Planejar o Serviço de Repositório Seguro (SharePoint Server 2010)

  • Artigo

 

Aplica-se a: SharePoint Server 2010

Tópico modificado em: 2016-11-30

No Microsoft SharePoint Server 2010, o Serviço de Repositório Seguro substitui o recurso de logon único (SSO). O Serviço de Repositório Seguro é um serviço de autorização com reconhecimento de declaração que inclui um banco de dados seguro para armazenamento das credenciais associadas às IDs de aplicativo. Essas IDs podem ser usadas para autorizar acesso a fontes de dados externas.

Neste artigo:

  • Sobre o Serviço de Repositório Seguro

  • Preparação do serviço de repositório seguro

  • IDs de aplicativo

  • Mapeamentos do serviço de repositório seguro

  • Serviço de repositório seguro e autenticação de declaração

Sobre o Serviço de Repositório Seguro

O Serviço de Repositório Seguro é um serviço de autorização executado em um servidor de aplicativos. Ele fornece um banco de dados que se destina a armazenar as credenciais (formada pela identidade do usuário e pela senha) das IDs de aplicativo que podem ser usadas pelos aplicativos para autorizar o acesso a recursos compartilhados. Por exemplo, o SharePoint Server 2010 pode usar o banco de dados de repositório seguro para armazenar e recuperar credenciais de acesso a fontes de dados externas. Tal serviço apresenta suporte para o armazenamento de credenciais de vários sistemas back-end usando diversas IDs de aplicativo.

Preparação do serviço de repositório seguro

Ao preparar a implantação do Serviço de Repositório Seguro, observe estas diretrizes importantes:

  • Execute o Serviço de Repositório Seguro em um pool de aplicativos separado que não seja usado por outro serviço.

  • Execute o Serviço de Repositório Seguro em um servidor de aplicativos separado que não seja usado por outro serviço.

  • Crie o banco de dados de repositório seguro em um servidor de aplicativos separado que execute o SQL Server. Não use a mesma instalação do SQL Server dos bancos de dados de conteúdo.

  • Antes de gerar uma nova chave de criptografia, faça backup do banco de dados de repositório seguro. Faça backup também depois da criação inicial do banco de dados e sempre que as credenciais forem recriptografadas. Durante a geração de uma nova chave, é possível que as credenciais sejam recriptografadas com ela. Se a atualização da chave falhar ou a senha for esquecida, talvez essas credenciais deixem de ser utilizáveis.

  • Faça backup da chave de criptografia depois da configuração inicial do Serviço de Repositório Seguro e repita esse procedimento sempre que gerar novamente a chave.

  • Não armazene a mídia de backup da chave de criptografia no mesmo local que a mídia de backup do banco de dados de repositório seguro. Se um usuário obtiver uma cópia do banco de dados e da chave, as credenciais armazenadas no banco de dados podem ficar comprometidas.

IDs de aplicativo

Cada entrada do Serviço de Repositório Seguro contém uma ID de aplicativo usada para recuperar um conjunto de credenciais a partir do banco de dados de repositório seguro. Cada ID pode ter permissões aplicadas de modo que apenas usuários ou grupos específicos possam acessar as credenciais armazenadas para ele. Os aplicativos usam tais IDs para recuperar as credenciais a partir do banco de dados de repositório seguro em nome do usuário. Desse modo, eles podem usar as credenciais recuperadas e acessar uma fonte de dados.

As IDs de aplicativo são usadas para mapear usuários a conjuntos de credenciais. Há mapeamentos disponíveis para grupos ou pessoas. Em um mapeamento de grupo, cada usuário pertencente a um grupo de domínio específico é mapeado ao mesmo conjunto de credenciais. Em um mapeamento individual, cada usuário é mapeado a um conjunto de credenciais exclusivo.

Mapeamentos do serviço de repositório seguro

O Serviço de Repositório Seguro trabalha com mapeamentos individuais ou de grupo. Mantém um conjunto de credenciais para as IDs de aplicativo dos recursos armazenados no banco de dados de repositório seguro. As credenciais individuais de um aplicativo são recuperadas com base nessa ID. Os mapeamentos individuais são úteis quando você precisa das informações de logon do acesso do usuário individual aos recursos compartilhados. Para mapeamentos de grupo, uma camada de segurança verifica as credenciais do grupo dos diversos usuários do domínio, com base em um único conjunto de credenciais, para um recurso identificado por uma ID de aplicativo armazenada no banco de dados de repositório seguro. Além de os mapeamentos de grupo serem mais fáceis de se manter do que os individuais, ainda podem significar ganho no desempenho.

Serviço de repositório seguro e autenticação de declaração

O Serviço de Repositório Seguro é um serviço com reconhecimento de declaração. Ele pode aceitar tokens de segurança, descriptografá-los (para obter a ID de aplicativo) e realizar a pesquisa. Quando um STS (Serviço de Token de Segurança) do SharePoint Server 2010 emite um token em resposta a uma solicitação de autenticação, o Serviço de Repositório Seguro descriptografa o token e lê o valor da ID de aplicativo. Em seguida, usa essa ID para recuperar as credenciais do banco de dados de repositório do armazenamento seguro. As credenciais, por sua vez, são usadas para autorizar o acesso aos recursos.

See Also

Concepts

Configurar o Serviço de Repositório Seguro (SharePoint Server 2010)