《Sharepoint规划单点登录.doc》由会员分享,可在线阅读,更多相关《Sharepoint规划单点登录.doc(27页珍藏版)》请在金锄头文库上搜索。
1、规划单一登录更新: 2009-04-23本文内容: 关于单一登录 常用 SSO 方案 Office SharePoint Server SSO 体系结构 规划服务器场级 SSO 设置 规划企业应用程序定义设置 规划 SSO 操作 工作表 利用本文来规划在 Microsoft Office SharePoint Server 2007 中使用单一登录 (SSO)。本文介绍在安全环境中配置 SSO 的方式(包括如何使用 SSO 连接到后端数据系统)。关于单一登录Office SharePoint Server 2007 中的 SSO 功能将用户凭据映射到后端数据系统。通过 SSO,您可以访问 Of
2、fice SharePoint Server 2007 外部的服务器计算机和服务中的数据。您可以从 Office SharePoint Server 2007 Web 部件内查看、创建和更改此数据。SSO 功能可确保: 安全地管理用户凭据。 执行在外部数据源上配置的用户权限级别。 当用户在 Office SharePoint Server 2007 内查看外部数据源中的数据时,系统不会提示用户重新输入其凭据。 Office SharePoint Server 2007 可以连接到多个外部数据系统,无论平台要求和身份验证要求是什么。SSO 需要使用用户帐户的 Windows 凭据。在 Web S
3、SO 用于对用户帐户进行身份验证的环境中,仅当调用 SSO 应用程序编程接口 (API) 的当前线程具有与其关联的 Windows 标识时,才能使用 SSO。常用 SSO 方案SSO 主要用于商业智能方案。在 Office SharePoint Server 2007 中,很多功能都依赖 SSO,这些功能包括: 业务数据目录 Excel Services InfoPath Forms Services 业务数据 Web 部件 KPI Web 部件 Microsoft Office SharePoint Designer 数据表单 Web 部件 业务数据搜索 列表中的业务数据此外,您还可以引入用
4、于连接到外部数据源的自定义 Web 部件(包括那些基于除 Windows 之外的操作系统的 Web 部件)。例如,您可以连接到以下企业应用程序: SAP 业务信息仓库 Siebel 电子商务应用程序 Microsoft BizTalk Server有关商业智能方案的详细信息,请参阅规划商业智能。Office SharePoint Server SSO 体系结构此节介绍如何在 Office SharePoint Server 2007 中实现 SSO。Microsoft Single Sign-On ServiceOffice SharePoint Server 2007 中的 SSO 功能使用
5、 Microsoft Single Sign-On Service (SSOSrv)。下图演示如何在 Office SharePoint Server 2007 服务器场中实现单一登录服务。1. SSO 加密密钥服务器 启用单一登录服务的第一台服务器计算机将成为加密密钥服务器。加密密钥服务器将生成并存储加密密钥。加密密钥用于对存储在 SSO 数据库中的凭据进行加密和解密。加密密钥服务器应该是应用程序服务器计算机(例如索引服务器)。2. 单一登录服务 必须将此服务安装在服务器场中的所有 Web 服务器计算机上。此外,还必须将此服务安装在承载 Excel Services 应用程序服务器角色的任何
6、计算机上。如果使用了业务数据目录搜索功能,则还必须将此服务安装在索引服务器上。3. SSO 数据库 当您在管理中心网站中配置 SSO 服务器设置时,Office SharePoint Server 2007 将在承载配置数据库的数据库服务器计算机上创建一个 SSO 数据库。如果安装了 Microsoft SQL Server,则 SSO 数据库是 SQL Server 数据库。如果未安装 SQL Server,则单一登录服务将使用 SQL Server 2005 Express Edition。SSO 数据库存储加密凭据。注意: 如果要从以前版本的 SharePoint Portal Serv
7、er 升级,则必须重新创建 SSO 环境(包括新建一个 SSO 数据库)。无法将 SSO 迁移或升级到 Office SharePoint Server 2007。企业应用程序定义在 SSO 环境中,后端外部数据源和系统称为企业应用程序。配置完 SSO 环境之后,您即可创建企业应用程序定义。管理员为 Office SharePoint Server 2007 所连接的每个企业应用程序配置一个相应的企业应用程序定义。也可以为同一物理企业应用程序配置多个企业应用程序定义,以保护可对其进行访问的不同组的安全。企业应用程序定义将定义如下内容: 企业应用程序标识(显示名称、编程名称和联系人电子邮件地址)
8、。 映射到企业应用程序的用户帐户的类型。这取决于企业应用程序(在某些情况下指 Web 部件)是基于个人帐户还是基于组帐户执行权限。 从用户收集的凭据的类型(用户名、密码或其他凭据,例如智能卡)。 供 Office SharePoint Server 2007 Web 部件用来连接到企业应用程序的帐户。单一登录功能支持多个 Web 部件访问不同企业应用程序的方案。不同企业应用程序均可以使用不同类型的身份验证。企业应用程序还可以基于除 Windows 以外的操作系统。SSO 票证在用户与各种系统和应用程序进行交互的企业环境中,该环境很可能没有保留涵盖多个流程、产品和计算机的用户上下文。因为需要验证
9、发出原始请求的用户,所以此用户上下文对提供单一登录功能至关重要。在多个服务器参与将凭据从加密密钥服务器传递到企业应用程序的方案中,单一登录服务将提供 SSO 票证(而非 Kerberos 票证)。这些服务器使用此票证来获取与发出原始请求的用户相对应的凭据。例如,可能将工资单环境配置为通过 BizTalk Server 访问 SAP 系统中的数据。如果 Web 部件连接到了 SAP 系统,则会通过 BizTalk Server 计算机传送凭据。在 SSO 环境中,Web 部件将 SSO 票证发送至连接到 SAP 系统的 BizTalk Server 计算机上的服务。如果用户属于在企业应用程序定义
10、中指定的某个帐户或组帐户,则该服务将 SSO 票证兑换为 SAP 系统的凭据。若要使 BizTalk Server 计算机上的该服务可以兑换 SSO 票证,必须将该服务所使用的帐户添加到 SSO Administrators 组中。当 Windows 用户请求票证时或当应用程序代表用户请求票证时,单一登录服务将发出票证。单一登录服务只能为发出请求的用户发出票证(您不能为其他用户请求票证)。票证包含当前用户的加密域和用户名,以及票证过期时间。企业应用程序验证完原始请求者的身份之后,该应用程序将兑换票证以获取发出请求的用户的凭据。默认情况下,票证在两分钟后过期。SSO 管理员可以修改票证的过期时间
11、。票证超时值必须足够长,以可在发出票证的时间与兑换票证的时间之间持续。SSO 管理管理 SSO 涉及两种类型的管理员: SSO 管理员 这些管理员负责设置和配置 SSO、管理 SSO 帐户、备份加密密钥以及创建和更改加密密钥。出于安全方面的考虑,要求 SSO 管理员在本地登录到加密密钥服务器以设置、配置和管理 SSO。禁止 SSO 管理员从远程服务器计算机管理 SSO 服务器设置。 企业应用程序定义管理员 这些管理员负责创建和管理企业应用程序定义,以及更新用于访问企业应用程序的帐户和凭据。这些管理员可远程管理企业应用程序定义。将在下文中详细介绍 SSO 管理员的特定帐户和权限。 网络依赖性在
12、Office SharePoint Server 2007 服务器场中,单一登录服务依赖 NetBIOS 名称在加密密钥服务器与数据库服务器计算机之间进行通信。如果未向数据库服务器计算机提供 NetBIOS 名称解析功能,则 SSO 配置将失败。规划服务器场级 SSO 设置此节介绍服务器场级设置的规划选择。这些规划选择包括: 决定哪台服务器计算机将承载 SSO 加密密钥服务器角色。 设置 SSO 帐户并确保这些帐户是使用适当权限创建的。 记录为在管理中心的“管理单一登录的服务器设置”页上配置的服务器场级设置作出的决定。 工作表操作 使用单一登录服务器场设置工作表(该链接可能指向英文页面)(ht
13、tp:/ 加密密钥服务器确定服务器场中哪台计算机将承载 SSO 加密密钥服务器角色。推荐的配置是选择一台应用程序服务器计算机(例如索引服务器),理由如下: 运行单一登录服务的所有服务器计算机必须能够通过网络与加密密钥服务器进行通信。当使用包含多台 Web 服务器计算机的服务器场时,一些负载平衡技术不允许 Web 服务器互相通信。 应用程序服务器计算机不由最终用户直接访问,它们通常受到附加安全层的保护。例如,经常实施安全协议(例如 IPsec 或 SSL)来保护服务器场内服务器到服务器的通信安全。此外,某些服务器场拓扑结构还在 Web 服务器计算机与应用程序服务器计算机之间实施附加路由器或防火墙
14、。必须在承载 Excel Services 角色的任何应用程序服务器计算机上安装单一登录服务。如果使用业务数据目录搜索功能,则还必须在索引服务器上安装单一登录服务。这些要求使这些服务器计算机中的每台均成为加密密钥服务器角色的好选择。确保 SSO 管理员可在本地登录到加密密钥服务器。此外,通过确保以下各项来确保 Internet Explorer 中的安全设置不会阻止对 SSO 的管理: 选择了默认选项“只在 Intranet 区域自动登录”。(为此,在“工具”菜单上,依次单击“Internet 选项”、“安全”选项卡和“自定义级别”按钮,然后在“安全设置”对话框中,转到“用户身份验证”部分。)
15、 未选择“用户名和密码提示”。SSO 帐户设置、运行和管理 SSO 系统需要四个不同的帐户: SSO 配置帐户 SSO 管理员帐户 SSO 服务帐户 企业应用程序管理员帐户在评估环境中,可以对这些帐户中的每个帐户均使用服务器场帐户。但是,在安全环境中,您应该考虑使用哪些帐户,以及如何配置这些帐户。此节详细介绍了帐户要求并提供了有关在安全环境中配置这些帐户的建议。设置、运行和管理 SSO 系统所需的四个帐户实现了角色分隔和权限隔离。下表列出了这些帐户并介绍了使用这些帐户所执行的操作。帐户说明SSO 配置帐户 在 Office SharePoint Server 2007 中设置单一登录服务。 在 Office SharePoint Server 2007 中配置和管理单一登录服务(包括管理加密密钥)。 在 Office SharePoint Server 2007 中创建、修改或删除企业应用程序定义。SSO 管理员帐户 在 Office SharePoint Server 2007 中配置和管理单一登录服务(包括管理加密密钥)。 在 Office Sh
