Настройка службы Secure Store в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
В этой статье описывается настройка службы Служба Secure Store в ферме SharePoint Server. При планировании внедрения Служба Secure Store следует учитывать ряд важных аспектов. Обязательно ознакомьтесь с разделом Планирование службы Secure Store в SharePoint Server, прежде чем приступать к процедурам, приведенным в данной статье.
Настройка службы Secure Store в SharePoint Server
Служба Служба Secure Store выполняется с ролями сервера приложений и сервера переднего плана. Это задается автоматически при создании приложения-службы Служба Secure Store.
Чтобы настроить службу Secure Store, выполните указанные ниже действия.
Зарегистрируйте управляемую учетную запись в SharePoint Server для запуска пула приложений Secure Store.
Запустите службу Secure Store на сервере приложений в ферме. (только SharePoint Server 2013)
Создайте приложение службы Secure Store.
Чтобы запустить пул приложений, необходимо иметь стандартную доменную учетную запись. Никаких специальных разрешений для этой учетной записи не требуется. После создания учетной записи в Active Directory, следует выполнить приведенные ниже действия для регистрации учетной записи в SharePoint Server.
Регистрация управляемой учетной записи
На домашней странице веб-сайта Центра администрирования SharePoint на панели навигации слева выберите Безопасность.
На странице "Безопасность" в разделе Общая безопасность щелкните Настройка управляемых учетных записей.
На странице "Управляемые учетные записи" выберите Регистрация управляемой учетной записи.
В поле Имя пользователя введите имя учетной записи.
В поле Пароль введите пароль для учетной записи.
Если необходимо, чтобы обработка изменения пароля учетной записи выполнялась в SharePoint Server, установите флажок Разрешить автоматическую смену пароля и укажите параметры изменения пароля, которые следует использовать.
Нажмите кнопку ОК.
Если у вас SharePoint Server 2013, запустите службу Secure Store на сервере приложений в ферме. Если у вас SharePoint Server 2016, эту службу автоматически запустит MinRole.
Запуск службы Secure Store (SharePoint Server 2013)
На домашней странице Центра администрирования в разделе Параметры системы щелкните элемент Управление службами на сервере.
Над списком Служба откройте раскрывающийся список Сервер и выберите Изменить сервер.
Выберите сервер приложений, на котором следует запустить службу Secure Store.
В списке Служба нажмите кнопку Запустить, расположенную рядом с элементом Служба Secure Store.
Далее можно приступать к созданию приложения службы Secure Store. Для этого выполните следующую процедуру:
Создание приложения службы Secure Store
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
На странице «Управление приложениями-службами» нажмите кнопку Создать и выберите Служба Secure Store.
В поле Имя приложения-службы введите имя приложения-службы (например, Служба Secure Store).
В поле Сервер базы данных введите экземпляр SQL Server, в котором следует создать базу данных Secure Store.
Примечание.
Так как база данных Secure Store содержит конфиденциальные данные, рекомендуется развернуть базу данных Secure Store на другом экземпляре SQL Server, не содержащем базы данных SharePoint Server.
Выберите параметр Создать пул приложений и введите в текстовом поле имя пула приложений.
Выберите в раскрывающемся списке параметр Настраиваемые, выберите учетную запись, для которой ранее была создана управляемая учетная запись.
Нажмите кнопку ОК.
Служба Secure Store настроена. Следующим шагом является создание ключа шифрования для обеспечения безопасности базы данных Secure Store.
Работа с ключами шифрования Secure Store
Перед использованием службы Secure Store необходимо создать ключ шифрования. Ключ используется для шифрования и расшифровки учетных данных, которые сохраняются в базе данных службы Secure Store.
Создание ключа шифрования
При первом доступе к приложению-службе Secure Store единственным доступным параметром является создание нового ключа шифрования. После создания ключа становятся доступными прочие функциональные возможности Secure Store.
Создание ключа шифрования
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
Выберите приложение-службу Secure Store.
В группе Управление ключами щелкните Создать новый ключ.
На странице Создание нового ключа введите строку с парольной фразой в поле Парольная фраза, затем введите ту же строку в поле Подтверждение парольной фразы. Эта парольная фраза используется для шифрования базы данных Secure Store.
Важно!
Строка парольной фразы должна содержать не менее восьми символов и должна содержать по крайней мере три из следующих четырех элементов: > прописные символы строчных регистров >> Числовые > числа Любой из следующих специальных символов > "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.
Важно!
[!Важно!] Вводимая парольная фраза не будет сохранена. Запишите ее и сохраните в безопасном расположении. Потребуется обновить ключ, например при добавлении нового сервера приложений в ферму серверов.
Нажмите кнопку ОК.
По соображениям безопасности или при проведении планового обслуживания можно создать новый ключ шифрования и затем выполнить повторное шифрование службы безопасного хранения с использованием нового ключа. Для этого можно воспользоваться той же процедурой.
Предостережение
Перед созданием нового ключа необходимо создать резервную копию базы данных приложения-службы безопасного хранения.
Обновление ключа шифрования Secure Store
Обновление ключа безопасности распространяет ключ на все серверы приложений фермы. Может понадобиться обновить ключ безопасности, если выполняется одно из следующих условий.
Добавление нового сервера приложений в ферму серверов.
Восстановление резервной копии базы данных службы безопасного хранения, если ключ шифрования был изменен после создания резервной копии.
Появление сообщения об ошибке «Не удалось получить главный ключ».
Обновление ключа шифрования
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
Выберите приложение-службу Secure Store.
В группе Управление ключами нажмите кнопку Обновить ключ.
В поле ** Парольная фраза ** введите парольную фразу, которую вы использовали для создания ключа шифрования.
В данном случае парольная фраза это фраза, используемая при инициализации приложения-службы безопасного хранения, или парольная фраза, используемая при создании нового ключа с помощью команды Создать новый ключ.
Нажмите кнопку ОК.
Хранение учетных данных в Secure Store
Хранение учетных данных в Secure Store выполняется с помощью целевого приложения Secure Store. Целевое приложение сопоставляет учетные данные пользователя, группы или утверждения с набором зашифрованных учетных данных, хранящихся в базе данных Secure Store. После создания целевого приложения его можно связать с внешним типом контента или моделью приложения или использовать со службой бизнес-аналитики, такой как Excel Online или службы Visio, для предоставления доступа к внешнему источнику данных. Когда приложение-служба SharePoint Server вызывает целевое приложение, Secure Store подтверждает, что пользователь, выполняющий запрос, является авторизованным пользователем целевого приложения, а затем получает зашифрованные учетные данные. Затем эти учетные данные используются от имени пользователя приложением службы SharePoint Server.
Чтобы создать конечное приложение, необходимо выполнить указанные ниже действия.
Создайте само конечное приложение, указав тип учетных данных, которые следует хранить в базе данных Secure Store, администраторов этого конечного приложения и владельцев учетных данных.
Укажите учетные данные, которые следует сохранить.
Создание конечного приложения
Конечные приложения настраиваются на странице «Приложение-службы Secure Store» в Центре администрирования. Для создания конечного приложения используйте следующую процедуру.
Создание конечного приложения
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
Выберите приложение-службу Secure Store.
В группе Управление конечными приложениями нажмите кнопку Создать.
В поле Идентификатор конечного приложения введите текстовую строку.
Это уникальная строка, которая используется во внешней среде для идентификации этого конечного приложения.
В поле Отображаемое имя введите текстовую строку, которая будет использоваться для отображения идентификатора конечного приложения в пользовательском интерфейсе.
В поле Контактный адрес электронной почты введите адрес электронной почты основного контактного лица для этого конечного приложения.
В качестве адреса электронной почты можно использовать любой допустимый адрес, не идентифицирующий администратора приложения-службы безопасного хранения.
При создании целевого приложения типа Individual (см. ниже) можно реализовать пользовательскую веб-страницу, которая позволяет пользователям добавлять отдельные учетные данные для целевого источника данных. Для этого требуется, чтобы пользовательский код передавал учетные данные целевому приложению. Если вы сделали это, введите полный URL-адрес этой страницы в поле URL-адрес целевой страницы приложения . Существует три варианта:
Использование страницы по умолчанию. На всех веб-сайтах, использующих целевое приложение для доступа к внешним данным, будет автоматически добавлена отдельная страница регистрации. URL-адрес этой страницы будет http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx? TargetAppId=<TargetApplicationID>, где <TargetApplicationID> — это строка, введенная в поле Идентификатор целевого приложения . После публикации расположения этой страницы пользователи смогут добавлять свои учетные данные для внешнего источника данных.
Использовать специальную страницу пользователи вводят учетные данные на специальной веб-странице. Введите URL-адрес специальной страницы в этом поле.
Нет страница регистрации отсутствует. Учетные данные отдельных пользователей добавляются только администратором службы безопасного хранения с помощью приложения-службы безопасного хранения.
В раскрывающемся списке Тип конечного приложения выберите тип конечного приложения: Групповое для учетных данных групп или Индивидуальное для сопоставления учетных записей отдельных пользователей уникальному набору учетных данных во внешнем источнике данных.
Примечание.
Существует два основных типа для создания целевого приложения: > Group, для сопоставления всех членов одной или нескольких групп с одним набором учетных данных во внешнем источнике данных. > Индивидуальный для сопоставления каждого пользователя с уникальным набором учетных данных во внешнем источнике данных.
Нажмите кнопку Далее.
На странице Укажите поля учетных данных для конечного приложения службы безопасного хранения можно настроить различные поля, которые могут потребоваться для указания учетных данных для внешнего источника данных. Два поля указываются по умолчанию: Имя пользователя Windows и Пароль Windows
Чтобы добавить дополнительные поля для отправки учетных данных внешнему источнику данных, на странице Укажите поля учетных данных для конечного приложения службы безопасного хранения щелкните Добавить поле.
По умолчанию в качестве типа нового поля используется Общий. Доступные типы перечислены в следующей таблице.
| Поле | Описание |
|---|---|
| Универсальный |
Значения, которые не соответствуют ни одной из перечисленных ниже категорий. |
| Имя пользователя |
Учетная запись, идентифицирующая пользователя. |
| Password |
Секретное слово или фраза. |
| PIN-код |
Персональный идентификационный номер. |
| Ключ |
Параметр, определяющий алгоритм шифрования или шифр. |
| Имя пользователя Windows |
Учетная запись, идентифицирующая пользователя Windows. |
| Пароль Windows |
Секретное слово или фраза для учетной записи Windows. |
| Сертификат |
Сертификат. |
| Пароль сертификата |
Пароль для сертификата. |
Чтобы изменить тип нового или существующего поля, щелкните стрелку рядом с типом поля и затем выберите новый тип поля.
Примечание.
Каждое добавляемое поле обязано иметь данные при указании учетных данных для конечного приложения.
Имя, которое видит пользователь при работе с полем, можно изменить. В столбце Имя поля страницы Укажите поля учетных данных для конечного приложения службы безопасного хранения измените имя поля посредством выбора текущей записи и ввода нового текста.
Если поле скрыто, вводимые пользователем символы не отображаются, а заменяются символом, например звездочкой (*). Чтобы скрыть поле, установите флажок для этого поля в столбце Скрыт.
Чтобы удалить поле, щелкните значок удаления для этого поля в столбце Удалить.
После завершения редактирования полей с учетными данными нажмите кнопку Далее.
На странице Укажите параметры членства в поле Администраторы конечного приложения перечислите всех пользователей, имеющих доступ к управлению параметрами конечного приложения.
Если в качестве типа конечного приложения выбрано "Групповое", в поле Члены перечислите группы пользователей, сопоставляемые набору учетных данных для этого конечного приложения.
Чтобы завершить настройку конечного приложения, нажмите кнопку ОК.
Задание учетных данных для конечного приложения Secure Store
После завершения создания конечного приложения администратор приложения может задать для него учетные данные. Эти учетные данные будут использоваться вызывающим приложением для предоставления доступа к внешнему источнику данных. Если в качестве типа конечного приложения выбрано "Индивидуальное", можно разрешить пользователям указывать собственные учетные данные.
Настройка учетных данных для конечного приложения
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
Выберите приложение-службу Secure Store.
В списке конечных приложений выберите конечное приложение, для которого необходимо задать учетные данные, щелкните появившуюся стрелку, а затем в меню щелкните Задать учетные данные.
Если в качестве типа конечного приложения выбрано "Групповое", введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника данных, поля, используемые при задании учетных данных, будут отличаться.
Если в качестве типа конечного приложения выбрано "Индивидуальное", введите имя пользователя, которое будет сопоставлено набору учетных данных во внешнем источнике данных, а также введите учетные данные для внешнего источника данных. В зависимости от сведений, необходимых для внешнего источника, поля, используемые при задании учетных данных, будут отличаться.
Нажмите кнопку ОК.
После определения учетных данных для конечного приложения оно может использоваться службой SharePoint Server, такой как Business Connectivity Services, Службы Excel или службы Visio.
Включение журнала аудита службы Secure Store
Записи аудита службы безопасного хранения хранятся в базе данных службы безопасного хранения. По умолчанию файл журнала аудита отключен.
В записи журнала аудита хранятся сведения о действии службы безопасного хранения, включая сведения о времени его выполнения, о том, было ли оно выполнено успешно, о причине сбоя, если оно не было выполнено успешно, о выполнившем его пользователе службы безопасного хранения и при необходимости о пользователе службы безопасного хранения, от имени которого оно было выполнено. Поэтому допустимой причиной включения файла журнала аудита является устранение неполадок с проверкой подлинности.
Включение журнала аудита с помощью центра администрирования
На домашней странице центра администрирования в разделе Управление приложениями выберите Управление приложениями-службами.
Выберите приложение-службу Secure Store. (То есть выберите приложение-службу, но не щелкайте ссылку для перехода на страницу параметров приложения-службы Store Service.)
На ленте щелкните элемент Свойства.
В разделе Включить аудит выберите поле Журнал аудита включен.
Чтобы изменить число дней, по истечении которого записи очищаются из файла журнала аудита, укажите значение в поле Дней до очистки. Значение по умолчанию 30 дней.
Нажмите кнопку ОК.