Sharepoint SSO概念及用户管理.ppt

1、Sharepoint SSO概念及用户管理,议题,Single Sign On基本概念 配置/管理SharePoint Single Sign On SharePoint SSO开发 MIIS概览,Single Sign-On基本概念,一次登陆，访问所有系统 系统帮助用户“自动”登陆到各个系统 Single Sign-On的优点 免除了用户频繁登录和管理多套密码 提高密码管理的安全性 提高系统的整合度 为应用整合，统一用户管理作好基础准备,SharePoint Single Sign-On Services,提供Credential 的映射数据库 Per-user credentials Gr

2、oup credentials 对映射数据库进行加密和管理 提供编程接口，简化了开发,配置SharePoint SSO(1),启动SharePoint SSO Service 创建SSO Service帐号 此帐号必须是 local administrators, domain STS_WPG和 SPS_WPG 组的成员 此帐号须对SharePoint配置数据库具有db_owner 和 public 权限 此帐号须是SSO数据库所在SQL Server的Server Administrators role 用此帐号启动SharePoint SSO Service 必须在每台前端Web服务器上进

3、行配置,配置SharePoint SSO(2),用此帐号配置SharePoint SSO 配置SSO服务器设置,配置SharePoint SSO(3),配置SharePoint SSO 配置SSO服务器设置,配置SharePoint SSO(4),创建/备份/恢复加密键 创建企业应用程序定义 Individual Credential Group Credential 管理企业应用程序定义 删除/更新企业应用程序定义中的Credential信息,SharePoint SSO部署安全性,较低安全性配置 所有内容都部署在一台服务器上。此配置安全性较低，因为前端 Web 服务器、存储在 Micros

4、oft SQL Server 中的 Single Sign-on 数据库和加密键都在同一台计算机上。 （建议不使用此配置） 较高安全性配置 其中包含一台前端 Web 服务器的双计算机配置。另一台为作业服务器，其中含有存储在 SQL Server 中的 Single Sign-on 数据库和加密键 更高安全性的建议配置 三台或三台以上计算机的配置。其中前端 Web 服务器、包含加密键的作业服务器和包含存储在 SQL Server 中的 Single Sign-on 数据库的服务器分别在不同的计算机上,SharePoint SSO高级管理,SSO诊断日志 备份/恢复加密键 Credential缓存

5、 HKLMSoftwareMcirosoftssosrvCache 加密键审计 HKEY_LOCAL_MACHINESOFTWAREMicrosoftssosrvConfig,SharePoint SSO开发,Microsoft.SharePoint.Portal.SingleSignon,Code Snippet: 单点登录,try Credentials.GetCredentials(1,MyIndividualApplicationID, ref rgGetCredentialData); string username=rgGetCredentialData0; string user

6、pwd=rgGetCredentialData1; /登录应用系统 catch (SingleSignonException ssoe) if(SSOReturnCodes.SSO_E_CREDS_NOT_FOUND = ssoe.LastErrorCode) String strSSOLogonFormUrl = SingleSignonLocator.GetCredentialEntryUrl(MyIndividualApplicationID); writer.Write(“尚未设置您的登陆信息，请点击此处设置，下次将自动登录); writer.WriteLine(); ,Code Si

7、nppet:设置Credential,string rgSetCredentialData = new string5; rgSetCredentialData0 = Data for field1; rgSetCredentialData1 = Data for field2; rgSetCredentialData2 = Data for field3; rgSetCredentialData3 = Data for field4; rgSetCredentialData4 = Data for field5; Credentials.SetCredentials( 1, MyIndivi

8、dualApplicationID, rgSetCredentialData);,MIIS:基于Microsoft平台的用户帐号统一管理方案,系统间的帐号同步,需要帐号同步的原因 各系统（尤其是UNIX操作系统，商用数据库）都有自己的帐号管理系统，不一定能够使用AD的帐号进行认证 多种系统独立管理帐号使得管理员开设帐号和删除帐号的工作非常复杂 用户个人的密码修改和管理复杂 帐号同步的方案，使用Microsoft Identity Integration Server 2003,MIIS 2003系统结构,MIIS 作为Windows 的服务员运行 Management Agents (MA)

9、与各系统进行连接 Metadirectory数据存储在SQL Server 2000 数据库中 管理客户端定义MA使用的参数，帐号转换规则等,SQL 2000,MIIS的典型使用场景,DS-enabled app,HR/ERP app,Centralized identity management,Database,DS-enabled app,DS-enabled app,Exchange5.5,Data-bases,AD,XML,Other Directories and Identity Data,MIIS 的概念,数据源 存储系统帐号的目录或者数据库 管理代理(MA) 可以把数据源连接到中心的源数据库，对数据源进行读写操作 连接器空间 (C