GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Configurar el Secure Store Service en SharePoint 2010


El Secure Store Service es uno de los primeros servicios compartidos de SharePoint 2010 que deberemos montar en una Granja de MOSS, ya que de la correcta configuración de este servicio depende el funcionamiento de algunas características de otros servicios de SharePoint 2010, como Excel Services, Visio Services, PerformacePoint Services, PowerPivot for SharePoint 2010 y Microsoft Business Connectivity Services. El presente artículo describe la configuración básica del servicio Secure Store Service en una Granja de SharePoint 2010.

Introducción al servicio Secure Store Service en SharePoint 2010

El servicio Secure Store Service en SharePoint 2010 viene a sustituir al Single Sign On de SharePoint 2007, permitiendo el almacenamiento seguro y mapeo de credenciales (ej: cuentas de usuarios y las contraseñas asociadas) para el acceso a sistemas externos a SharePoint.

Los siguientes servicios de SharePoint 2010 pueden aprovecharse del servicio Secure Store Service:

  • Excel Services. Para acceder a datos externos, por ejemplo, utilizando la cuenta de servicio desatendida (unattended service account).
  • Visio Services. Para acceder a datos externos, por ejemplo, utilizando la cuenta de servicio desatendida (unattended service account).
  • PerformancePoint Services. Para acceder a datos externos, por ejemplo, utilizando la cuenta de servicio desatendida (unattended service account).
  • PowerPivot for SharePoint 2010. Para realizer refrescos planificados.
  • Microsoft Business Connectivity Services. Para accede a sistemas externos con credenciales de usuario mapeadas.

En consecuencia, para su funcionamiento, el Secure Store Service requiere de una Base de Datos en SQL Server para almacenar las credenciales, y por supuesto, requiere de un Application Pool en IIS.

Téngase en cuenta que el Secure Store Service sólo está disponible en SharePoint Server, es decir, Secure Store Service no está disponible en SharePoint Foundation.

Algunas recomendaciones para la configuración de Secure Store Service

Antes de empezar a ver la configuración del Secure Store Service en SharePoint 2010, es interesante revisar algunas de las recomendaciones de producto (según Microsoft TechNet). Es interesante leerlas, darles una pensada y luego decidir cómo implementamos Secure Store Service en nuestra Granja MOSS, dependiendo de nuestras necesidades de negocio y de la infraestructura que tengamos. En resumidas cuentas, las recomendaciones son:

  • Ejecutar el Secure Store Service en un Application Pool dedicado para él sólo. En nuestro caso de ejemplo, lo montaremos utilizando un Application Pool compartido, ya que estamos montando un entorno de Laboratorio, y de este modo conseguimos minimizar el número de Applications Pool en los servidores de la Granja del Laboratorio.
  • Ejecutar el Secure Store Service en un Servidor dedicado únicamente a ejecutar este servicio. En nuestro caso de ejemplo, lo montaremos utilizando un Servidor compartido en el cual se ejecutarán varios servicios de SharePoint 2010.
  • Para la base de datos del Secure Store Service, utilizar una instancia SQL Server en la que no existan otras bases de datos de SharePoint. En nuestro caso de ejemplo utilizaremos una única instancia de SQL Server para almacenar todas las bases de datos de la Granja MOSS, tanto la base de datos del Secure Store Service, como el resto de bases de datos (de contenido, de configuración, etc.).
  • Hacer un Backup de la base de datos del Secure Store Service, después de la creación inicial, y antes de generar una nueva clave de encriptación.
  • Hacer un Backup de la clave de encriptación (encryption key) del Secure Store Service, después de su creación inicial, y después de generar una nueva clave de encriptación.

Por motivos de seguridad, Microsoft no recomienda almacenar en la misma ubicación el backup de la base de datos y el de la clave de encriptación del Secure Store Service.

Configurar el Secure Store Service en SharePoint 2010

A continuación vamos a realizar la configuración del Secure Store Service en una Granja de SharePoint 2010. Partimos de una Granja formada por un único Servidor, recién instalada. Aún no ha sido configurado ningún servicio ni Aplicación Web. La configuración inicial del Secure Store Service puede resumirse en los siguientes cuatro pasos:

  • Registrar una cuenta gestionada (managed account) para ejecutar el Application Pool del Secure Store Service.
  • Iniciar el servicio Secure Store Service en al menos un servidor MOSS de la Granja.
  • Crear la aplicación de servicio para el Secure Store Service (Secure Store Service service application).
  • Crear una nueva clave de encriptación (Encryption Key) para el Secure Store Service.

A continuación se describen los anteriores cuatro pasos.

El primer paso a realizar es registrar una cuenta gestionada (managed account) para ejecutar el Application Pool del Secure Store Service, para lo cual, hace falta una simple cuenta de dominio sin privilegios elevados ni permisos específicos (es decir, crear la cuenta en Directorio Activo, y punto), y seguidamente registrar esta cuenta en la Central Administration, dentro de Security -> General Security -> Configure managed accounts (es muy sencillo). En nuestro caso de ejemplo vamos a seguir una filosofía simplista, y vamos a utilizar una única cuenta de servicio para todo, es decir, vamos a utilizar la cuenta que especificamos como Database Access Account al crear la Granja de SharePoint 2010. Esto es una mala práctica para entornos productivos, pero en nuestro caso de ejemplo estamos montando un entorno de Laboratorio, para lo cual resulta suficiente. Continuamos.

El segundo paso es iniciar el servicio Secure Store Service en al menos un servidor MOSS de la Granja. En nuestro caso de ejemplo tenemos una Granja formada por un único servidor. Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y haremos click en la opción Manage services on server de la sección System Settings.

El segundo paso es iniciar el servicio Secure Store Service en al menos un servidor MOSS de la Granja. En nuestro caso de ejemplo tenemos una Granja formada por un único servidor. Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y haremos click en la opción Manage services on server de la sección System Settings

En la pantalla Services on Server, en el desplegable Server seleccionaremos el servidor de la Granja sobre el cual deseamos iniciar el servicio Secure Store Service, y seguidamente en la lista de servicios deberemos hacer click en Start junto al servicio Secure Store Service.

En la pantalla Services on Server, en el desplegable Server seleccionaremos el servidor de la Granja sobre el cual deseamos iniciar el servicio Secure Store Service, y seguidamente en la lista de servicios deberemos hacer click en Start junto al servicio Secure Store Service.

Realmente, el orden de los anteriores dos pasos es intercambiable, es decir, también podríamos primero iniciar el servicio Secure Store Service, y seguidamente registrar la cuenta para utilizar por el Application Pool del Secure Store Service.

Ahora, en el tercer paso, deberemos crear la aplicación de servicio para el Secure Store Service (Secure Store Service service application). Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y haremos click en la opción Manage service applications de la sección Application Management.

Ahora, en el tercer paso, deberemos crear la aplicación de servicio para el Secure Store Service (Secure Store Service service application). Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y haremos click en la opción Manage service applications de la sección Application Management

En la pantalla Service Applications, desplegaremos el botón New, y click en Secure Store Service.

En la pantalla Service Applications, desplegaremos el botón New, y click en Secure Store Service.

En el diálogo Create New Secure Store Service Application, deberemos especificar lo datos necesarios: un nombre descriptivo para el servicio que estamos creando (Service Application Name), una instancia de SQL Server y el nombre de base de datos que deseamos crear para utilizar por el Secure Store Service (Database Server y Database name) junto a los datos de autenticación (Database authentication) para conectar con dicha instancia SQL Server, el nombre de la instancia SQL Server que actúe como Mirror (Failover Server) en el caso de estar utilizando Database Mirroring (en caso contrario, dejar en blanco), los datos de Application Pool que será utilizado por el Secure Store Service, y por último deberemos especificar si deseamos habilitar la auditoría del Secure Store Service (Audit log enabled). Click OK para continuar.

En el diálogo Create New Secure Store Service Application, deberemos especificar lo datos necesarios: un nombre descriptivo para el servicio que estamos creando (Service Application Name), una instancia de SQL Server y el nombre de base de datos que deseamos crear para utilizar por el Secure Store Service (Database Server y Database name) junto a los datos de autenticación (Database authentication) para conectar con dicha instancia SQL Server, el nombre de la instancia SQL Server que actúe como Mirror (Failover Server) en el caso de estar utilizando Database Mirroring (en caso contrario, dejar en blanco), los datos de Application Pool que será utilizado por el Secure Store Service, y por último deberemos especificar si deseamos habilitar la auditoría del Secure Store Service (Audit log enabled). Click OK para continuar

Realizado esto, el Secure Store Service habrá sido creado con éxito. Click OK para continuar.

Realizado esto, el Secure Store Service habrá sido creado con éxito. Click OK para continuar.

Llegamos al cuarto paso, dónde deberemos crear una nueva clave de encriptación (Encryption Key) del Secure Store Service, que será utilizada para encriptar la información sencilla almacenada en la base de datos del Secure Store Service. Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y en la pantalla Service applications, seleccionaremos la aplicación de servicio Secure Store Service que acabamos de crear, y seguidamente, click en el botón Manage de la botonera (Ribbon).

Llegamos al cuarto paso, dónde deberemos crear una nueva clave de encriptación (Encryption Key) del Secure Store Service, que será utilizada para encriptar la información sencilla almacenada en la base de datos del Secure Store Service. Para ello accederemos a la consola de Administración Central de SharePoint (Central Administration), y en la pantalla Service applications, seleccionaremos la aplicación de servicio Secure Store Service que acabamos de crear, y seguidamente, click en el botón Manage de la botonera (Ribbon).

En la pantalla Secure Store Service Application, click en el botón Generate New Key de la botonera (Ribbon).

En la pantalla Secure Store Service Application, click en el botón Generate New Key de la botonera (Ribbon).

En el diálogo Generate New Key, deberemos especificar una Passphare. No es necesario que sea la misma Passphrase utilizada al crear la Granja de SharePoint. Click OK para continuar.

En el diálogo Generate New Key, deberemos especificar una Passphare. Click OK para continuar.

Realizado esto, el Secure Store Service ya estará disponible para empezar a ser utilizado.

Realizado esto, el Secure Store Service ya estará disponible para empezar a ser utilizado

Téngase en cuenta, que no todas las configuraciones del Secure Store Service se realizarán desde aquí. Por ejemplo, al configurar la cuenta de servicio desatentida de PerformancePoint Service en SharePoint 2010, se creará de forma implícita las credendiales de dicha cuenta, sin tener que realizar ningún tarea explícita por nuestra parte en el Secure Store Service.

Despedida

En resumen, el Secure Store Service es uno de los servicios del Core de SharePoint Server, y en consecuencia, uno de los primeros servicios que deberemos configurar en cualquier Granja de SharePoint Server.

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


[Fecha del Artículo (UTC): 06/04/2012]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas