共用方式為

設定單一登入 (Office SharePoint Server)

  • 發行項

單一登入 (SSO) 是 Microsoft Office SharePoint Server 的一項功能,可提供認證 (例如帳戶名稱和密碼) 的存放區和對應。使用 SSO、入口網站型應用程式可以從協力廠商應用程式和後端系統 (例如企業資源規劃 (ERP) 和客戶關係管理 (CRM) 系統) 擷取資訊。

使用單一登入功能可讓使用者在存取需要從其他商務應用程式和系統取得資訊的入口網站型應用程式時,只需驗證一次。

設定單一登入包含 5 項工作:

  • 設定並啟動 Microsoft Single Sign-On 服務

  • 為 Office SharePoint Server 2007 設定單一登入

  • 管理加密金鑰

  • 管理企業應用程式定義

  • 管理企業應用程式定義的帳戶資訊

請注意,您必須登入伺服器陣列中之伺服器上的 SharePoint 管理中心網站,才可設定 Office SharePoint Server 2007 的單一登入 (SSO)。如果您試圖在工作站或非伺服器陣列中之伺服器的任何電腦上設定 SSO,就會看到此錯誤訊息:「無法從此伺服器設定單一登入。若要設定單一登入,請移至執行單一登入服務的電腦,並在本機指定這些設定。」

請遵循本節中的程序來設定 Office SharePoint Server 2007 環境的 SSO。

設定並啟動 Microsoft Single Sign-On 服務

若要使用單一登入,必須在伺服器陣列中所有的 Microsoft Windows 前端網頁伺服器上安裝 Microsoft Single Sign-On 服務 (SSOSrv)。而且執行 Excel Services 的所有伺服器上也必須安裝 SSOSrv 服務。如果使用商務資料目錄搜尋,也必須在索引伺服器上安裝 SSOSrv 服務。

SSOSrv 服務是使用 [服務] 主控台來設定的。設定服務時需要登入帳戶。登入帳戶必須符合下列所有準則:

  • 必須是網域使用者帳戶。不能是群組帳戶。

  • 必須是 Office SharePoint Server 伺服器陣列帳戶。

  • 必須是加密金鑰伺服器上的本機管理員群組成員 (加密金鑰伺服器是您啟動 SSOSrv 的第一部伺服器)。

  • 必須是執行 Microsoft SQL Server 之電腦上,安全性管理員角色和 db_creator 角色的成員。

  • 必須與單一登入管理員帳戶相同,或是與單一登入管理員帳戶的群組帳戶成員相同。

設定並啟動 Microsoft Single Sign-On 服務

  1. 在伺服器上,依序按一下 [開始]、[控制台]、[系統管理工具] 及 [電腦管理]

  2. 在 [電腦管理] 主控台中,展開 [服務及應用程式],然後按一下 [服務]****。

  3. 用滑鼠右鍵按一下 [Microsoft Single Sign-On Service],然後選擇 [內容]****。

  4. 在 [一般] 索引標籤上,將 [啟動類型]**** 變更為 [自動]。

  5. 在 [一般]**** 索引標籤上的 [服務狀態] 下,按一下 [啟動]****。

  6. 按一下 [確定] 儲存變更,並關閉 [內容]**** 視窗。

  7. 針對伺服器陣列中的每個適用伺服器,重複步驟 1 到 6。

為 Office SharePoint Server 2007 設定單一登入

管理單一登入的伺服器設定包括指定適當的管理員帳戶、單一登入資料庫伺服器和伺服器名稱,以及逾時和稽核記錄設定。

注意

您必須在執行 Office SharePoint Server 2007 的電腦上開啟管理中心,才可管理單一登入的伺服器設定。

為 Office SharePoint Server 2007 設定 SSO

  1. 在管理中心的上方導覽列上,按一下 [作業]。

  2. 在 [作業] 頁面的 [安全性設定]**** 區段中,按一下 [管理單一登入設定]。

  3. 在 [管理單一登入設定] 頁面的 [伺服器設定]**** 區段中,按一下 [管理伺服器設定]。

  4. 在 [管理單一登入設定] 頁面上,於 [單一登入 (Single Sign-on) 系統管理員帳戶]**** 區段的 [帳戶名稱] 方塊內,使用 網域/群組網域/使用者名稱 格式輸入單一登入系統管理員帳戶名稱。

    注意

    單一登入系統管理員帳戶指定可以建立、刪除或修改應用程式定義的人員集合。管理員帳戶也可以備份加密金鑰。

    您指定作為單一登入系統管理員的使用者或群組必須遵循下列各項:

    • Windows 通用群組或個別使用者帳戶。這個帳戶不能是網域本機群組帳戶或通訊群組清單。

    • 如果有指定使用者,則是與單一登入服務帳戶相同的帳戶。如果指定群組,單一登入服務帳戶就必須是該群組的成員。

    • 如果有指定使用者,則與單一登入的連線帳戶相同。如果指定群組,單一登入的連線帳戶就必須是該群組的成員。

    • 管理中心的伺服器陣列管理員群組成員。

    如果指定了群組,所有為了管理單一登入而新增到該群組的使用者,都必須是加密金鑰伺服器上的本機管理員群組成員。請勿讓此帳戶成為加密金鑰伺服器上的本機管理員群組成員。

  5. 在 [企業應用程式定義管理員帳戶] 區段的 [帳戶名稱]**** 方塊內,輸入可以設定及管理企業應用程式定義之群組或使用者的帳戶名稱。請使用 網域/群組網域/使用者名稱 格式來輸入名稱。

    企業應用程式定義管理員帳戶可以管理企業應用程式定義的認證,包括變更群組企業應用程式定義的密碼及變更或刪除個別企業應用程式定義的認證。

    您指定的使用者或群組必須為下列各項:

    • Windows 通用群組或個別使用者帳戶。這個帳戶不能是網域本機群組帳戶或通訊群組清單。

    • 管理中心的 Reader SharePoint 群組成員。

  6. 在 [資料庫設定] 區段的 [伺服器名稱]**** 方塊內,輸入單一登入資料庫伺服器的 NetBIOS 名稱 (例如 computer_namecomputer_name\SQL_Server_instance)。請勿輸入完整的網域名稱。

  7. 在 [資料庫名稱] 方塊中,輸入單一登入資料庫伺服器的名稱。

    注意

    除非您要預先建立資料庫,否則建議您使用預設資料庫伺服器和單一登入資料庫伺服器。

  8. 在 [逾時設定] 區段的 [票證逾時(以分鐘計)]**** 方塊內,輸入要過幾分鐘之後,單一登入票證即到期。逾時值的長度必須足以涵蓋從發出票證到企業應用程式贖回票證的這段時間。建議值為 2 分鐘。

  9. 在 [刪除稽核記錄早於 (天)] 方塊中,輸入天數的值,代表稽核記錄在刪除記錄之前會保留多少天。

  10. 按一下 [確定]****。

管理加密金鑰

啟用 SSOSrv 的第一部伺服器即成為加密金鑰伺服器。加密金鑰伺服器會產生並儲存加密金鑰。加密金鑰可用以加密和解密儲存在 SSO 資料庫中的認證。

因為加密金鑰會保護安全性認證,所以建議您定期建立新的加密金鑰 (例如,每 90 天)。如果您懷疑帳戶認證已洩漏,也建議您立即建立新的加密金鑰。

每次建立新的加密金鑰時,都必須備份金鑰。您並不需要在其他時間備份加密金鑰 (例外狀況是將加密金鑰伺服器角色從某部伺服器移至另一部伺服器時)。您必須在本機備份加密金鑰伺服器中的加密金鑰;金鑰無法從遠端備份。

您也可以使用加密金鑰備份及還原,將加密金鑰伺服器角色從一個伺服器移至另一個伺服器 (您也必須完成其他工作,才可移動加密金鑰伺服器角色)。

注意

您必須在執行 Office SharePoint Server 2007 的電腦上開啟管理中心,才可管理加密金鑰。

管理加密金鑰

  1. 在管理中心的上方導覽列上,按一下 [作業]。

  2. 在 [作業] 頁面的 [安全性設定]**** 區段中,按一下 [管理單一登入設定]。

  3. 在 [管理單一登入設定] 頁面的 [伺服器設定]**** 區段中,按一下 [管理加密金鑰]。

您可以從 [管理加密金鑰] 頁面執行三項管理工作:

  • 建立新的加密金鑰

  • 備份加密金鑰

  • 還原加密金鑰

建立新的加密金鑰

  1. 在 [管理加密金鑰] 頁面上,按一下 [加密金鑰]**** 區段的 [建立加密金鑰]。

  2. 在 [建立加密金鑰] 頁面上,選取 [使用新加密金鑰重新加密所有認證]**** 核取方塊。

    重要

    如果您沒有使用新的加密金鑰重新加密現有的認證,則使用者必須針對個別應用程式定義重新輸入他們的認證,而管理員必須重新輸入群組應用程式定義的群組認證。

  3. 按一下 [確定]。

備份加密金鑰

  1. 在 [管理加密金鑰] 頁面之 [加密金鑰備份]**** 區段的 [磁碟機] 清單中,按一下想要儲存加密金鑰備份的抽取式媒體磁碟機。

  2. 按一下 [備份]****。

還原加密金鑰

因為如果沒有加密金鑰,資料庫即沒有用處,所以當您備份單一登入資料庫時,應該都要備份加密金鑰。此外,取代加密金鑰伺服器之前,請確定事先備份加密金鑰,讓它可以在新的加密金鑰伺服器上進行還原。

  1. 在 [管理加密金鑰] 頁面上,於 [加密金鑰還原] 區段的 [磁碟機]**** 清單內,按一下您想要從中還原加密金鑰備份的抽取式媒體磁碟機。

  2. 按一下 [還原]。

管理企業應用程式定義

在單一登入環境中,後端的外部資料來源和系統均稱為企業應用程式。Office SharePoint Server 2007 連接的每一個企業應用程式,都需要設定對應的企業應用程式定義。

  1. 在管理中心的上方導覽列上,按一下 [作業]****。

  2. 在 [作業] 頁面的 [安全性設定] 區段中,按一下 [管理單一登入設定]****。

  3. 按一下 [管理單一登入設定] 頁面的 [管理企業應用程式定義的設定]。

管理企業應用程式定義的帳戶資訊

如果要使用群組連接到企業應用程式,就需要提供帳戶認證供群組使用。如果個別使用者會直接連接到企業應用程式,則您可以預設或重設使用者密碼,或從企業應用程式定義中刪除使用者。

  1. 在管理中心的上方導覽列上,按一下 [作業]****。

  2. 在 [作業] 頁面的 [安全性設定] 區段中,按一下 [管理單一登入設定]****。

  3. 在 [管理單一登入設定] 頁面上,按一下 [企業應用程式定義設定] 區段的 [管理企業應用軟體定義的帳戶資訊]****。

  4. 在 [管理企業應用程式定義的帳戶資訊] 頁面上,於 [帳戶資訊] 區段的 [企業應用程式定義]**** 清單內,按一下您要管理帳戶資訊的應用程式定義。

  5. 在 [群組帳戶名稱] 方塊中,輸入允許存取企業應用程式的群組名稱。

  6. 在 [企業應用程式定義]**** 區段中,選取下列其中一項:

    選項 用途

    更新帳戶資訊

    第一次輸入認證,或是更新用來連接企業應用程式的認證。

    從這個企業應用程式定義中刪除為此帳戶儲存的認證

    刪除目前用來連接企業應用程式的認證。

    從所有企業應用程式定義中刪除為此帳戶儲存的認證

    從所有企業應用程式定義中,刪除目前用來連接所選取之企業應用程式的認證。刪除儲存的認證只會刪除個別帳戶的認證;並不會刪除群組帳戶的認證。

    若您選取 [更新帳戶資訊],請完成下列步驟:

    1. 按一下 [設定]****。

    2. 在 [提供帳戶資訊] 頁面的 [登入資訊] 區段中,輸入要用來連接企業應用程式之帳戶的使用者名稱和密碼。

    3. 按一下 [確定]****。

  7. 按一下 [完成]。

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 技術文件庫 上提供的完整叢書清單。