Freigeben über


Konfigurieren von Secure Store Service in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

In diesem Artikel wird beschrieben, wie Sie Secure Store Service in einer SharePoint Server-Farm konfigurieren. Für Secure Store müssen einige Planungsaspekte berücksichtigt werden. Machen Sie sich daher zunächst mit den Informationen unter Planen von Secure Store Service in SharePoint Server vertraut, bevor Sie mit den Prozeduren in diesem Artikel beginnen.

Konfigurieren von Secure Store in SharePoint Server

Der Secure Store-Dienst wird unter den Anwendungs- und Front-End-Serverrollen ausgeführt. Er wird bei der Erstellung einer Secure Store-Dienstanwendung automatisch bereitgestellt.

Gehen Sie zum Konfigurieren von Secure Store wie folgt vor:

  1. Registrieren Sie ein verwaltetes Konto in SharePoint Server, um den Anwendungspool für einmaliges Anmelden auszuführen.

  2. Starten Sie Secure Store Service auf einem Anwendungsserver in der Farm. (nur SharePoint Server 2013)

  3. Erstellen Sie eine Secure Store Service-Dienstanwendung.

Zum Ausführen des Anwendungspools benötigen Sie ein Standarddomänenkonto. Für dieses Konto werden keine bestimmten Berechtigungen benötigt. Führen Sie nach Erstellung des Kontos in Active Directory die folgenden Schritte aus, um es in SharePoint Server zu registrieren:

So registrieren Sie ein verwaltetes Konto

  1. Klicken Sie auf der Homepage der Website für die SharePoint-Zentraladministration im Navigationsbereich (Iinks) auf Sicherheit.

  2. Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Verwaltete Konten konfigurieren.

  3. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.

  4. Geben Sie im Feld Benutzername den Namen des Kontos ein.

  5. Geben Sie im Feld Kennwort das Kennwort für das Konto ein.

  6. Wenn das Kennwort für das Konto von SharePoint Server geändert werden soll, aktivieren Sie das Kontrollkästchen Automatische Kennwortänderung aktivieren, und geben Sie die gewünschten Parameter für die Kennwortänderung an.

  7. Klicken Sie auf OK.

Wenn Sie SharePoint Server 2013 verwenden, müssen Sie Secure Store Service auf einem Anwendungsserver in der Farm starten. (Bei Verwendung von SharePoint Server 2016 wird der Dienst automatisch von MinRole gestartet.)

So starten Sie Secure Store Service (SharePoint Server 2013)

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Systemeinstellungen auf Dienste auf dem Server verwalten.

  2. Klicken Sie über der Liste Dienst auf die Dropdownliste Server und anschließend auf Server ändern.

  3. Wählen Sie den Anwendungsserver aus, auf dem Secure Store Service ausgeführt werden soll.

  4. Klicken Sie in der Liste Dienst neben Secure Store Service auf Starten.

Anschließend müssen Sie eine Secure Store Service-Dienstanwendung erstellen. Verwenden Sie zum Erstellen der Dienstanwendung das folgende Verfahren.

So erstellen Sie eine Secure Store Service-Dienstanwendung

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf der Seite Dienstanwendungen verwalten auf Neu und dann auf Secure Store Service.

  3. Geben Sie im Feld Dienstanwendungsname einen Namen für die Dienstanwendung ein (beispielsweise Secure Store Service).

  4. Geben Sie im Feld Datenbankserver die Instanz von SQL Server ein, in der die Datenbank für einmaliges Anmelden erstellt werden soll.

    Hinweis

    Da die Datenbank für einmaliges Anmelden sensible Informationen enthält, empfiehlt es sich, die Datenbank für einmaliges Anmelden in einer Instanz von SQL Server bereitzustellen, die vom Rest von SharePoint Server getrennt ist.

  5. Wählen Sie die Option Neuen Anwendungspool erstellen aus, und geben Sie im Textfeld einen Namen für den Anwendungspool ein.

  6. Wählen Sie die Option Konfigurierbar aus, und wählen Sie in der Dropdownliste das Konto aus, für das Sie zuvor das verwaltete Konto erstellt haben.

  7. Klicken Sie auf OK.

Secure Store Service ist nun konfiguriert. Im nächsten Schritt wird ein Verschlüsselungsschlüssel zum Verschlüsseln der Datenbank für einmaliges Anmelden generiert.

Arbeiten mit Secure Store-Verschlüsselungsschlüsseln

Bevor Sie Secure Store Service verwenden, müssen Sie einen Verschlüsselungsschlüssel generieren. Der Schlüssel dient zum Verschlüsseln und Entschlüsseln der Anmeldeinformationen, die in der Datenbank für einmaliges Anmelden gespeichert werden.

Generieren eines Verschlüsselungsschlüssels

Beim ersten Aufrufen der Dienstanwendung für einmaliges Anmelden steht nur die Option zum Generieren eines neuen Verschlüsselungsschlüssels zur Verfügung. Die restlichen Funktionen für einmaliges Anmelden werden erst nach der Schlüsselgenerierung verfügbar.

So generieren Sie einen neuen Verschlüsselungsschlüssel

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Schlüsselverwaltung auf Neuen Schlüssel generieren.

  4. Geben Sie auf der Seite Neuen Schlüssel generieren im Feld Passphrase und im Feld Passphrase bestätigen dieselbe Passphrase ein. Diese Passphrase wird zum Verschlüsseln der Datenbank für einmaliges Anmelden verwendet.

    Wichtig

    Eine Passphrasenzeichenfolge muss mindestens acht Zeichen umfassen und mindestens drei der folgenden vier Elemente enthalten: > Großbuchstaben > Kleinbuchstaben > Ziffern > Beliebige der folgenden Sonderzeichen > "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    Wichtig

    [!WICHTIGER HINWEIS] Die eingegebene Passphrase wird nicht gespeichert. Sie sollten sie daher unbedingt aufschreiben und an einem sicheren Ort aufbewahren. Die Passphrase wird benötigt, um den Schlüssel aktualisieren (beispielsweise, wenn Sie der Serverfarm einen neuen Anwendungsserver hinzufügen möchten).

  5. Klicken Sie auf OK.

Aus Sicherheitsgründen oder im Rahmen einer regelmäßigen Wartung können Sie einen neuen Verschlüsselungsschlüssel generieren und erzwingen, dass der Secure Store Service basierend auf dem neuen Schlüssel erneut verschlüsselt wird. Sie können dasselbe Verfahren verwenden, um dies zu tun.

Achtung

Vor dem Generieren eines neuen Schlüssels sollten Sie die Datenbank der Dienstanwendung für einmaliges Anmelden sichern.

Aktualisieren des Secure Store-Verschlüsselungsschlüssels

Beim Aktualisieren des Verschlüsselungsschlüssels wird der Schlüssel an alle Anwendungsserver in der Farm verteilt. Eine Aktualisierung des Verschlüsselungsschlüsseln kann in folgenden Fällen erforderlich sein:

  • Sie fügen der Serverfarm einen neuen Anwendungsserver hinzu.

  • Sie stellen eine zuvor gesicherte Secure Store Service-Datenbank wieder her und haben inzwischen den Schlüssel geändert.

  • Die Fehlermeldung "Der Masterschlüssel kann nicht abgerufen werden." erscheint.

So aktualisieren Sie den Verschlüsselungsschlüssel

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Schlüsselverwaltung auf Schlüssel aktualisieren.

  4. Geben Sie im Feld ** Passphrase ** die Passphrase ein, die Sie anfänglich zum Generieren des Schlüssels verwendet haben.

    Dies ist entweder die Passphrase, die Sie bei der Initialisierung der Secure Store Service-Dienstanwendung verwendet haben, oder die Passphrase, die Sie beim Erstellen eines neuen Schlüssels mithilfe des Befehls Neuen Schlüssel generieren verwendet haben.

  5. Klicken Sie auf OK.

Speichern von Anmeldeinformationen für das einmalige Anmelden

Das Speichern von Anmeldeinformationen im Secure Store erfolgt mithilfe einer Secure Store-Zielanwendung. Eine Zielanwendung ordnet die Anmeldeinformationen eines Benutzers, einer Gruppe oder eines Anspruchs einem Satz verschlüsselter Anmeldeinformationen zu, die in der Secure Store-Datenbank gespeichert sind. Nachdem eine Zielanwendung erstellt wurde, können Sie sie einem externen Inhaltstyp oder Anwendungsmodell zuordnen oder sie mit einem Business Intelligence-Dienst wie Excel Online oder Visio Services verwenden, um Zugriff auf eine externe Datenquelle zu ermöglichen. Wenn eine SharePoint Server-Dienstanwendung die Zielanwendung aufruft, bestätigt Secure Store, dass der Benutzer, der die Anforderung stellt, ein autorisierter Benutzer der Zielanwendung ist, und ruft dann die verschlüsselten Anmeldeinformationen ab. Die Anmeldeinformationen werden dann im Namen des Benutzers von der SharePoint Server-Dienstanwendung verwendet.

Gehen Sie zum Erstellen einer Zielanwendung wie folgt vor:

  1. Erstellen Sie die eigentliche Zielanwendung, und geben Sie dabei die Art der Anmeldeinformationen, die in der Datenbank für einmaliges Anmelden gespeichert werden sollen, sowie die Administratoren für die Zielanwendung und die Besitzer der Anmeldeinformationen an.

  2. Geben Sie die zu speichernden Anmeldeinformationen an.

Erstellen einer Zielanwendung

Zielanwendungen werden in der Zentraladministration auf der Seite "Secure Store Service-Anwendung (Anwendung für einmaliges Anmelden)" erstellt. Gehen Sie zum Erstellen einer Zielanwendung wie folgt vor:

So erstellen Sie eine Zielanwendung

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Klicken Sie in der Gruppe Zielanwendungen verwalten auf Neu.

  4. Geben Sie im Feld Zielanwendungs-ID eine Textzeichenfolge ein.

    Dies ist die eindeutige Zeichenfolge zur externen Identifizierung der Zielanwendung.

  5. Geben Sie im Feld Display Name eine Textzeichenfolge ein, die auf der Benutzeroberfläche anstelle der ID der Zielanwendung angezeigt wird.

  6. Geben Sie im Feld E-Mail-Adresse des Kontakts die E-Mail-Adresse des primären Kontakts für die Zielanwendung ein.

    Dies kann jede gültige E-Mail-Adresse sein. Es muss sich nicht um die Identität eines Administrators der Secure Store Service-Anwendung handeln.

  7. Wenn Sie eine Zielanwendung vom Typ Individual (siehe unten) erstellen, können Sie eine benutzerdefinierte Webseite implementieren, auf der Benutzer individuelle Anmeldeinformationen für die Zieldatenquelle hinzufügen können. Hierzu müssen die Anmeldeinformationen durch benutzerdefinierten Code an die Zielanwendung übergeben werden. Wenn Sie so vorgegangen sind, geben Sie die vollständige URL dieser Seite im Feld Target Application Page URL ein. Drei Optionen sind verfügbar:

  • Standardseite verwenden: Alle Websites, die die Zielanwendung für den Zugriff auf externe Daten verwenden, verfügen über eine individuelle Registrierungsseite, die automatisch hinzugefügt wurde. Die URL dieser Seite lautet http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx? TargetAppId=<TargetApplicationID>, wobei <TargetApplicationID> die im Feld Zielanwendungs-ID eingegebene Zeichenfolge ist. By publicizing the location of this page, you can enable users to add their credentials for the external data source.

  • Use custom page: Sie stellen eine benutzerdefinierte Webseite bereit, auf der Benutzer individuelle Anmeldeinformationen angeben können. Geben Sie die URL der benutzerdefinierten Seite in diesem Feld ein.

  • Keine: Es steht keine Anmeldeseite zur Verfügung. Individuelle Anmeldeinformationen werden nur von einem Secure Store Service-Administrator mithilfe der Secure Store Service-Anwendung hinzugefügt.

  1. Wählen Sie in der Dropdownliste Zielanwendungstyp die Art der Zielanwendung aus: Gruppe für Gruppenanmeldeinformationen oder Einzelperson, wenn jedem Benutzer ein eindeutiger Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet werden soll.

    Hinweis

    Es gibt zwei primäre Typen zum Erstellen einer Zielanwendung: > Gruppe zum Zuordnen aller Mitglieder einer oder mehrerer Gruppen zu einem einzelnen Satz von Anmeldeinformationen für die externe Datenquelle. > Individuell, um jeden Benutzer einem eindeutigen Satz von Anmeldeinformationen für die externe Datenquelle zuzuordnen.

  2. Klicken Sie auf Weiter.

  3. Konfigurieren Sie auf der Seite Geben Sie die Anmeldeinformationsfelder für die Zielanwendung für einmaliges Anmelden an die verschiedenen Felder, die erforderlich sind, um Anmeldeinformationen für die externe Datenquelle anzugeben. Standardmäßig sind zwei Felder aufgeführt: Windows-Benutzername und Windows-Kennwort.

    Um ein weiteres Feld für die Angabe von Anmeldeinformationen für die externe Datenquelle hinzuzufügen, klicken Sie auf der Seite Specify the credential fields for your Secure Store Target Application auf Add Field.

    Bei dem neuen Feld handelt es sich standardmäßig um ein Feld vom Typ Allgemein. Folgende Feldtypen sind verfügbar:

Feld Beschreibung
Allgemein
Werte, die in keine andere Kategorie passen.
Benutzername
Ein Benutzerkonto zur Identifizierung des Benutzers.
Password
Ein geheimes Wort oder ein geheimer Ausdruck.
PIN
Eine Geheimzahl.
Schlüssel
Ein Parameter, der die funktionale Ausgabe eines Kryptografiealgorithmus oder einer Chiffre bestimmt.
Windows-Benutzername
Ein Windows-Benutzerkonto zur Identifizierung des Benutzers.
Windows-Kennwort
Ein geheimes Wort oder ein geheimer Ausdruck für ein Windows-Konto.
Zertifikat
Ein Zertifikat.
Zertifikatkennwort
Das Kennwort für das Zertifikat.
  • Zum Ändern des Typs eines neuen oder vorhandenen Felds klicken Sie auf den Pfeil neben dem Typ des Felds und wählen dann den neuen Feldtyp aus.

    Hinweis

    Jedes hinzugefügte Feld muss Daten enthalten, wenn Sie die Anmeldeinformationen für diese Zielanwendung festlegen.

  • Sie können den Namen ändern, der dem Benutzer bei der Interaktion mit einem Feld angezeigt wird. Ändern Sie auf der Seite Geben Sie die Anmeldeinformationsfelder für die Zielanwendung für einmaliges Anmelden an in der Spalte Feldname einen Feldnamen, indem Sie den aktuellen Text markieren und neuen Text eingeben.

  • Wenn ein Feld maskiert ist, werden vom Benutzer eingegebene Zeichen nicht angezeigt, sondern durch ein Maskenzeichen (beispielsweise ein Sternchen) ersetzt. Klicken Sie zum Maskieren eines Felds in der Spalte Verborgen der Seite auf das Kontrollkästchen für das Feld.

  • Klicken Sie zum Löschen eines Felds in der Spalte Löschen der Seite auf das Löschsymbol für das Feld.

    Klicken Sie nach Abschluss der Bearbeitung der Felder für die Anmeldeinformationen auf Weiter.

  1. Listen Sie auf der Seite Specify the membership settings im Feld Target Application Administrators alle Benutzer auf, die Zugriff zum Verwalten der Einstellungen der Zielanwendung haben.

  2. Wenn die Zielanwendung vom Typ Group ist, listen Sie im Feld Members die Benutzergruppen auf, denen ein Satz von Anmeldeinformationen für die Zielanwendung zugewiesen wird.

  3. Klicken Sie auf OK, um das Konfigurieren der Zielanwendung abzuschließen.

Festlegen von Anmeldeinformationen für eine Secure Store-Zielanwendung

Nach dem Erstellen einer Zielanwendung kann ein Administrator für die Zielanwendung die zugehörigen Anmeldeinformationen festlegen. Diese Anmeldeinformationen werden von der aufrufenden Anwendung verwendet, um den Zugriff auf eine externe Datenquelle zu ermöglichen. Handelt es sich um eine Zielanwendung vom Typ "Einzelperson" können Sie Benutzern die Angabe eigener Anmeldeinformationen ermöglichen.

So legen Sie Anmeldeinformationen für eine Zielanwendung fest

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Klicken Sie auf die Dienstanwendung für einmaliges Anmelden.

  3. Zeigen Sie in der Liste mit den Zielanwendungen auf die Zielanwendung, für die Sie Anmeldeinformationen festlegen möchten, klicken Sie auf den angezeigten Pfeil, und klicken Sie anschließend im Menü auf Anmeldeinformationen festlegen.

    Ist die Zielanwendung vom Typ Group, geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die entsprechenden Felder variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.

    Handelt es sich um eine Zielanwendung vom Typ "Einzelperson", geben Sie den Benutzernamen der Person ein, der diese Anmeldeinformationen für die externe Datenquelle zugeordnet werden sollen, und geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die Felder zum Angeben von Anmeldeinformationen variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.

  4. Klicken Sie auf OK.

Nach dem Festlegen der Anmeldeinformationen für die Zielanwendung kann diese von einem SharePoint Server-Dienst wie Business Connectivity Services, Excel Services oder Visio Services verwendet werden.

Aktivieren des Secure Store-Überwachungsprotokolls

Überwachungseinträge für Secure Store Service werden in der Secure Store Service-Datenbank gespeichert. Standardmäßig ist das Überwachungsprotokoll deaktiviert.

Ein Überwachungsprotokolleintrag speichert Informationen über eine Secure Store Service-Aktion, z. B. wann sie ausgeführt wurde, ob sie erfolgreich war, warum sie fehlgeschlagen ist, wenn sie nicht erfolgreich war, den Secure Store Service-Benutzer, der ihn ausgeführt hat, und optional den Secure Store Service-Benutzer, in dessen Auftrag er ausgeführt wurde. Daher ist ein gültiger Grund für die Aktivierung einer Überwachungsprotokolldatei die Behandlung eines Authentifizierungsproblems.

So aktivieren Sie das Überwachungsprotokoll mithilfe der Zentraladministration

  1. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  2. Wählen Sie die Dienstanwendung für einmaliges Anmelden aus. (Mit anderen Worten: Wählen Sie die Dienstanwendung aus, klicken Sie aber nicht auf auf den Link, um zur Seite mit den Einstellungen für die Secure Store Service-Anwendung zu wechseln.)

  3. Klicken Sie auf dem Menüband auf Eigenschaften.

  4. Aktivieren Sie im Abschnitt Überwachung aktivieren das Kontrollkästchen Überwachungsprotokoll aktiviert.

  5. Wenn Sie die Anzahl von Tagen ändern möchten, nach denen die Einträge aus der Überwachungsprotokolldatei gelöscht werden, geben Sie eine Anzahl von Tagen in das Feld Tage bis zur Löschung ein. Die Standardeinstellung beträgt 30 Tage.

  6. Klicken Sie auf OK.

Siehe auch

Weitere Ressourcen

Secure Store Service cmdlets in SharePoint 2013