Verbindungen mit externen Servercomputer verwendeten Kontonamen und das Kennwort an.
| Arbeitsblattaktion |
|---|
Verwenden Sie das Dokument Arbeitsblatt "Enterpriseanwendungsdefinitionen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x407), um den Namen des Gruppenkontos aufzuzeichnen. |
Der Administrator, der die Kontoinformationen auf der Website für die Zentraladministration eingibt, muss auch das Kennwort für das Gruppenkonto kennen.
Wenn Sie zum Herstellen von Verbindungen mit der Enterpriseanwendung einzelne Konten verwenden, müssen Sie auf der Website für die Zentraladministration keine Kontoinformationen eingeben.
Planen von SSO-Vorgängen
Verwalten des Verschlüsselungsschlüssels
Der Verschlüsselungsschlüssel wird im Rahmen des Verschlüsselungsvorgangs für Anmeldeinformationen verwendet, die mit SSO verwendet werden. Mithilfe des Schlüssels können verschlüsselte Anmeldeinformationen entschlüsselt werden, die in der SSO-Datenbank gespeichert sind. Bei der erstmaligen Konfiguration von SSO und Enterpriseanwendungsdefinitionen auf der Seite Servereinstellungen für einmaliges Anmelden verwalten in der Zentraladministration wird der Verschlüsselungsschlüssel automatisch erstellt. Das Verwalten des Verschlüsselungsschlüssels umfasst das Überwachen des Verschlüsselungsschlüssels und das erneute Generieren des Verschlüsselungsschlüssels.
Überwachen des Verschlüsselungsschlüssels
Sie können die Überwachung von Änderungen aktivieren, die am Verschlüsselungsschlüssel vorgenommen werden. Wenn der Schlüssel gelesen wird oder wenn in den Schlüssel geschrieben wird, wird ein Sicherheitsereignis im Sicherheitsprotokoll protokolliert. Sie können das Sicherheitsprotokoll mithilfe der Ereignisanzeige anzeigen. Das Aktivieren der Protokollierung umfasst folgende Schritte:
Ändern eines SSO-Registrierungsschlüssels
Erstellen einer lokalen Computerrichtlinie im Gruppenrichtlinienobjekt-Editor
Erneutes Generieren des Verschlüsselungsschlüssels
Da mit dem Verschlüsselungsschlüssel Sicherheitsanmeldeinformationen geschützt werden, sollten Sie den Schlüssel in regelmäßigen Zeitabständen (z. B. alle 90 Tage) neu generieren. Sie sollten den Verschlüsselungsschlüssel auch neu generieren, wenn die Kontoanmeldeinformationen gefährdet sind.
Bei dem Prozess der erneuten Verschlüsselung handelt es sich um einen lang andauernden Vorgang. Es empfiehlt sich, den Verschlüsselungsschlüssel außerhalb der Spitzenzeiten zu ändern. Das erneute Verschlüsseln des Verschlüsselungsschlüssels wirkt sich wie folgt auf die SSO-Umgebung aus:
Während des Prozesses der erneuten Verschlüsselung sind Schreibvorgänge wie das Aktualisieren von Anmeldeinformationen und das Ändern von Enterpriseanwendungsdefinitionen nicht zulässig.
Lesevorgänge wie das Abrufen von Anmeldeinformationen werden weiterhin wie gewohnt ausgeführt.
Sie müssen lokal am Server für den Verschlüsselungsschlüssel angemeldet sein, um den Verschlüsselungsschlüssel erneut zu verschlüsseln. Außerdem müssen Sie Mitglied des SSO-Administratorkontos sein.
Wenn der Server für den Verschlüsselungsschlüssel neu gestartet wird oder der Dienst für einmaliges Anmelden auf dem Server für den Verschlüsselungsschlüssel während des Prozesses der erneuten Verschlüsselung angehalten wird, sollten Sie das Ereignisprotokoll auf Fehler überprüfen. Wenn im Ereignisprotokoll ein Fehler angegeben ist, müssen Sie den Prozess der erneuten Verschlüsselung neu starten. Wenn der Prozess der erneuten Verschlüsselung vorweggenommen wird, muss er erneut ausgeführt werden. Wenn der Prozess der erneuten Verschlüsselung vorweggenommen wird, wird der ursprüngliche Zustand wiederhergestellt.
Wenn Sie einen Verschlüsselungsschlüssel erstellen, können Sie die vorhandenen Anmeldeinformationen mit dem neuen Schlüssel erneut verschlüsseln. Wenn Sie die vorhandenen Anmeldeinformationen nicht erneut mit dem neuen Verschlüsselungsschlüssel verschlüsseln, müssen die Benutzer ihre Anmeldeinformationen für die einzelnen Enterpriseanwendungsdefinitionen erneut eingeben, und die Administratoren von Enterpriseanwendungsdefinitionen für Gruppen müssen die Gruppenanmeldeinformationen erneut eingeben.
Wenn Sie den Anmeldeinformationenspeicher des Diensts für einmaliges Anmelden neu verschlüsseln, werden Ereignisse im Anwendungsereignisprotokoll von Microsoft Windows Server 2003 protokolliert. Nachdem die erneute Verschlüsselung initiiert wurde, können Sie das Anwendungsereignisprotokoll überwachen, um zu überprüfen, ob der Anmeldeinformationenspeicher neu verschlüsselt wurde. Die Ereignis-ID 1032 wird im Anwendungsereignisprotokoll aufgezeichnet, wenn die erneute Verschlüsselung gestartet wird. Die Ereignis-ID 1033 wird im Anwendungsereignisprotokoll aufgezeichnet, wenn die erneute Verschlüsselung beendet ist. Wenn während der erneuten Verschlüsselung Fehler auftreten, wird ein Ereignis im Protokoll aufgezeichnet.
Wenn Sie Entscheidungen zu Ihrer Planungsauswahl für das Verwalten des Verschlüsselungsschlüssels treffen, berücksichtigen Sie die folgenden Fragen:
In welchen Zeitabständen planen Sie die erneute Verschlüsselung des Verschlüsselungsschlüssels?
Sollen die vorhandenen Anmeldeinformationen mit dem neuen Verschlüsselungsschlüssel gleichzeitig neu verschlüsselt werden?
Unter welchen weiteren Umständen wird der Verschlüsselungsschlüssel neu verschlüsselt?
| Arbeitsblattaktion |
|---|
Verwenden Sie das Dokument Arbeitsblatt "Serverfarmeinstellungen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x407), um Ihre Planungsauswahl aufzuzeichnen. |
Sichern der SSO-Umgebung
Zum Sichern der SSO-Umgebung gehört das Sichern der folgenden beiden separaten Entitäten:
Verschlüsselungsschlüssel
SSO-Datenbank
Sie müssen den Verschlüsselungsschlüssel sichern, nachdem Sie SSO zunächst eingerichtet haben, und den Schlüssel anschließend immer dann erneut sichern, wenn er neu generiert wird. Es ist nicht erforderlich, den Verschlüsselungsschlüssel in regelmäßigen Abständen zu sichern, es sei denn, der Abstand ist an das erneute Generieren des Verschlüsselungsschlüssels gebunden. Der Verschlüsselungsschlüssel kann nicht remote gesichert werden. Sie müssen Mitglied des SSO-Administratorkontos sein und lokal am Server für den Verschlüsselungsschlüssel angemeldet sein, um den Verschlüsselungsschlüssel sichern zu können. Der Verschlüsselungsschlüssel kann ausschließlich auf einem Wechselmedium gesichert werden. Er kann nicht auf einer lokalen Festplatte gesichert werden. Der Verschlüsselungsschlüssel kann über die Seite Verschlüsselungsschlüssel verwalten in der Zentraladministration gesichert werden.
Sie müssen die SSO-Datenbank sichern, nachdem sie zunächst erstellt wurde, und anschließend immer wieder dann, wenn die Anmeldeinformationen neu verschlüsselt werden. Zusätzlich können Sie SSO-Datenbanksicherungen in die regelmäßig geplanten Datenbanksicherungen für die Serverfarm aufnehmen. In den regelmäßig geplanten Sicherungen werden weitere Änderungen an der SSO-Datenbank berücksichtigt, beispielsweise neue Enterpriseanwendungsdefinitionen und aktualisierte Anmeldeinformationen.
Bewahren Sie das Sicherungsmedium für den Verschlüsselungsschlüssel nicht am selben Ort auf wie das Sicherungsmedium für die SSO-Datenbank. Wenn ein Benutzer in den Besitz einer Kopie der Datenbank und einer Kopie des Schlüssels kommt, sind die in der Datenbank gespeicherten Anmeldeinformationen möglicherweise gefährdet. Im Idealfall ist die Sicherung des Verschlüsselungsschlüssels an einem sicheren Ort verschlossen.
Wenn Sie Entscheidungen zu Ihrer Planungsauswahl für das Sichern der SSO-Umgebung treffen, berücksichtigen Sie die folgenden Punkte:
Zeitabstand für das Sichern des Verschlüsselungsschlüssels
Plan für das Sichern der SSO-Datenbank: Der effizienteste Plan besteht darin, die SSO-Datenbank in die regulären Farmsicherungen aufzunehmen.
| Arbeitsblattaktion |
|---|
Verwenden Sie das Dokument Arbeitsblatt "Serverfarmeinstellungen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x407), um Ihre Planungsauswahl aufzuzeichnen. |
Wiederherstellen der SSO-Umgebung
Das Wiederherstellen der SSO-Umgebung ist in mehreren Szenarien erforderlich. In einigen Fällen müssen Sie nur den Verschlüsselungsschlüssel bzw. nur die SSO-Datenbank wiederherstellen. In der folgenden Tabelle werden mehrere Wiederherstellungsszenarien beschrieben, und es wird angegeben, was wiederhergestellt werden muss.
| Szenario | Wiederherzustellende Objekte |
|---|---|
Verschieben der Verschlüsselungsschlüssel-Serverrolle auf einen anderen Servercomputer |
Verschlüsselungsschlüssel |
Ändern des SSO-Dienstkontos |
Verschlüsselungsschlüssel |
Wiederherstellen des fehlerhaften Datenbankservercomputers |
SSO-Datenbank |
Migrieren der Microsoft Office SharePoint Server 2007-Farm zu einer anderen Gruppe von Servercomputern |
Verschlüsselungsschlüssel und SSO-Datenbank |
Wiederherstellung nach einem die ganze Farm betreffenden Notfall |
Verschlüsselungsschlüssel und SSO-Datenbank |
Im verbleibenden Teil dieses Abschnitts werden die speziellen zum Wiederherstellen der SSO-Umgebung erforderlichen Aufgaben in Abhängigkeit vom Szenario im Detail beschrieben.
Verwenden Sie die folgenden Schritte, um die Verschlüsselungsschlüssel-Serverrolle auf einen anderen Servercomputer zu verschieben:
Verschieben der Verschlüsselungsschlüssel-Serverrolle auf einen anderen Servercomputer
Sichern Sie den Verschlüsselungsschlüssel.
Deaktivieren Sie den Dienst für einmaliges Anmelden auf allen Computern in der Farm.
Melden Sie sich am neuen Server für den Verschlüsselungsschlüssel an.
Starten Sie den Dienst für einmaliges Anmelden.
Konfigurieren Sie die SSO-Einstellungen auf Farmebene auf der Website für die Zentraladministration. Geben Sie die vorhandene SSO-Datenbank an.
Stellen Sie den Verschlüsselungsschlüssel wieder her.
Starten Sie den Dienst für einmaliges Anmelden auf allen Webservercomputern in der Serverfarm.
Ändern des SSO-Dienstkontos
Die Sicherheits-ID (SID) des SSO-Dienstkontos wird als Teil der Formel zum Verschlüsseln von SSO-Anmeldeinformationen verwendet. Folglich müssen Sie die SSO-Umgebung neu konfigurieren, um das SSO-Dienstkonto ändern zu können. Verwenden Sie die folgenden Schritte, um das SSO-Dienstkonto zu ändern:
Ändern des SSO-Dienstkontos
Sichern Sie den Verschlüsselungsschlüssel.
Konfigurieren Sie auf allen Servercomputern in der Farm, auf denen der Dienst für einmaliges Anmelden ausgeführt wird, den Dienst erneut mit dem neuen Dienstkonto.
Konfigurieren Sie die SSO-Einstellungen auf Farmebene auf der Website für die Zentraladministration erneut mit dem neuen SSO-Dienstkonto. Geben Sie die vorhandene SSO-Datenbank an.
Stellen Sie den Verschlüsselungsschlüssel wieder her.
Verschlüsseln Sie die Anmeldeinformationen in der SSO-Datenbank erneut. Zum erneuten Verschlüsseln der Anmeldeinformationen wird der wiederhergestellte Verschlüsselungsschlüssel verwendet.
Ausschließliches Wiederherstellen des SSO-Datenbankservers
Wenn auf dem Servercomputer, auf dem die SSO-Datenbank gehostet wird, Fehler auftreten, müssen Sie nur die SSO-Datenbank wiederherstellen. Stellen Sie die Datenbank mithilfe derselben Methode wieder her, die Sie zum Wiederherstellen der anderen Datenbanken in der Microsoft Office SharePoint Server 2007-Umgebung verwenden würden. Wenn Sie die SSO-Datenbank auf einem anderen Servercomputer wiederherstellen, konfigurieren Sie die SSO-Einstellungen auf Farmebene erneut mit dem Namen des neuen Datenbankservercomputers.
Wiederherstellen der gesamten SSO-Umgebung
In mehreren Szenarien muss sowohl der Verschlüsselungsschlüssel als auch die SSO-Datenbank wiederhergestellt werden. Verwenden Sie die folgenden Schritte, um die gesamte SSO-Umgebung wiederherzustellen:
Wiederherstellen der gesamten SSO-Umgebung
Stellen Sie die SSO-Datenbank auf dem vorgesehenen Datenbankservercomputer wieder her.
Richten Sie SSO ein, und konfigurieren Sie SSO so, als würden Sie eine neue SSO-Umgebung konfigurieren. Geben Sie jedoch den Servernamen und den Datenbanknamen der vorhandenen SSO-Datenbank ein.
Stellen Sie den Verschlüsselungsschlüssel in der neuen SSO-Umgebung wieder her.
Reagieren auf eine Gefährdung der SSO-Sicherheit
Zu einer Gefährdung der Sicherheit können verlorene Sicherungsmedien, ein Kennwortverlust oder ein anderes Ereignis gezählt werden, durch das die in der SSO-Datenbank gespeicherten Anmeldeinformationen oder die in den Enterpriseanwendungen gespeicherten Daten potenziell gefährdet werden können. Wenn Sie eine Gefährdung der Sicherheit feststellen, die Ihre SSO-Umgebung potenziell beeinträchtigen kann, gehen Sie folgendermaßen vor, um auf die Gefährdung zu reagieren:
Reagieren auf eine Gefährdung der Sicherheit
Generieren Sie den Verschlüsselungsschlüssel neu.
Verschlüsseln Sie die Anmeldeinformationen in der SSO-Datenbank erneut (hierfür wird der neue Verschlüsselungsschlüssel verwendet).
Ändern Sie die Kennwörter für die Enterpriseanwendungen, wenn die Kennwörter möglicherweise gefährdet sind.
Empfehlen Sie den Benutzern, ihre Kennwörter zu ändern, wenn die Kennwörter möglicherweise gefährdet sind.
Wenn die Gefährdung der Sicherheit potenziell schwerwiegend ist, können Sie den Dienst für einmaliges Anmelden anhalten, um den Zugriff auf die in der SSO-Datenbank gespeicherten Anmeldeinformationen umgehend zu blockieren. Wenn Sie den Dienst für einmaliges Anmelden anhalten müssen, können Sie den Dienst in der vorhandenen Microsoft Office SharePoint Server 2007-Serverfarm mithilfe der folgenden Schritte auf sichere Weise wiederherstellen:
Wiederherstellen des Diensts für einmaliges Anmelden in der vorhandenen Serverfarm
Stellen Sie die SSO-Umgebung auf einem isolierten Servercomputer wieder her.
Generieren Sie den Verschlüsselungsschlüssel neu.
Verschlüsseln Sie die Anmeldeinformationen in der SSO-Datenbank erneut.
Sichern Sie die SSO-Umgebung.
Stellen Sie die SSO-Umgebung in der vorhandenen Microsoft Office SharePoint Server 2007-Serverfarm wieder her.
Arbeitsblätter
Verwenden Sie die folgenden Arbeitsblätter, um das einmalige Anmelden einzuplanen:
Arbeitsblatt "Enterpriseanwendungsdefinitionen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73335&clcid=0x407) (in englischer Sprache)
Arbeitsblatt "Serverfarmeinstellungen für einmaliges Anmelden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73336&clcid=0x407) (in englischer Sprache)
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.