SharePoint не был задуман как продукт, функционирующий в одиночку. Многие его компоненты позволяют интегрировать в SharePoint данные или функции внешних систем. В нем есть несколько интерфейсов API, обеспечивающих интеграцию с веб-службами и службами Business Connectivity Services, чтобы охватить данные из других источников.
Большинство компаний сочетают SharePoint с проверкой подлинности Windows, и пользователям не приходится даже вводить учетные данные для регистрации в SharePoint.
Но как предоставить пользователю SharePoint возможность регистрации в другой системе для доступа к какой-либо функции? Существует ли механизм вроде единой процедуры регистрации (SSO), благодаря которому пользователь будет избавлен от необходимости многократно вводить учетные данные для одной и той же службы?
Единая процедура регистрации появилась в Microsoft Office SharePoint Portal Server 2003 и была усовершенствована в SharePoint Server 2007. С ее помощью можно получать информацию из внешних систем, таких как планирование ресурсов предприятия (ERP) или связи с клиентами (CRM), лишь однажды выполнив регистрацию через SharePoint. Затем SharePoint сохраняет учетные данные и исключает их повторные запросы при последующих попытках доступа к этим службам. Служба Secure Store Service появилась в качестве замены функции SSO в Secure SharePoint 2010. Помимо прочего, она обеспечивает возможность для пользователей корпоративной сети SharePoint компании обращаться к системе управления трудовыми ресурсами (HRMS) на другой платформе.
Администраторы корпоративной сети SharePoint — это не администраторы HRMS. В данном случае сотрудникам отдела кадров требуются повышенные привилегии; им нужно предоставить право просматривать информацию о каждом работнике. Все остальные сотрудники любых других подразделений — просто члены HRMS, которым разрешено просматривать только их собственные данные.
В службе Secure Store Service сотрудникам отдела кадров можно предоставить повышенные привилегии в HRMS, тогда как остальные пользователи получают ограниченные права при необходимости.
Что происходит во внутренних механизмах?
Secure Store Service содержит физическую базу данных и выполняется на сервере приложений. В этой базе данных хранятся имена пользователей, пароли и другие определяемые пользователями поля, специфичные для пользователя или группы.
В базе данных может храниться несколько наборов учетных данных, используемых для различных систем внутри компании.
Служба Secure Store Service принимает и расшифровывает маркеры безопасности, предоставляемые приложениями, чтобы определить идентификатор приложения. Эти маркеры безопасности формируются службой Security Token Service (STS), когда приложение запрашивает проверку подлинности. После проверки маркера учетные данные используются для предоставления доступа к ресурсам.
Приложения, использующие службу Secure Store Service
В SharePoint предусмотрены встроенные службы, поддерживаемые через Secure Store Service:
- Excel Services;
- Visio Services;
- Business Connectivity Services;
- PowerPivot для SharePoint;
- PerformancePoint Services.
Журналы аудита
В службе Secure Store Service можно вести журналы аудита, однако по умолчанию они отключены. Учитывая вероятные угрозы безопасности, это хороший способ отслеживать действия службы, выясняя время их выполнения, успешность завершения или причины неудачи.
Рекомендации по развертыванию
Развертывание Secure Store Service с использованием интерфейса SharePoint аналогично развертыванию любого другого приложения-службы. Однако необходимо помнить о некоторых рекомендациях и оптимальных подходах.
- Базу данных Secure Store рекомендуется размещать на другом экземпляре SQL Server.
- Secure Store Service должна выполняться в отдельном пуле приложений, специально назначенном службе.
- Необходимо создавать резервные копии через регулярные интервалы времени, в том числе сразу после развертывания службы.
Кроме того, рекомендуется хранить резервные копии на надежно защищенном носителе, чтобы уменьшить опасность злоупотребления учетными данными.
Главное достоинство Secure Store Service — возможность решить проблему регистрации во многих приложениях и ввода различных имен пользователя и паролей. Управление ими осуществляется через администрирование SharePoint, а хранятся учетные данные в надежно защищенном месте.
Благодаря интеграции службы Secure Store Service с проверкой подлинности Windows для доступа ко всем приложениям в компании достаточно лишь один раз выполнить регистрацию в операционной системе Windows.