Pianificare il servizio di archiviazione sicura (SharePoint Server 2010)

  • Articolo

 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In Microsoft SharePoint Server 2010 il servizio di archiviazione sicura sostituisce la funzionalità Single Sign-On (SSO). Il servizio di archiviazione sicura è un servizio di autorizzazione in grado di riconoscere attestazioni che include un database sicuro per l'archiviazione delle credenziali associate agli ID delle applicazioni. Tali ID applicazione possono essere utilizzati per autorizzare l'accesso a origini dati esterne.

Contenuto dell'articolo:

  • Informazioni sul servizio di archiviazione sicura

  • Preparazione del servizio di archiviazione sicura

  • ID applicazione

  • Mapping del servizio di archiviazione sicura

  • Servizio di archiviazione sicura e autenticazione attestazioni

Informazioni sul servizio di archiviazione sicura

Il servizio di autenticazione sicura è un servizio autorizzato che viene eseguito in un server applicazioni. Include un database utilizzato per l'archiviazione delle credenziali (identità utente e password) per gli ID applicazione che possono essere utilizzati dalle applicazioni per autorizzare l'accesso alle risorse condivise. SharePoint Server 2010 può ad esempio utilizzare il database di archiviazione sicura per archiviare e recuperare credenziali per l'accesso alle origini dati esterne. Il servizio di autenticazione sicura consente l'archiviazione delle credenziali di più sistemi back-end con più ID applicazione.

Preparazione del servizio di archiviazione sicura

Quando si prepara la distribuzione del servizio di archiviazione sicura, tenere conto delle importanti linee guida seguenti:

  • Eseguire il servizio di archiviazione sicura in un pool di applicazioni separato non utilizzato per altri servizi.

  • Eseguire il servizio di archiviazione sicura in un server applicazioni separato non utilizzato per altri servizi.

  • Creare il database di archiviazione sicura in un server applicazioni separato che esegue SQL Server. Non utilizzare la stessa installazione di SQL Server che contiene i database di contenuto.

  • Prima di generare una nuova chiave di crittografia, eseguire il backup del database di archiviazione sicura. È inoltre consigliabile eseguire il backup del database di archiviazione sicura subito dopo la creazione e, in seguito, ogni volta che si esegue la crittografia delle credenziali. Quando si genera una nuova chiave, le credenziali possono essere crittografate con la nuova chiave. Se l'aggiornamento della chiave ha esito negativo o si dimentica la passphrase, le credenziali non saranno più utilizzabili.

  • Eseguire il backup della chiave di crittografia subito dopo la configurazione del servizio di archiviazione sicura e, in seguito, ogni volta che viene rigenerata.

  • Non archiviare i supporti di backup della chiave di crittografia nella stessa posizione dei supporti di backup del database di archiviazione sicura. Se un utente ottiene una copia sia del database che della chiave, le credenziali archiviate nel database potrebbero essere compromesse.

ID applicazione

Ogni voce del servizio di archiviazione sicura contiene un ID applicazione utilizzato per recuperare un set di credenziali dal database di archiviazione sicura. A ogni ID applicazione possono essere applicate autorizzazioni affinché solo utenti o gruppi specifici possano accedere alle credenziali memorizzate per tale ID applicazione. Le applicazioni utilizzano gli ID applicazione per recuperare le credenziali dal database di archiviazione sicura per conto di un utente. L'applicazione può quindi utilizzare le credenziali recuperate per accedere all'origine dati.

Gli ID applicazione vengono utilizzati per mappare gli utenti ai set di credenziali. È possibile eseguire il mapping per gruppi o per singoli utenti. In un mapping di gruppo ogni utente membro di un gruppo di dominio specifico viene mappato allo stesso set di credenziali. In un mapping individuale ogni singolo utente viene mappato a un set di credenziali dedicato.

Mapping del servizio di archiviazione sicura

Il servizio di archiviazione sicura supporta il mapping sia individuale che per gruppi. Il servizio di archiviazione sicura mantiene un set di credenziali per l'ID applicazione delle risorse archiviate nel database di archiviazione sicura. Le credenziali individuali per un'applicazione vengono recuperate in base all'ID applicazione. Il mapping individuale è utile quando è necessario registrare informazioni sugli accessi individuali alle risorse condivise. Nel mapping per gruppi un livello di sicurezza controlla le credenziali di un gruppo di più utenti del dominio rispetto a un unico set di credenziali per una risorsa identificata da un ID applicazione archiviata nel database di archiviazione sicura. Rispetto al mapping individuale, il mapping per gruppi richiede una manutenzione minore e può offrire prestazioni maggiori.

Servizio di archiviazione sicura e autenticazione attestazioni

Il servizio di archiviazione sicura è un servizio in grado di riconoscere attestazioni. Può accettare token di sicurezza e decrittografarli per ottenere l'ID applicazione e quindi eseguire una ricerca. Quando un servizio token di sicurezza di SharePoint Server 2010 emette un token di sicurezza in risposta a una richiesta di autenticazione, il servizio di archiviazione sicura decrittografa il token e legge il valore dell'ID applicazione. Il servizio di archiviazione sicura utilizza l'ID applicazione per recuperare le credenziali dal database di archiviazione sicura. Le credenziali vengono quindi utilizzate per accedere alle risorse.

See Also

Concepts

Configurare il servizio di archiviazione sicura (SharePoint Server 2010)