Configurar o Serviço de Repositório Seguro no SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Este artigo descreve como configurar o Serviço de Repositório Seguro em um farm SharePoint Server. Repositório Seguro possui considerações de planejamento importantes associadas a ele. Certifique-se de ler Plano do Serviço de Repositório Seguro no SharePoint Server antes de iniciar os procedimentos deste artigo.
Configurar o Repositório Seguro no SharePoint Server
O serviço do Repositório Seguro é executado sob as funções de servidor front-end e de aplicativos. É provisionado automaticamente quando você cria um aplicativo de serviço do Repositório Seguro.
Para configurar o Repositório Seguro, efetue as seguintes etapas:
Registre uma conta gerenciada no SharePoint Server para executar o pool de aplicativo do Repositório Seguro.
Inicie o Serviço de Repositório Seguro em um servidor de aplicativo no farm. (SharePoint Server 2013 apenas)
Crie um aplicativo de serviço do Serviço de Repositório Seguro.
Para executar o pool de aplicativos, você precisa ter uma conta de domínio padrão. Nenhuma permissão específica é necessária para esta conta. Uma vez que ela foi criada no Active Directory, siga as etapas a seguir para registrar com SharePoint Server.
Para registrar uma conta gerenciada
Na página inicial do site da Administração Central do SharePoint, no painel de navegação esquerdo, clique em Segurança.
Na página Segurança, na seção Segurança Geral, clique em Configurar contas gerenciadas.
Na página Contas Gerenciadas, clique em Registrar Conta Gerenciada.
Na caixa Nome da usuário, digite o nome da conta.
Na caixa Senha, digite a senha da conta.
Se desejar que o SharePoint Server lide com a alteração de senha para a conta, selecione a caixa Ativar alteração de senha automaticamente e especifique os parâmetros de alteração de senha que deseja usar.
Clique em OK.
Se estiver usando o SharePoint Server 2013, deverá iniciar o Serviço de Repositório Seguro em um servidor de aplicativos no farm. (Se você estiver usando o SharePoint Server 2016, o serviço será iniciado automaticamente por MinRole.)
Para iniciar o Serviço de Repositório Seguro (SharePoint Server 2013)
Na página inicial Administração Central, na seção Configurações do Sistema, clique em Gerenciar serviços no servidor.
Acima da lista Serviço, clique na lista suspensa Servidor e clique em Alterar Servidor.
Selecione o servidor de aplicativos que deseja que o Serviço de Repositório Seguro seja executado.
Na lista Serviço, clique em Iniciar próximo a Serviço de Repositório Seguro.
Em seguida, você deve criar um Aplicativo de Serviço do Serviço de Repositório Seguro. Use o procedimento a seguir para criar o aplicativo de serviço.
Para criar um aplicativo de serviço do Serviço de Repositório Seguro
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Na página Gerenciar Aplicativos de Serviço, clique em Novo e em Serviço de Repositório Seguro.
Na caixa Nome do Aplicativo de Serviço, digite um nome para o aplicativo de serviço (por exemplo, Serviço de Repositório Seguro).
Na caixa Servidor de Banco de Dados, digite a instância do SQL Server a qual deseja criar o banco de dados do Repositório Seguro.
Observação
Por o banco de dados do Repositório Seguro conter informações sensíveis, recomendamos que você implante o banco de dados do Repositório Seguro em uma instância diferente de SQL Server do resto do SharePoint Server.
Selecione a opção Criar novo pool de aplicativos e digite um nome para o pool de aplicativos na caixa de texto.
Selecione a opção Configurável e, da lista suspensa, selecione a conta gerenciada que você criou anteriormente.
Clique em OK.
O Serviço de Repositório Seguro agora foi configurado. A próxima etapa é gerar uma chave de criptografia para criptografia do banco de dados do Repositório Seguro.
Trabalhar com chaves de criptografia de Repositório Seguro
Antes de usar o Serviço de Repositório Seguro, você deve criar uma chave de criptografia. A chave é utilizada para criptografar e remover a criptografia das credenciais armazenadas no banco de dados do Serviço de Repositório Seguro.
Gerar uma chave de criptografia
A primeira vez que você acessar o aplicativo de serviços do Repositório Seguro, sua única opção será gerar uma nova chave de criptografia. Uma vez que ela é gerada, o resto das funcionalidades do Repositório Seguro fica disponível.
Para gerar uma nova chave de criptografia
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Clique em aplicativo de serviço de Repositório Seguro.
No grupo Gerenciamento de Chave, clique em Gerar Nova Chave.
Na página Gerar Nova Chave, digite uma cadeia de frase secreta na caixa Frase Secreta e a repita na caixa Confirmar Frase Secreta. Esta frase secreta é usada para criptografar o banco de dados do Repositório Seguro.
Importante
Uma cadeia de expressão pass tem de ter, pelo menos, oito carateres e tem de ter, pelo menos, três dos seguintes quatro elementos: > Carateres maiúsculas Carateres > minúsculos > Numerais > Qualquer um dos seguintes carateres > especiais "! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
Importante
A frase de passagem inserida não é armazenada. Certifique-se de gravar e armazenar em um local seguro. Você deve precisar atualizar a chave, como quando você adiciona um novo servidor de aplicativos ao farm de servidores.
Clique em OK.
Por medida de segurança ou como parte da manutenção regular, você pode optar por gerar uma nova chave de criptografia e forçar o Serviço de Repositório Seguro a ser criptografada com base na nova chave. Você pode fazer isso repetindo este procedimento.
Cuidado
Faça backup do banco de dados do aplicativo Serviço de Repositório Seguro antes de gerar uma nova chave.
Atualizar a chave de criptografia de Repositório Seguro
Atualizar a chave de criptografia propaga a chave em todos os servidores de aplicativos no farm. Poderá ser necessário atualizar a chave de criptografia se qualquer uma das seguintes coisas forem verdadeiras:
Você adicionar um novo servidor de aplicativos ao farm de servidores.
Você restaurar um banco de dados do Serviço de Repositório Seguro de um backup anterior e tiver alterado a chave de criptografia desde então.
Você receber uma mensagem de erro “Não é possível obter a chave mestra”.
Para atualizar a chave de criptografia
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Clique em aplicativo de serviço de Repositório Seguro.
No grupo Gerenciamento de Chave, clique em Atualizar Chave.
Na caixa ** Frase Secreta **, digite a frase secreta usada inicialmente para gerar a chave de criptografia.
Essa será a frase secreta que você utilizou ao inicializar o aplicativo de Serviço de Repositório Seguro ou que usou ao criar uma nova chave usando o comando Gerar uma Nova Chave.
Clique em OK.
Armazenar credenciais no Repositório Seguro
Armazenar credenciais no Repositório Seguro é obtido ao usar um aplicativo alvo do Repositório Seguro. Um aplicativo alvo mapeia as credenciais para um usuário, grupo ou solicitar um conjunto de credenciais criptografadas armazenadas no banco de dados do Repositório Seguro. Depois que um aplicativo alvo é criado, você pode associá-lo com um tipo de conteúdo externo ou modelo de aplicativo ou usar como um serviço de inteligência corporativa, como um Excel Online ou Serviços do Visio para fornecer acesso a uma fonte de dados externa. Quando um aplicativo de serviço SharePoint Server chama o aplicativo alvo, o Repositório Seguro confirma que o usuário fazendo a solicitação é um usuário autorizado para o aplicativo alvo e, então, recupera as credenciais de criptografia. As credenciais são, então, usadas em nome do usuário pelo aplicativo de serviço SharePoint Server.
Para criar um aplicativo alvo, você deve fazer o seguinte:
Crie o aplicativo alvo, especificando o tipo de credenciais que deseja armazenar no banco de dados do Repositório Seguro, os administradores para o aplicativo alvo e os proprietários das credenciais.
Especifique as credenciais que deseja armazenar.
Criar um aplicativo de destino
Aplicativos de destino são configurados na página do Aplicativo de Serviço do Repositório Seguro na Administração Central. Use o procedimento a seguir para criar o aplicativo de destino.
Para criar um aplicativo de destino
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Clique em aplicativo de serviço de Repositório Seguro.
No grupo Gerenciar Aplicativos de Destino, clique em Novo.
Na caixa ID do Aplicativo de Destino, digite uma cadeia de caracteres de texto.
Esta é a cadeia única que você usará externamente para identificar este aplicativo de destino.
Na caixa Nome para Exibição, digite uma cadeia de caracteres de texto que será usada para exibir o identificador do aplicativo de destino na interface do usuário.
Na caixa Email de Contato, digite o endereço de email do contato primário para esse aplicativo de destino.
Esse pode ser qualquer endereço de email legítimo e não tem que ser a identidade de um administrador do aplicativo de Serviço de Repositório Seguro.
Quando você cria um aplicativo de destino do tipo Individual (veja abaixo), pode implementar uma página da Web personalizada que permite aos usuários adicionar credenciais individuais para a fonte de dados de destino. Isso requer código personalizado para passar as credenciais ao aplicativo de destino. Se você fez isso, digite a URL completa dessa página no campo URL da Página do Aplicativo de Destino. Há três opções:
Utilizar a página predefinida: todos os sites que utilizem a aplicação de destino para aceder a dados externos terão uma página de inscrição individual que foi adicionada automaticamente. O URL desta página será http:/<samplesite>/_layouts/SecureStoreSetCredentials.aspx? TargetAppId=<TargetApplicationID>, em que <TargetApplicationID> é a cadeia escrita na caixa ID da Aplicação de Destino . Ao publicar o local desta página, você pode permitir que os usuários adicionem suas credenciais à fonte de dados externa.
Usar página personalizada: você fornece uma página da Web personalizada que permite que os usuários forneçam credenciais individuais. Digite a URL da página personalizada neste campo.
Nenhum: não há nenhuma página de inscrição. As credenciais individuais são adicionadas somente por um administrador do Serviço de Repositório Seguro usando o aplicativo de Serviço de Repositório Seguro.
Na lista suspensa Tipo de Aplicativo de Destino, escolha o tipo de aplicativo de destino: Grupo, para credenciais de grupo, ou Indivíduo, se cada indivíduo for mapeado para um conjunto exclusivo de credenciais na fonte de dados externa.
Observação
Existem dois tipos principais para criar uma aplicação de destino: > Grupo, para mapear todos os membros de um ou mais grupos para um único conjunto de credenciais na origem de dados externa. > Individual, para mapear cada utilizador para um conjunto exclusivo de credenciais na origem de dados externa.
Clique em Avançar.
Use a página Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro para configurar os vários campos que podem ser necessários para fornecer credenciais para a fonte de dados externa. Por padrão, dois campos são listados: Nome de Usuário Windows e Senha do Windows.
Para adicionar mais um campo para fornecer credenciais para a fonte de dados externa, na página Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro, clique em Adicionar Campo.
Por padrão, o tipo de campo novo é Genérico. Os seguintes tipos de campo estão disponíveis:
Campo | Descrição |
---|---|
Genérico |
Valores que não se enquadram em nenhuma outra categoria. |
Nome de Usuário |
Uma conta de usuário que o identifica. |
Password |
Uma palavra ou frase secreta. |
PIN |
Um número de identificação pessoal. |
Chave |
Um parâmetro que determina a saída funcional de um algoritmo criptográfico ou da criptografia. |
Nome de Usuário do Windows |
Uma conta de usuário do Windows que o identifica. |
Senha do Windows |
Uma palavra ou frase secreta para uma conta do Windows. |
Certificado |
Um certificado |
Senha do Certificado |
A senha para o certificado. |
Para alterar o tipo de campo novo ou existente, clique na seta que aparece ao lado do tipo de campo e selecione o novo tipo de campo.
Observação
Todo campo adicionado precisará ter dado ao definir as credenciais para este aplicativo de destino.
Você pode alterar o nome que um usuário visualiza ao interagir com um campo. Na coluna Nome de Campo da página de Especificar os campos de credencial para seu Aplicativo de Destino de Repositório Seguro, altere um nome de campo selecionando o texto atual e digitando o novo texto.
Quando um campo é mascarado, cada caractere digitado por um usuário não é exibido, mas substituído por um caractere de máscara, como um asterisco “*”. Para mascarar um campo, clique na caixa de seleção para esse campo na coluna Mascarado da página.
Para excluir um campo, clique no ícone Excluir desse campo na coluna Excluir da página.
Quando terminar de editar os campos de credenciais, clique em Avançar.
Na página Especifique as configurações de membro, na lista Administradores do Aplicativo de Destino, liste todos os usuários que têm acesso para gerenciar as configurações do aplicativo de destino.
Se o tipo de aplicativo de destino for grupo, no campo Membros, liste os grupos de usuários a serem mapeados para um conjunto de credenciais para esse aplicativo de destino.
Clique em OK para concluir a configuração do aplicativo de destino.
Definir credenciais para um aplicativo de destino de Repositório Seguro
Depois de criar um aplicativo de destino, um administrador desse aplicativo de destino pode definir credenciais para ele. Essas credenciais serão usadas pelo aplicativo que chama para fornecer acesso a uma fonte de dados externa. Se o aplicativo de destino for do tipo Indivíduo, você também poderá permitir que os indivíduos forneçam suas próprias credenciais.
Para definir credenciais para um aplicativo de destino
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Clique em aplicativo de serviço de Repositório Seguro.
Na lista de aplicativos de destino, aponte o aplicativo de destino o qual deseja definir credenciais, clique na seta que aparece e, então, no menu, clique em Definir credenciais.
Se o aplicativo de destino for do tipo Grupo, digite as credenciais da fonte de dados externa. Dependendo das informações necessárias para a fonte de dados externa, os campos para a configuração de credenciais variarão.
Se o aplicativo de destino for do tipo Indivíduo, digite o nome de usuário do indivíduo que será mapeado para este conjunto de credenciais na fonte de dados externa e digite as credenciais para a fonte de dados externa. Dependendo das informações necessárias para a fonte de dados externa, os campos para a configuração de credenciais variarão.
Clique em OK.
Uma vez que você definiu as credenciais para o aplicativo de destino, ele está pronto para ser usado por um serviço SharePoint Server, como Serviços Corporativos de Conectividade, Serviços do Excel ou Serviços do Visio.
Habilitar o log de auditoria de Repositório Seguro
As entradas de auditoria para o serviço de Repositório Seguro são armazenadas no banco de dados de Serviço de Repositório Seguro. Por padrão, o arquivo do log de auditoria está desabilitado.
Uma entrada de log de auditoria armazena informações sobre uma ação do Serviço de Repositório Seguro, como quando ele foi executado, se teve êxito, por que falhou no caso de não ter tido êxito, o usuário do Serviço de Repositório Seguro que o executou e, opcionalmente, o usuário do Serviço de Repositório Seguro em cujo nome ele foi executado. Assim, uma razão válida para ativar um arquivo de log de auditoria é solucionar um problema de autenticação.
Para habilitar o log de auditoria usando a Administração Central
Na página inicial da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.
Selecione a aplicação de serviço Arquivo Seguro. (Ou seja, selecione a aplicação de serviço, mas não clique na ligação para aceder à página definições da aplicação Serviço de Arquivo Seguro.)
Na faixa de opções, clique em Propriedades.
A partir da seção Habilitar Auditoria, clique para selecionar a caixa Log de auditoria ativado.
Para alterar o número de dias até que as entradas sejam limpas do arquivo de log de ??auditoria, especifique um número de dias no campo Dias Até a Limpeza. O valor padrão é de 30 dias.
Clique em OK.