配置 Secure Store Service (SharePoint Server 2010)

 

适用于: SharePoint Server 2010

上一次修改主题: 2017-01-19

本文介绍 Microsoft SharePoint Server 2010 Secure Store Service 操作,解决方案设计者使用这些操作可以创建将用户和组的凭据映射到外部数据源凭据的目标应用程序。通过使用这些目标应用程序,Business Data Connectivity Service 中的外部内容类型将能够与其外部数据源交互,以读取、写入、创建和编辑存储在外部数据源中的数据。有关 Secure Store Service 的概述,请参阅规划 Secure Store Service (SharePoint Server 2010)

在使用 Secure Store Service 创建目标应用程序之前,必须为其提供通行短语,通行短语用于生成对存储在 Secure Store Service 数据库中的凭据进行加密和解密的密钥。如果必须提供初始通行短语,则在打开 Secure Store Service 应用程序实例时将会看到以下消息:“请为此 Secure Store Service 应用程序生成一个新密钥”。

本文内容:

  • 初始化 Secure Store Service 应用程序的实例

  • 刷新加密密钥

  • 生成新的加密密钥

  • 创建目标应用程序

  • 设置目标应用程序的凭据

  • 启用审核日志

备注

可以使用管理中心来完成以下过程。如果要使用 Windows PowerShell,请参阅脚本中心上的使用 PowerShell 配置 Secure Store Service(该链接可能指向英文页面) (http://go.microsoft.com/fwlink/?linkid=207030&clcid=0x804)(该链接可能指向英文页面) 以及 Todd Carter 撰写的博客文章向导喜欢 GUID(该链接可能指向英文页面) (http://go.microsoft.com/fwlink/?linkid=207031&clcid=0x804)(该链接可能指向英文页面) 中的“创建 Secure Store Service 和代理”部分。此外,如果要使用审核日志,则需要使用 New-SPSecureStoreServiceApplication cmdlet 或 Set-SPSecureStoreServiceApplication cmdlet 的 AuditingEnabledAuditlogMaxSize 参数。

初始化 Secure Store Service 应用程序的实例

可以使用功能区的“编辑”组中的命令来初始化 Secure Store Service 应用程序的实例。

初始化 Secure Store Service 应用程序的实例

  1. 确认您拥有以下管理凭据:

    • 您必须是 Secure Store Service 实例的服务应用程序管理员。
  2. 在 Secure Store Service 应用程序的实例中,单击“管理”选项卡。

  3. 在“密钥管理”组中,单击“生成新密钥”。

  4. 在“生成新密钥”页的“通行短语”框中键入通行短语字符串,然后在“确认通行短语”框中键入相同的字符串。

    重要

    通行短语字符串必须至少包含八个字符和以下四个元素中的三个:

    • 大写字符

    • 小写字符

    • 数字

    • 以下任何特殊字符

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    提示

    系统不会存储您输入的通行短语。请务必将其记下并存放在安全的地方。您将需要它来刷新密钥,例如在向服务器场添加新的应用程序服务器时。

  5. 单击“确定”。

在以下情况下,您可能需要刷新加密密钥:

  • 向服务器场添加新的应用程序服务器。

  • 还原以前备份的 Secure Store Service 数据库,而且此后更改了加密密钥。

  • 收到“无法获取主密钥”错误消息。

刷新加密密钥

可以使用功能区的“密钥管理”组中的命令来刷新加密密钥。

刷新加密密钥

  1. 确认您拥有以下管理凭据:

    • 您必须是 Secure Store Service 实例的服务应用程序管理员。
  2. 在 Secure Store Service 应用程序的实例中,单击“管理”选项卡。

  3. 在“密钥管理”组中,单击“刷新密钥”。

  4. 在“通行短语”框中,键入最初用于生成加密密钥的通行短语。

    这是您在初始化 Secure Store Service 应用程序时使用的通行短语,或者是您在使用“生成新密钥”命令创建新密钥时使用的通行短语。

  5. 单击“确定”。

生成新的加密密钥

作为安全预防措施或定期维护工作的一部分,您可能会决定生成新的加密密钥,并在必要时强制依据新的密钥对 Secure Store Service 进行重新加密。

警告

在生成新密钥之前,应备份 Secure Store Service 应用程序的数据库。

生成新的加密密钥

  1. 确认您拥有以下管理凭据:

    • 您必须是 Secure Store Service 实例的服务应用程序管理员。
  2. 在 Secure Store Service 应用程序的实例中,单击“管理”选项卡。

  3. 在“密钥管理”组中,单击“生成新密钥”。

  4. 在“生成新密钥”页的“通行短语”框中键入通行短语字符串,然后在“确认通行短语”框中键入相同的字符串。

    重要

    通行短语字符串必须至少包含八个字符和以下四个元素中的三个:

    • 大写字符

    • 小写字符

    • 数字

    • 以下任何特殊字符

      “! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    提示

    系统不会存储您输入的通行短语。请务必将其记下并存放在安全的地方。您将需要它来刷新密钥,例如在向服务器场添加新的应用程序服务器时。

  5. 要强制对 Secure Store Service 的数据库进行重新加密,请单击“使用新密钥重新加密数据库”。

  6. 单击“确定”。

创建目标应用程序

使用 Secure Store Service 可创建目标应用程序。目标应用程序将用户、组或声明的凭据映射到外部数据源(例如 SQL Server 数据库或 Web 服务)上的一组凭据。创建目标应用程序后,可以将其与外部内容类型或应用程序模型关联,以提供对外部数据源的访问。

创建目标应用程序

  1. 确认您拥有以下管理凭据:

    • 您必须是 Secure Store Service 实例的服务应用程序管理员。
  2. 在 Secure Store Service 应用程序的实例中,单击“管理”选项卡。

  3. 在“管理目标应用程序”组中,单击“新建”。

  4. 在“目标应用程序 ID”框中,键入文本字符串。

    这是 Secure Store Service 应用程序内部用于标识此目标应用程序的唯一字符串。

  5. 在“显示名称”框中,键入文本字符串,它将用于在用户界面中显示目标应用程序的标识符。

  6. 在“联系人电子邮件”框中,键入此目标应用程序的主联系人的电子邮件地址。

    此地址可以是任何合法的电子邮件地址,而不必非得是 Secure Store Service 应用程序管理员的标识。

  7. 在创建类型为“个人”(见下文)的目标应用程序时,可以实现一个自定义网页,让用户添加目标数据源的个人凭据。这样做需要编写自定义代码,以便将凭据传递给目标应用程序。如果已这样做,请在“目标应用程序页 URL”字段中键入此网页的完整 URL。有三个选项:

    • 使用提供的页:任何使用目标应用程序来访问外部数据的网站都会自动添加一个个人注册网页。此网页的 URL 为:http:/<示例网站gt;/_layouts/SecureStoreSetCredentials.aspx?TargetAppId=<目标应用程序 ID>,其中 <目标应用程序 ID> 是在“目标应用程序 ID”框中键入的字符串。通过公布此网页的位置,可以让用户添加外部数据源的凭据。

    • 使用自定义页:您提供自定义网页,用户通过该网页可以提供个人凭据。在此字段中键入自定义页的 URL。

    • :没有注册页。只能由 Secure Store Service 管理员使用 Secure Store Service 应用程序来添加个人凭据。

  8. 在“目标应用程序类型”框中,键入目标应用程序类型:对于组凭据,键入“组”;如果将各个用户映射到外部数据源上唯一的一组凭据,则键入“个人”。

    备注

    可以创建两种主要类型的目标应用程序:

    • “组”类型,对应于将一个或多个组的所有成员映射到外部数据源上的一组凭据。

    • “个人”类型,对应于将各个用户映射到外部数据源上唯一的一组凭据。

  9. 如果外部数据源上的凭据是 Windows 凭据,则选中“Windows”复选框。

    如果外部数据源上的凭据不是 Windows 凭据,则清除此复选框。

  10. 单击“下一步”,配置用于将凭据提交到外部数据源的字段。

  11. 使用“为安全存储目标应用程序指定凭据字段”页,配置向外部数据源提供凭据可能需要用到的不同字段。默认情况下会列出两个字段:“用户名”和“密码”。

    要添加用于向外部数据源提供凭据的其他字段,请在“为安全存储目标应用程序指定凭据字段”页上单击“添加字段”。

    默认情况下,新字段的类型为“通用”。可以使用以下字段类型:

    字段 说明

    通用

    不适合任何其他类别的值。

    用户名

    标识用户的用户帐户。

    密码

    机密的字词或短语。

    PIN

    个人标识号。

    密钥

    一个参数,确定加密算法或加密程序的功能性输出。

    Windows 用户名

    标识用户的 Windows 用户帐户。

    Windows 密码

    针对 Windows 帐户的机密字词或短语。

    • 要更改新字段或现有字段的类型,请单击字段类型旁边的箭头,然后选择新的字段类型。

      备注

      您所添加的每个字段在提交以设置凭据时都需要包含数据。

    • 您可以更改用户在与字段交互时看到的名称。在“为安全存储目标应用程序指定凭据字段”页的“字段名称”列中,通过选择当前文本并键入新文本可更改字段名称。

    • 屏蔽字段后,不会显示用户键入的每个字符,而是代之以屏蔽字符(例如星号“*”)。要屏蔽某字段,请在该页的“是否屏蔽”列中单击该字段的复选框。

    • 要删除某字段,请在该页的“删除”列中单击该字段的删除图标。

    完成凭据字段的编辑时,单击“下一步”。

  12. 在“指定成员资格设置”页中,“目标应用程序管理员”字段中列出了有权管理目标应用程序设置的所有用户。

  13. 如果目标应用程序类型为“组”,则“成员”字段中列出用户组,它们映射到此目标应用程序的一组凭据。

  14. 单击“确定”完成目标应用程序的配置。

设置目标应用程序的凭据

创建目标应用程序后,目标应用程序的管理员可以为其设置凭据。这些凭据将由 Microsoft Business Connectivity Services 和其他服务使用,以提供对外部数据源的访问。如果目标应用程序类型为“个人”,则可以根据需要让个人提供他们自己的凭据。UNRESOLVED_TOKEN_VAL()

设置目标应用程序的凭据

  1. 确认您拥有以下管理凭据:

    • 您必须是 Secure Store Service 实例的服务应用程序管理员。
  2. 在 Secure Store Service 应用程序的实例中,指向目标应用程序标识符,单击出现的箭头,然后在菜单中单击“设置凭据”。

    如果目标应用程序类型为“组”,则键入外部数据源的凭据。根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

    如果目标应用程序类型为“个人”,则键入将映射到外部数据源上一组凭据的个人的用户名,然后键入外部数据源的凭据。根据外部数据源所需的信息,用于设置凭据的字段将有所不同。

启用审核日志

Secure Store Service 的审核条目存储在 Secure Store Service 数据库中。默认情况下禁用审核日志文件。

审核日志条目存储有关 Secure Store Service 操作的信息,包括执行操作的时间、操作是否成功、为什么会失败(如果未成功)、执行操作的 Secure Store Service 用户以及(可选)代表其执行操作的 Secure Store Service 用户。因此,启用审核日志文件的正当理由是:解决身份验证问题。

备注

如果 Secure Store Service 数据库设置为只读,则必须禁用审核日志文件,否则在身份验证过程中将出现以下错误消息:“Secure Store Shared Service 没有响应,因此无法完成此操作。请与管理员联系。”

使用管理中心启用审核日志

  1. 确认执行此过程的用户帐户是 SharePoint 组“Farm Administrators”的成员。

  2. 在管理中心主页上,单击“应用程序管理”。

  3. 在“应用程序管理”页上的“服务应用程序”部分,单击“管理服务应用程序”。

  4. 在“服务应用程序”选项卡上,单击“安全存储”(该类型应该与 Secure Store Service 应用程序关联)。

  5. 在功能区上单击“属性”。

  6. 从“启用审核”部分,单击以选中“审核日志已启用”复选框。

  7. 若要更改从审核日志文件清除条目的天数,请在“清除之前经过的天数”字段中指定天数。默认值为 30 天。

  8. 单击“确定”。