Планирование службы Secure Store в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
Служба Secure Store представляет собой службу проверки подлинности на основе утверждений, которая включает в себя зашифрованную базу данных для хранения учетных данных.
Сведения о службе Secure Store
Secure Store это служба проверки подлинности, запускаемая SharePoint Server. Secure Store содержит базу данных для хранения учетных данных. Обычно эти учетные данные состоят из имени пользователя и пароля, но также могут содержать и другие заданные поля. Например, SharePoint Server может использовать базу данных Secure Store для хранения и извлечения учетных данных для доступа к внешним источникам данных. Служба Secure Store поддерживает хранение нескольких наборов учетных данных для нескольких внутренних систем.
Сценарии использования службы Secure Store включают в себя следующее:
Службы Excel Online в Office Online Server могут использовать Secure Store для предоставления доступа к внешним источникам данных в книгах, опубликованных в SharePoint Server 2016. Это можно применять вместо передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка ограниченного делегирования Kerberos.
Службы Службы Excel в SharePoint Server 2013 могут использовать службу Secure Store для предоставления доступа к внешним источникам данных в опубликованных книгах. Это можно применять в качестве заменителя передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка делегирования Kerberos. Служба Secure Store требуется для служб Службы Excel, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.
Службы Visio могут использовать службу Secure Store для предоставления доступа к внешним источникам данных в опубликованных схемах с подключением к данным. Это можно применять вместо передачи учетных данных пользователя в источник данных, так как для этого процесса часто требуется настройка ограниченного делегирования Kerberos. Для Службы Visio служба Secure Store требуется, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.
PerformancePoint Services может использовать службу Secure Store для предоставления доступа к внешним источникам данных. Для PerformancePoint Services служба Secure Store требуется, если вы хотите настроить автоматическую учетную запись службы для проверки подлинности данных.
Для PowerPivot служба Secure Store требуется для запланированного обновления книг PowerPivot.
Microsoft Business Connectivity Services может использовать службу Secure Store, чтобы сопоставить учетные данные пользователя с набором учетных данных для внешней системы. Вы можете сопоставить учетные данные каждого пользователя с уникальной учетной запись во внешней системе или сопоставить набор пользователей, прошедших проверку подлинности, с отдельной учетной записью группы. Службы Business Connectivity Services также могут использовать Secure Store для хранения сертификатов для доступа к локальному источнику данных из SharePoint в Microsoft 365.
Среда выполнения SharePoint может использовать службу Secure Store, чтобы хранить учетные данные для связи со службами Azure, если любым пользовательским приложениям требуется среда выполнения SharePoint для подготовки и использования служб Azure.
Подготовка службы Secure Store
При подготовке к развертыванию службы Служба Secure Store необходимо учитывать следующие рекомендации:
Перед созданием нового ключа шифрования необходимо создать резервную копию базы данных Служба Secure Store. Кроме того, резервную копию базы данных Служба Secure Store следует создавать после ее создания, а также при каждом повторном шифровании учетных данных. После создания нового ключа его можно использовать для повторного шифрования учетных данных. Если не удается обновить ключ или утрачена парольная фраза, учетные данные будут недоступны для использования.
Создавать резервную копию ключа шифрования следует после начальной настройки службы Secure Store, а также после каждого повторного создания ключа.
Следует отдельно хранить носители с резервными копиями ключа шифрования и базы данных Secure Store. Если какой-либо пользователь получит копию базы данных и ключа, сохраненные в базе данных учетные данные могут быть раскрыты.
Так как служба Secure Store используется для хранения конфиденциальных данных, для большей безопасности мы рекомендуем придерживаться следующих правил:
Запускайте службу Служба Secure Store в отдельном пуле приложений, который не используется другими службами.
Создавайте базу данных Служба Secure Store на отдельном сервере под управлением SQL Server. При этом не следует использовать экземпляр SQL Server, в котором хранится база данных контента.
Конечные приложения в Secure Store
Конечное приложение это коллекция информации, которая сопоставляет пользователя или пользователей с набором зашифрованных учетных данных, хранимых в базе данных Secure Store. Конечные приложения содержат следующую определяемую вами информацию:
Является ли это индивидуальным или групповым сопоставлением.
Какие поля следует сохранить в базе данных Secure Store. (По умолчанию это "Имя пользователя Windows" и "Пароль Windows", однако можно выбрать дополнительные поля, зависящие от приложения.)
Пользователи с разрешениями на администрирование конечного приложения.
Отдельный пользователь или группа, с которыми вы сопоставляете учетные данные.
Каждое конечное приложение имеет задаваемый пользователем уникальный код приложения, который используется для ссылки на конечное приложение из внешних приложений, таких как службы Excel Online или SharePoint Designer.
Сопоставление учетных данных Secure Store
Служба Secure Store поддерживает сопоставления отдельных пользователей и групп. Сопоставление групп означает, что каждый участник отдельной группы в домене сопоставляется с тем же набором учетных данных. При сопоставлении отдельных пользователей каждому пользователю сопоставляется уникальный набор учетных данных. Сопоставления отдельных пользователей рекомендуется применять в том случае, когда требуется заносить в журнал сведения о доступе отдельных пользователей к общим ресурсам. Для сопоставлений групп на уровне безопасности учетные данные для нескольких пользователей домена сопоставляются с одним набором учетных данных из базы данных Secure Store. С групповыми сопоставлениями легче работать, чем с индивидуальными, кроме того, они позволяют повысить производительность.
Служба Secure Store и проверка подлинности на основе утверждений
Служба безопасного хранения поддерживает утверждения. Он может принимать маркеры безопасности и расшифровывать их, чтобы получить идентификатор приложения, а затем выполнить поиск. Когда служба маркеров безопасности SharePoint Server (STS) выдает маркер безопасности в ответ на запрос проверки подлинности, служба Secure Store расшифровывает маркер и считывает значение идентификатора приложения. Служба безопасного хранения использует идентификатор для извлечения учетных данных из базы данных безопасного хранения. Эти учетные данные затем применяются для авторизации доступа к ресурсам.