在 SharePoint Server 中設定 Secure Store Service
適用於:2013 Subscription Edition SharePoint in Microsoft 365
本文說明如何在 SharePoint Server 伺服器陣列上設定 Secure Store Service。 Secure Store 具有相關的重要規劃考量。 請務必先閱讀<規劃 SharePoint Server 的 Secure Store Service>,再開始進行本文的程序。
在 SharePoint Server 中設定 Secure Store
Secure Store 服務會在應用程式和前端伺服器腳色下執行。 當您建立 Secure Store 服務應用程式時,其會進行自動佈建。
若要設定 Secure Store,請執行下列步驟:
在 SharePoint Server 中註冊受管理帳戶,以執行 Secure Store 應用程式集區。
在伺服器陣列的應用程式伺服器上啟動 Secure Store Service。 (僅限 SharePoint Server 2013)
建立 Secure Store Service 服務應用程式。
您必須具有標準網域帳戶,才能執行應用程式集區。 此帳戶不需要任何特定權限。 在 Active Directory 中建立帳戶之後,請執行下列步驟,使用 SharePoint Server 來註冊帳戶。
註冊受管理帳戶
在 SharePoint 管理中心網站首頁的左方導覽中,按一下 [安全性]。
在 [安全性] 頁面上,按一下 [一般安全性] 區段中的 [設定受管理帳戶]。
在 [受管理帳戶] 頁面上,按一下 [註冊受管理帳戶]。
在 [使用者名稱] 方塊中,輸入帳戶的名稱。
在 [密碼] 方塊中,輸入帳戶的密碼。
若要讓 SharePoint Server 處理帳戶的密碼變更,請選取 [啟動自動變更密碼] 方塊並指定要使用的密碼變更參數。
按一下 [確定]。
如果您使用 SharePoint Server 2013,您必須在伺服器陣列中的應用程式伺服器上啟動 Secure Store Service。 (如果您使用 SharePoint Server 2016,MinRole.) 會自動啟動服務
若要啟動 Secure Store Service (SharePoint Server 2013)
在管理中心首頁上,按一下 [系統設定] 區段中的 [管理伺服器上的服務]。
在 [服務] 清單上方,按一下 [伺服器] 下拉式清單,然後按一下 [變更伺服器]。
選取您要執行 Secure Store Service 的應用程式伺服器。
在 [服務] 清單上,按一下 [Secure Store Service] 旁的 [啟動]。
下一步,您必須建立 Secure Store Service 服務應用程式。 請使用下列程序來建立服務應用程式。
建立 Secure Store Service 服務應用程式
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
在 [管理服務應用程式] 頁面上,依序按一下 [新增] 和 [Secure Store Service]。
在 [服務應用程式名稱] 方塊中,輸入服務應用程式的名稱 (例如 Secure Store Service)。
在 [資料庫伺服器] 方塊中,輸入您要建立 Secure Store 資料庫的 SQL Server 執行個體。
注意事項
由於 Secure Store 資料庫會包含機密資訊,因此建議您將 Secure Store 資料庫部署至和其餘 SharePoint Server 不同的 SQL Server 執行個體。
選取 [建立新的應用程式集區] 選項,然後在文字方塊中輸入應用程式集區的名稱。
選取 [可設定] 選項,然後從下拉式清單中選取稍早建立的受管理帳戶。
按一下 [確定]。
現在即已設定 Secure Store Service。 下一步是產生加密金鑰來加密 Secure Store 資料庫。
使用 Secure Store 加密金鑰
使用 Secure Store Service 之前,您必須產生加密金鑰。 此金鑰可用來加密及解密儲存在 Secure Store Service 資料庫中的認證。
產生加密金鑰
第一次存取 Secure Store Service 應用程式時,唯一的選項是產生新的加密金鑰。 一旦產生金鑰之後,即可使用 Secure Store 的其餘功能。
產生新的加密金鑰
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
按一下 [Secure Store Service 應用程式]。
在 [金鑰管理] 群組中,按一下 [產生新的金鑰]。
On the Generate New Key page, type a pass phrase string in the Pass Phrase box, and type the same string in the Confirm Pass Phrase box. This pass phrase is used to encrypt the Secure Store database.
重要事項
傳遞片語字串必須至少為八個字元,且必須至少有下列四個元素中的三個: > 大寫字元 > 小寫字元 > 數值 > 下列任何特殊字元 > “! “ # $ % & ' ( ) * + , - 。 / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
重要事項
您輸入的複雜密碼不會儲存。 請確定您已記下此專案,並將它儲存在安全的位置。 您必須讓它重新整理金鑰,例如當您將新的應用程式伺服器新增至伺服器陣列時。
按一下 [確定]。
做為安全性預防措施或定期維護的一部分,您可能會決定產生新加密金鑰,並根據新金鑰將 Secure Store Service 強制重新加密。 您可以使用此相同程序來執行此作業。
注意
您應該先備份 Secure Store Service 應用程式的資料庫,然後再產生新金鑰。
重新整理 Secure Store 加密金鑰
重新整理加密金鑰會將金鑰傳播至伺服器陣列中的所有應用程式伺服器。 如果發生下列任何情況,則您可能需要重新整理加密金鑰:
將新的應用程式伺服器新增至伺服器陣列。
還原先前備份的 Secure Store Service 資料庫,而且已變更加密金鑰。
接收到「無法取得主要金鑰」錯誤訊息。
重新整理加密金鑰
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
按一下 [Secure Store Service 應用程式]。
在 [金鑰管理] 群組中,按一下 [重新整理金鑰]。
在 [複雜密碼] 方塊中,輸入一開始用來產生加密金鑰的複雜密碼。
此複雜密碼是初始化 Secure Store Service 服務應用程式時所使用的複雜密碼,或是使用 [產生新的金鑰] 命令建立新金鑰時所使用的複雜密碼。
按一下 [確定]。
在 Secure Store 中儲存認證
透過 Secure Store「目標應用程式」即可完成 Secure Store 中的認證儲存。 目標應用程式會將使用者、群組或宣告的認證,對應至儲存在 Secure Store 資料庫中的一組加密認證。 建立目標應用程式之後,就可以建立它與外部內容類型或應用程式模型的關聯,或是搭配 Excel Online 或 Visio Services 等商務智慧服務使用,以提供外部資料來源的存取。 當 SharePoint Server 服務應用程式呼叫目標應用程式時,Secure Store 會確認提出要求的使用者是否為目標應用程式的授權使用者,然後再擷取加密認證。 SharePoint Server 服務應用程式接著會代表使用者使用認證。
若要建立目標應用程式,您必須執行下列動作:
建立目標應用程式本身,然後指定要儲存在 Secure Store 資料庫中的認證類型、目標應用程式的管理員及認證擁有者。
指定要儲存的認證。
建立目標應用程式
目標應用程式是設定於管理中心的 [Secure Store Service 應用程式] 頁面上。 請使用下列程序來建立目標應用程式。
建立目標應用程式
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
按一下 [Secure Store Service 應用程式]。
在 [管理目標應用程式] 群組中,按一下 [新增]。
在 [目標應用程式識別碼] 方塊中,輸入文字字串。
這是您在外部用來識別此目標應用程式的唯一字串。
在 [顯示名稱] 方塊中輸入文字字串,此字串將用來在使用者介面中顯示目標應用程式的識別碼。
在 [連絡人電子郵件] 方塊中,輸入此目標應用程式之主要連絡人的電子郵件地址。
這可以是任何合法電子郵件地址,而且不需要是 Secure Store Service 應用程式管理員的身分識別。
When you create a target application of type Individual (see below), you can implement a custom Web page that lets users add individual credentials for the destination data source. This requires custom code to pass the credentials to the target application. If you did this, type the full URL of this page in the Target Application Page URL field. There are three options:
使用預設頁面:任何使用目標應用程式存取外部數據的網站都會有自動新增的個別註冊頁面。 此頁面的 URL 會是 HTTP:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<TargetApplicationID>,其中 <TargetApplicationID> 是 [ 目標應用程式識別 符] 方塊中輸入的字串。 By publicizing the location of this page, you can enable users to add their credentials for the external data source.
使用自訂頁面:您可以提供讓使用者提供個別認證的自訂網頁。 請在此欄位中輸入自訂頁面的 URL。
無:沒有註冊頁面。 只有 Secure Store Service 管理員才能使用 Secure Store Service 應用程式來新增個別認證。
在 [目標應用程式類型] 下拉式清單中,選擇目標應用程式類型:[群組] (適用於群組認證) 或 [個人] (如果每一位使用者是要對應至外部資料來源上的唯一一組認證)。
注意事項
建立目標應用程式有兩個主要類型: > 群組,用於將一或多個群組的所有成員對應至外部數據源上的單一認證集。 > 個別,用於將每個用戶對應至外部數據源上的唯一認證集。
按一下[下一步]。
Use the Specify the credential fields for your Secure Store Target Application page to configure the various fields which may be required to provide credentials to the external data source. By default, two fields are listed: Windows User Name and Windows Password.
若要新增用來將認證提供給外部資料來源的其他欄位,請在 [指定安全認證儲存目標應用程式的認證欄位] 頁面上按一下 [新增欄位]。
By default, the type of the new field is Generic. The following field types are available:
欄位 | 描述 |
---|---|
泛用。 |
無法放入任何其他類別的值。 |
使用者名稱 |
可識別使用者的使用者帳戶。 |
Password |
秘密文字或片語。 |
PIN |
個人識別碼。 |
索引鍵 |
可決定密碼編譯演算法或加密之功能輸出的參數。 |
Windows 使用者名稱 |
可識別使用者的 Windows 使用者帳戶。 |
Windows 密碼 |
Windows 帳戶的秘密文字或片語。 |
憑證 |
憑證。 |
憑證密碼 |
憑證的密碼。 |
若要變更新的或現有欄位的類型,請按一下出現在欄位類型旁的箭頭,然後選取新的欄位類型。
注意事項
當您設定此目標應用程式的認證時,每個新增的欄位都必須內含資料。
You can change the name that a user sees when interacting with a field. In the Field Name column of the Specify the credential fields for your Secure Store Target Application page, change a field name by selecting the current text and typing new text.
對欄位進行遮罩處理時,不會顯示使用者所輸入的每個字元,但會將它們取代為遮罩字元 (如星號 "****")。 若要對欄位進行遮罩處理,請在頁面的 [已遮罩] 欄中按一下該欄位的核取方塊。
若要刪除欄位,請在頁面的 [刪除] 欄中按一下該欄位的刪除圖示。
當您完成認證欄位的編輯時,請按 [下一步]。
在 [指定成員資格設定] 頁面的 [目標應用程式管理員] 欄位中,列出所有具有目標應用程式設定管理權的使用者。
如果目標應用程式類型是群組,則會在 [成員] 欄位中列出使用者群組,以對應至此目標應用程式的一組認證。
按一下 [確定] 完成目標應用程式的設定。
設定 Secure Store 目標應用程式的認證
建立目標應用程式之後,該目標應用程式的管理員就可以設定它的認證。 呼叫應用程式會使用這些認證,來提供外部資料來源的存取。 如果目標應用程式的類型是 [個人],也可以讓使用者提供自己的認證。
設定目標應用程式的認證
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
按一下 [Secure Store Service 應用程式]。
在目標應用程式清單中,指向您要設定認證的目標應用程式、按一下出現的箭號,然後按一下功能表中的 [設定認證]。
如果目標應用程式的類型是 [群組],請輸入外部資料來源的認證。 根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。
如果目標應用程式的類型是 [個人],請輸入會對應至外部資料來源上這一組認證之個人的使用者名稱,並輸入外部資料來源的認證。 根據外部資料來源所需要的資訊,用來設定認證的欄位也會不同。
按一下 [確定]。
設定目標應用程式的認證之後,像是 Business Connectivity Services、Excel Services 或 Visio Services 等 SharePoint Server 服務即可使用此認證。
啟用 Secure Store Service 稽核記錄檔
Secure Store Service 的稽核項目會儲存在 Secure Store Service 資料庫中。 預設為停用稽核記錄檔。
稽核記錄項目中儲存了 Secure Store Service 動作的相關資訊,例如,何時執行、是否成功、若未成功的話失敗原因為何、執行 Secure Store Service 的使用者,以及以何人名義執行的選用 Secure Store Service 使用者等相關資訊。 因此,啟用稽核記錄檔的原因通常是要疑難排解驗證問題。
使用管理中心啟用稽核記錄
在管理中心首頁上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。
選取 Secure Store 服務應用程式。 (也就是選取服務應用程式,但不要按下連結以移至 Secure Store Service 應用程式設定頁面。)
在功能區上,按一下 [內容]。
從 [啟用稽核] 區段,按一下以選取 [稽核記錄已啟用] 方塊。
To change the number of days that entries will be purged from the audit log file, specify a number in days in the Days Until Purge field. The default value is 30 days.
按一下 [確定]。