在此字段中 字段 1 字段 2 字段 3 输入此信息 Oracle 用户名 Oracle 用户密码(为“掩码”选项选择“是”) Oracle 数据库名称 用户可能输入下表中显示的信息来访问 SAP 应用程序。 在此字段中 字段 1 字段 2 字段 3 字段 4 字段 5 企业应用程序的帐户信息
如果使用组帐户来连接到企业应用程序,则需要提供帐户凭据。在添加企业应用程序定义之后,SSO 管理员或企业应用程序管理员帐户成员通过在管理中心网站上单击“管理企业应用程序定义的帐户信息”来指定用于连接到外部服务器计算机的帐户名和密码。 工作表操作 使用单一登录企业应用程序定义工作表(该链接可能指向英文页面)(http://go.microsoft.com/fwlink/?linkid=73335&clcid=0x804)(该链接可能指向英文页面)来记录组帐户的名称。 在管理中心网站中输入帐户信息的管理员还必须知道组帐户的密码。
如果使用个人帐户来连接到企业应用程序,则无需在管理中心网站中输入帐户信息。
输入此信息 SAP 用户名 SAP 密码(为“掩码”选项选择“是”) SAP 系统号 SAP 客户端号 语言 规划 SSO 操作
管理加密密钥
在加密用于 SSO 的凭据的过程中,使用加密密钥。该密钥帮助解密存储在 SSO 数据库中的加密凭据。第一次在管理中心的“管理单一登录的服务器设置”页上配置 SSO 和企业应用程序定义时,会自动创建加密密钥。对加密密钥的管理包括审核加密密钥和重新生成加密密钥。 审核加密密钥
您可以启用对加密密钥所做更改的审核。如果读取或写入该密钥,则会在安全日志中记录安全事件。您可以使用事件查看器来查看安全日志。启用日志记录包括:
?
修改 SSO 注册表项。
?
在组策略对象编辑器中创建一个本地计算机策略。
重新生成加密密钥
因为加密密钥保护安全凭据,所以您应该定期(例如每 90 天)重新生成密钥。如果泄露了帐户凭据,则您也应该重新生成加密密钥。
重新加密过程是一个长期执行的操作。建议您在非高峰期间更改加密密钥。重新加密加密密钥会对 SSO 环境产生以下影响:
? ?
在重新加密过程中,不允许写入操作(例如,更新凭据和更改企业应用程序定义)。 读取操作(例如检索凭据)继续照常运行。
您必须在本地登录到加密密钥服务器才能重新加密加密密钥。您还必须是 SSO 管理员帐户的成员。 如果在重新加密过程中重新启动了加密密钥服务器或加密密钥服务器上的单一登录服务停止,则应该在事件日志中查找错误。如果事件日志报告错误,则必须重新启动重新加密过程。如果以任何方式取代了重新加密过程,则必须重新运行此过程。如果取代了重新加密过程,则此过程会还原回其原始状态。 在创建加密密钥时,可以选择使用新密钥重新加密现有凭据。如果没有使用新的加密密钥重新加密现有凭据,则用户必须为个人企业应用程序定义重新键入其凭据,而组企业应用程序定义的管理员必须重新键入组凭据。
当您重新加密单一登录服务凭据存储时,将在 Microsoft Windows Server 2003 应用程序事件日志中记录事件。在启动重新加密之后,您可以监视应用程序事件日志,以验证是否已重新加密凭据存储。在启动重新加密时,将在应用程序事件日志中记录事件 ID 1032。在重新加密结束时,将在应用程序事件日志中记录事件 ID 1033。如果在重新加密过程中出现任何失败,则会在日志中记录事件。 在决定管理加密密钥的规划选择时,请考虑以下方面:
? ? ?
计划每隔多长时间重新加密一次加密密钥? 是否应同时使用新的加密密钥重新加密现有凭据? 在哪些其他情况下,需要重新加密加密密钥?
工作表操作 使用单一登录服务器场设置工作表(该链接可能指向英文页面)(http://go.microsoft.com/fwlink/?linkid=73336&clcid=0x804)(该链接可能指向英文页面)来记录您的规划选择。 备份 SSO 环境
备份 SSO 环境包括备份以下两个单独的实体:
? ?
加密密钥 SSO 数据库
您应该在最初设置 SSO 之后备份加密密钥,然后在每次重新生成加密密钥时再次备份该密钥。无需按固定时间间隔备份加密密钥,除非该时间间隔与重新生成加密密钥相关。不能远程备份加密密钥。您必须是 SSO 管理员帐户的成员并在本地登录到加密密钥服务器才能备份加密密钥。只能将加密密钥备份到可移动存储媒体中,不能将其备份到本地硬盘上。可以从管理中心的“管理加密密钥”页中备份加密密钥。 您应该在最初创建 SSO 数据库之后对其进行备份,然后在每次重新加密凭据时再次对其进行备份。此外,您可以在服务器场的定期安排的数据库备份中包含 SSO 数据库备份。定期安排的备份将包括对 SSO 数据库进行的其他更改(例如,新的企业应用程序定义和更新的凭据)。
不要将加密密钥的备份媒体与 SSO 数据库的备份媒体存放在相同的位置。如果用户同时获得数据库和密钥的副本,则存储在数据库中的凭据可能会泄露。理想情况下,应将加密密钥的备份锁在一个安全的地方。 在您决定备份 SSO 环境的规划选择时,请考虑以下方面:
? ?
备份加密密钥的时间间隔。
备份 SSO 数据库的规划。最有效的规划是包括 SSO 数据库和定期服务器场备份。
工作表操作 使用单一登录服务器场设置工作表(该链接可能指向英文页面)(http://go.microsoft.com/fwlink/?linkid=73336&clcid=0x804)(该链接可能指向英文页面)来记录您的规划选择。 还原 SSO 环境
有几种情况需要还原 SSO 环境。在某些情况下,仅需要还原加密密钥或仅需要还原 SSO 数据库。下表描述了几种还原情况并指出需要还原的内容。 情况 将加密密钥服务器角色移动到不同的服务器计算机上。 更改 SSO 服务帐户。 还原失败的数据库服务器计算机。 将 Office SharePoint Server 2007 服务器场迁移到一组不同的服务器计算机。 从整个服务器场灾难中恢复。 要还原的内容 加密密钥 加密密钥 SSO 数据库 加密密钥和 SSO 数据库 加密密钥和 SSO 数据库 此节的其余部分将详细介绍还原 SSO 环境所涉及的特定任务,具体取决于相关情况。 若要将加密密钥服务器角色移动到不同的服务器计算机,请按照以下步骤操作: 将加密密钥服务器角色移动到不同的服务器计算机
1. 备份加密密钥。
2. 在服务器场中的所有计算机上禁用单一登录服务。 3. 登录到新的加密密钥服务器。 4. 启动单一登录服务。
5. 在管理中心网站中配置 SSO 服务器场级设置。指定现有的 SSO 数据库。 6. 还原加密密钥。
7. 在服务器场中的所有 Web 服务器计算机上启动单一登录服务。 更改 SSO 服务帐户
SSO 服务帐户的安全标识符 (SID) 用作加密 SSO 凭据的公式的一部分。因此,若要更改 SSO 服务帐户,您必须重新配置 SSO 环境。请按照以下步骤更改 SSO 服务帐户: 更改 SSO 服务帐户
1. 备份加密密钥。
2. 在服务器场中运行单一登录服务的所有服务器计算机上,使用新的服务帐户重新配置该服务。 3. 在管理中心网站中使用新的 SSO 服务帐户重新配置 SSO 服务器场级设置。指定现有的 SSO
数据库。 4. 还原加密密钥。
5. 重新加密 SSO 数据库中的凭据。还原的加密密钥用于重新加密这些凭据。 仅还原 SSO 数据库服务器
如果承载 SSO 数据库的服务器计算机失败,则仅需要还原 SSO 数据库。通过使用在 Office
如果将 SSO 数SharePoint Server 2007 环境中用于还原任何其他数据库的相同方法来还原该数据库。
据库还原到不同的服务器计算机,请使用新的数据库服务器计算机的名称重新配置 SSO 服务器场级设置。
还原整个 SSO 环境
在一些情况下需要同时还原加密密钥和 SSO 数据库。请按照以下步骤还原整个 SSO 环境: 还原整个 SSO 环境
1. 将 SSO 数据库还原到预定的数据库服务器计算机。
2. 按照配置新的 SSO 环境的过程设置和配置 SSO,不需要输入现有 SSO 数据库的服务器名称
和数据库名称。
3. 将加密密钥还原到新的 SSO 环境。 响应 SSO 安全威胁
安全威胁可包括备份媒体丢失、密码泄露或其他可能潜在威胁存储在 SSO 数据库中的凭据或存储在企业应用程序中的数据的事件。如果您遇到可能潜在影响您的 SSO 环境的安全威胁,请执行以下操作来响应此威胁: 响应安全威胁
1. 重新生成加密密钥。
2. 使用新的加密密钥来重新加密 SSO 数据库中的凭据。 3. 如果密码可能受到威胁,请更改企业应用程序的密码。 4. 如果用户的密码可能受到威胁,请鼓励他们更改其密码。
如果潜在的安全威胁很严重,则可以停止单一登录服务,以立即停止访问 SSO 数据库中存储的凭据。如果需要停止单一登录服务,则可以按照以下步骤将该服务安全还原到现有 Office SharePoint Server 2007 服务器场:
将单一登录服务还原到现有服务器场
1. 将 SSO 环境还原到独立的服务器计算机。 2. 重新生成加密密钥。
3. 重新加密 SSO 数据库中的凭据。 4. 备份 SSO 环境。
5. 将 SSO 环境还原到现有 Office SharePoint Server 2007 服务器场。
工作表
使用下面的工作表来规划单一登录:
?
单一登录企业应用程序定义工作表(该链接可能指向英文页面)
(http://go.microsoft.com/fwlink/?linkid=73335&clcid=0x804)(该链接可能指向英文页面)
?
单一登录服务器场设置工作表(该链接可能指向英文页面)
(http://go.microsoft.com/fwlink/?linkid=73336&clcid=0x804)(该链接可能指向英文页面)
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
?
Office SharePoint Server 2007 的规划和体系结构 - 第 2 部分(该链接可能指向英文页面)