Freigeben über


Planen von Secure Store Service (SharePoint Server 2010)

 

Gilt für: SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In Microsoft SharePoint Server 2010 wurde das Feature für einmaliges Anmelden (Single Sign-On, SSO) durch Secure Store Service ersetzt. Secure Store Service ist ein Ansprüche unterstützender Autorisierungsdienst, der eine sichere Datenbank enthält, in der Anmeldeinformationen gespeichert werden, die Anwendungs-IDs zugeordnet sind. Die Anwendungs-IDs können zum Autorisieren des Zugriffs auf externe Datenquellen verwendet werden.

Inhalt dieses Artikels:

  • Informationen zu Secure Store Service

  • Vorbereitung für Secure Store Service

  • Anwendungs-IDs

  • Zuordnungen für Secure Store Service

  • Secure Store Service und Forderungsauthentifizierung

Informationen zu Secure Store Service

Secure Store Service ist ein Autorisierungsdienst, der auf einem Anwendungsserver ausgeführt wird. Von Secure Store Service wird eine Datenbank bereitgestellt, die zum Speichern von Anmeldeinformationen (Benutzeridentität und Kennwort) für Anwendungs-IDs verwendet wird, mit deren Hilfe Anwendungen den Zugriff auf freigegebene Ressourcen autorisieren können. Beispielsweise können von SharePoint Server 2010 mithilfe der Datenbank für einmaliges Anmelden Anmeldeinformationen für den Zugriff auf externe Datenquellen gespeichert und abgerufen werden. Von Secure Store Service wird das Speichern der Anmeldeinformationen mehrerer Back-End-Systeme mithilfe mehrerer Anwendungs-IDs unterstützt.

Vorbereitung für Secure Store Service

Beim Vorbereiten der Bereitstellung von Secure Store Service sollten Sie die folgenden wichtigen Richtlinien beachten:

  • Führen Sie Secure Store Service in einem separaten Anwendungspool aus, der für keinen anderen Dienst verwendet wird.

  • Führen Sie Secure Store Service auf einem separaten Anwendungsserver aus, der für keinen anderen Dienst verwendet wird.

  • Erstellen Sie die Datenbank für einmaliges Anmelden auf einem separaten Anwendungsserver mit SQL Server. Verwenden Sie nicht die gleiche SQL Server-Installation, in der sich die Inhaltsdatenbanken befinden.

  • Sichern Sie vor dem Generieren eines neuen Verschlüsselungsschlüssels die Datenbank für einmaliges Anmelden. Außerdem sollten Sie die Datenbank für einmaliges Anmelden nach der Erstellung und nach jeder erneuten Verschlüsselung von Anmeldeinformationen sichern. Wenn ein neuer Schlüssel generiert wird, können die Anmeldeinformationen mit dem neuen Schlüssel erneut verschlüsselt werden. Wenn bei der Schlüsselaktualisierung Fehler auftreten oder die Passphrase vergessen wird, können die Anmeldeinformationen nicht verwendet werden.

  • Sichern Sie den Verschlüsselungsschlüssel nach dem ersten Einrichten von Secure Store Service und dann wieder bei jedem erneuten Generieren des Schlüssels.

  • Bewahren Sie das Sicherungsmedium für den Verschlüsselungsschlüssel nicht am gleichen Ort auf wie das Sicherungsmedium für die Datenbank für einmaliges Anmelden. Wenn ein Benutzer in den Besitz einer Kopie der Datenbank und einer Kopie des Schlüssels kommt, sind die in der Datenbank gespeicherten Anmeldeinformationen möglicherweise gefährdet.

Anwendungs-IDs

Jeder Secure Store Service-Eintrag enthält eine Anwendungs-ID, die zum Abrufen von Anmeldeinformationen aus der Datenbank für einmaliges Anmelden verwendet wird. Für jede Anwendungs-ID können Berechtigungen erteilt werden, sodass nur bestimmte Benutzer oder Gruppen Zugriff auf die Anmeldeinformationen haben, die für diese Anwendungs-ID gespeichert sind. Die Anwendungs-IDs werden von Anwendungen verwendet, um Anmeldeinformationen stellvertretend für einen Benutzer aus der Datenbank für einmaliges Anmelden abzurufen. Die abgerufenen Anmeldeinformationen können dann von der Anwendung für den Zugriff auf eine Datenquelle verwendet werden.

Anwendungs-IDs werden verwendet, um Benutzer Sätzen von Anmeldeinformationen zuzuordnen. Zuordnungen sind für Gruppen oder Personen verfügbar. In einer Gruppenzuordnung werden jedem Benutzer, der Mitglied einer bestimmten Domänengruppe ist, die gleichen Sätze von Anmeldeinformationen zugeordnet. Bei einer Einzelzuordnung wird jedem einzelnen Benutzer ein eindeutiger Satz von Anmeldeinformationen zugeordnet.

Zuordnungen für Secure Store Service

Von Secure Store Service werden einzelne Zuordnungen und Gruppenzuordnungen unterstützt. Secure Store Service verwaltet einen Satz von Anmeldeinformationen für die Anwendungs-IDs von Ressourcen, die in der Datenbank für einmaliges Anmelden gespeichert sind. Einzelne Anmeldeinformationen für eine Anwendung werden basierend auf der Anwendungs-ID abgerufen. Einzelne Zuordnungen sind hilfreich, wenn Sie Protokollierungsinformationen zum Zugriff einzelner Benutzer auf freigegebene Ressourcen benötigen. Bei Gruppenzuordnungen werden durch eine Sicherheitsschicht die Gruppenanmeldeinformationen für mehrere Domänenbenutzer anhand eines einzelnen Satzes von Anmeldeinformationen für eine Ressource überprüft. Die Ressource wird durch eine in der Datenbank für einmaliges Anmelden gespeicherte Anwendungs-ID identifiziert. Gruppenzuordnungen sind einfacher zu verwalten als einzelne Zuordnungen und können eine bessere Leistung bieten.

Secure Store Service und Forderungsauthentifizierung

Secure Store Service ist ein Ansprüche unterstützender Dienst. Der Dienst akzeptiert und entschlüsselt Sicherheitstoken, um die Anwendungs-ID zu ermitteln und diese dann nachzuschlagen. Wenn von einem SharePoint Server 2010-Sicherheitstokendienst (Security Token Service, STS) als Antwort auf eine Authentifizierungsanforderung ein Sicherheitstoken ausgestellt wird, wird das Token von Secure Store Service entschlüsselt, und der Wert der Anwendungs-ID wird gelesen. Die Anwendungs-ID wird von Secure Store Service verwendet, um Anmeldeinformationen aus der Datenbank für einmaliges Anmelden abzurufen. Die Anmeldeinformationen werden dann verwendet, um den Zugriff auf Ressourcen zu autorisieren.

See Also

Concepts

Konfigurieren von Secure Store Service (SharePoint Server 2010)