帐户 SSO 配置帐户 说明 ? ? 在 Office SharePoint Server 2007 中设置单一登录服务。 在 Office SharePoint Server 2007 中配置和管理单一登录服务(包括管理加密密钥)。 ? 在 Office SharePoint Server 2007 中创建、修改或删除企业应用程序定义。 SSO 管理员帐户 ? 在 Office SharePoint Server 2007 中配置和管理单一登录服务(包括管理加密密钥)。 ? 在 Office SharePoint Server 2007 中创建、修改或删除企业应用程序定义。 兑换 SSO 票证。在凭据通过中间服务(例如 BizTalk Server)到达企业应用程序定义的方案中,此帐户用于向中间服务提供权限以兑换 SSO 票证。 SSO 服务帐户 企业应用程序管理员帐户 帐户 SSO 配置帐户 在 Windows 中运行单一登录服务。 在 Office SharePoint Server 2007 中创建、修改或删除企业应用程序定义。 要求 ? ? ? ? 必须是用户域帐户。不能是组帐户。 用户帐户必须是服务器场管理员。 必须是加密密钥服务器计算机上的 Administrators 组的成员。 必须是运行 SQL Server 的计算机上的以下 SQL Server 安全角色的成员: ? ? ? SSO 管理员帐户 表。 Dbcreator Securityadmin 必须与 SSO 管理员帐户相同,或是 SSO 管理员帐户的组帐户的成员。 ? 必须是 Windows 全局组或个人用户帐户。不能是域本地组帐户或通讯组列? SSO 服务帐户必须是此用户或此组的成员。 ? ? ? SSO 配置帐户必须是此用户或此组的成员。 必须添加到具有读取权限级别的 SharePoint 管理中心网站。 为管理 SSO 而添加到此组的所有用户必须是加密密钥服务器上的 Administrators 组的成员。不要使此帐户本身成为加密密钥服务器上的 Administrators 组的成员。 SSO 服务帐户 ? ? ? 必须是域用户帐户。不能是组帐户。 必须是 SSO 管理员帐户或作为 SSO 管理员帐户的组帐户的成员。 必须是服务器场中运行 Office SharePoint Server 2007 的所有服务器计算机上的本地组 WSS_Admin_WPG 的成员。 ? 必须是 Office SharePoint Server 2007 配置数据库上的公用数据库角色的成员。 ? 必须是 SSO 数据库所在的 SQL Server 实例上的 Sysadmin 服务器角色的成员。 ? 在安全环境中,不要通过属于本地计算机上的 Administrators 组成员的帐户运行该服务。 注意: 若要更改服务帐户,必须首先备份主密钥,然后在更改服务帐户之后还原主密钥。 企业应用程序管理员帐户 ? ? 必须是全局组帐户或个人用户帐户。此帐户不能是域本地组或通讯组列表。 必须对 SharePoint 管理中心网站具有读取权限级别。 在安全环境中,建议在可能的情况下配置四个不同的帐户并使用一个组帐户。如果对 SSO 配置帐户、SSO 管理员帐户和 SSO 服务帐户使用用户帐户,则必须使用相同的用户帐户。下表提供了有关配置这些帐户的建议。
评估环帐户 SSO 配置帐户 境 服务器场帐户 SSO 管理员帐户 服务器场创建一个专用域组帐户。向此组添加以下内容: 安全环境 使用属于Farm Administrators 组成员的管理员的个人用户帐户。 ? 将用作 SSO 配置帐户的用户帐户。 帐户 ? ? 用于运行单一登录服务的帐户 允许在 Office SharePoint Server 2007 中对单一登录服务进行管理的用户。此外,将这些用户添加到加密密钥服务器上的 Administrators 组中。 兑换 SSO 票证的服务的服务帐户。这些帐户是用于在加密密钥服务器与企业应用程序之间传递凭据的中间服务。 SSO 服务帐户 服务器场帐户 ? ? 使用个人用户帐户。使用与 SSO 配置帐户不同的帐户。 不要将此帐户添加到 Farm Administrators 组中或本地计算机上的 Administrators 组中。 不要使用用于运行 Internet Information Services (IIS) 应用程序池的相同服务帐户。 企业应用程序管理员帐户 服务器场帐户 创建一个专用域组帐户。将允许创建和管理企业应用程序定义的用户添加到此组。 下图显示这些帐户的推荐安全配置。
数据库设置
数据库设置用于创建 SSO 数据库,包括:
? ?
服务器名称 这是数据库服务器计算机的 NetBIOS 名称。不要输入完全限定域名 (FQDN)。 数据库名称 这是 SSO 数据库的名称。
除非提前创建数据库,否则建议保留默认设置。 超时设置
超时设置包括以下内容:
?
票证超时(分钟) 用于设置在 SSO 票证过期之前可经过的分钟数。确保票证超时值足够长,以便可在发出票证的时间与企业应用程序兑换该票证的时间之间持续。建议设置为两分钟以留出足够
的时间兑换票证。如果在两分钟内未兑换票证,则网络问题或其他问题可能会阻止计算机之间的连接。
?
删除早于该时间的审核日志记录 用于设置在删除审核日志中的记录之前保留的天数。
默认超时设置是推荐的起始点。
规划企业应用程序定义设置
此节介绍了企业应用程序定义的规划选择。 工作表操作 使用单一登录企业应用程序定义工作表(该链接可能指向英文页面)(http://go.microsoft.com/fwlink/?linkid=73335&clcid=0x804)(该链接可能指向英文页面)来记录您的规划选择。为计划添加的各个企业应用程序定义填写此工作表。 创建完企业应用程序定义之后,不能修改以下属性:
? ? ?
企业应用程序定义的名称
帐户类型(组或个人、经 Windows 身份验证的组或个人或使用受限帐户的组) 登录帐户信息字段
应用程序和联系人信息
应用程序和联系人信息包括以下设置:
? ?
显示名称 企业应用程序的友好名称。
应用程序名称 企业应用程序的编程名称。这是将用于调用企业应用程序定义的 Web 部件的名称。
?
联系人电子邮件地址 用户可为企业应用程序进行联系的电子邮件地址。
帐户类型
帐户类型是指用于将用户凭据映射到企业应用程序的帐户类型:个人帐户或组帐户。如果每个用户在企业应用程序中均具有帐户,请选择“个人”。如果企业应用程序对所有用户使用一个帐户,请选择“组”。 请注意,安全授权可由企业应用程序或连接到企业应用程序的 Web 部件来执行。安全授权的设置方式会影响企业应用程序所采用的帐户类型。例如,可以使用以下两种方法之一来设置对访问付款存根应用程序中的个人数据的授权:
?
用户自己在付款存根系统中具有访问其付款存根的帐户。在这种情况下,企业应用程序使用个人帐户。
?
用于访问付款存根数据的 Web 部件将执行安全授权。在这种情况下,Web 部件基于用户凭据执行用户授权,付款存根系统对所有用户使用组帐户。因此,在这种情况下,企业应用程序定义使用组帐户。
此外,如果使用组帐户,则可将企业应用程序定义配置为使用特权帐户。如果选择特权帐户,则这些凭据与常规凭据分开存储,并且使用不同的 API 来访问特权凭据。在中间应用程序(例如业务数据目录)对基于凭据检索到的数据实施进一步安全修整的情况下,使用特权帐户。
使用受限凭据的应用程序必须基于通过使用特权凭据返回的数据执行进一步授权和数据修整。服务器场管理员必须确保使用特权帐户的所有应用程序都执行此授权和数据修整。另外,如果没有执行此附加授权和修整的应用程序可以访问特权帐户,则此应用程序可通过使用特权凭据访问本应修整的数据从而危及安全。 仅在以下情况下选择“使用特权帐户的组”:
? ? ? ?
帐户为组帐户。
业务数据目录用于连接到企业应用程序。
连接到企业应用程序的中间应用程序符合特权帐户的使用条款。 数据高度敏感。
身份验证类型
身份验证类型是指 Office SharePoint Server 2007 服务器连接到企业应用程序时所采用的方法:Windows 身份验证或不使用身份验证。此身份验证仅适用于运行 Office SharePoint Server 2007 的服务器登录到企业应用程序时所用的凭据。不影响对用户凭据进行的身份验证。
如果在运行 Windows 的计算机上承载企业应用程序,请选择“Windows 身份验证”。如果在未运行 Windows 的计算机上承载企业应用程序,则保留此设置为空。如果没有使用 Windows 身份验证,则不加密登录凭据。如果选择 Windows 身份验证,而企业应用程序系统不支持 Windows 身份验证,则 SSO 连接将失败。 用户的登录帐户信息
为登录帐户信息提供的字段可确定登录所需的信息。默认情况下,仅指定用户名和密码。您最多可以指定五条必须包括的不同信息。例如,您可以要求 SAP 服务器名称或 SAP 客户端号。在以下情况下,系统将提示用户输入凭据:
? ?
身份验证失败或找不到凭据。
将 Web 部件编程为提示用户输入凭据。
登录帐户信息用于使用个人帐户的企业应用程序定义。不建议对使用组帐户的企业应用程序定义提示输入登录帐户信息。
在此处配置的登录帐户信息必须符合企业应用程序的登录要求。此外,您还必须确定在用户提供这些凭据时,系统是否需要屏蔽这些凭据。
通常,仅需要用户名和密码。某些高度安全的环境可能需要其他用户标识。此外,某些系统可能需要用户的其他信息来标识应用程序。例如,用户可能输入下表中显示的信息来访问 Oracle。