MOSS 2007 – Plan for SSO operations

Managing the encryption key

La clave de cifrado se emplea como parte del proceso de cifrado para las credenciales que se usan con SSO. La clave ayuda a descifrar las credenciales cifradas que están almacenadas en la base de datos de SSO. La primera vez que se configuran el inicio de sesión único y las definiciones de aplicaciones de empresa en la página Administrar la configuración del servidor para inicio de sesión único de Administración central, la clave de cifrado se crea automáticamente. La administración de la clave de cifrado incluye la auditoría de la clave de cifrado y su regeneración.

Auditing the encryption key

Es posible habilitar la auditoría de los cambios que se realizan en la clave de cifrado. Si la clave se lee o se escribe, se registra un evento de seguridad en el registro de seguridad. El registro de seguridad puede verse mediante el Visor de eventos. La habilitación del registro implica:

· Modificar una clave de registro de SSO.

· Crear una directiva de equipo local en el Editor de objetos de directiva de grupo.

Regenerating the encryption key

Debido a que la clave de cifrado protege las credenciales de seguridad, se debe volver a generar de forma periódica; por ejemplo, cada 90 días. Además, se deberá volver a generar la clave si las credenciales de cuenta se ven comprometidas.

El proceso de cifrado es una operación de larga ejecución. Recomendamos que cambie la clave de cifrado durante períodos de poca actividad. El cifrado de la clave tiene el siguiente impacto en el entorno de SSO:

· Durante el proceso de cifrado, las operaciones de escritura (como la actualización de credenciales y el cambio de definiciones de aplicaciones de empresa) no están permitidas.

· Las operaciones de lectura, como la recuperación de credenciales, continúan funcionando de forma habitual.

Debe haber iniciado sesión en el servidor de clave de cifrado local para volver a cifrar la clave de cifrado. Además, debe ser un integrante de la cuenta de administrador de SSO.

Si se reinicia el servidor de clave de cifrado o se detiene el servicio de inicio de sesión único en el servidor de clave de cifrado durante el proceso de cifrado, es preciso comprobar si hay errores en el registro de eventos. Si el registro de eventos indica un error, debe reiniciar el proceso de cifrado. Si el proceso de cifrado se anula de alguna manera, deberá volver a ejecutarse. Si el proceso de cifrado se anula, vuelve a su estado original.

Cuando se crea una clave de cifrado, puede optar por cifrar las credenciales existentes con la nueva clave. Si no cifra las credenciales existentes con la nueva clave de cifrado, los usuarios deberán volver a escribir sus credenciales para las definiciones de aplicaciones de empresa individuales, y los administradores de definiciones de aplicaciones de empresa de grupo deberán volver a escribir las credenciales de grupo.

Al cifrar el almacén de credenciales del servicio de inicio de sesión único, los eventos se registran en el registro de eventos de la aplicación de Microsoft Windows Server 2003. Una vez que se inicia el cifrado, se puede supervisar el registro de eventos de la aplicación para comprobar que se haya cifrado el almacén de credenciales. El identificador de evento 1032 se agrega al registro de eventos de la aplicación cuando se inicia el cifrado. El identificador de evento 1033 se agrega cuando finaliza el cifrado. Si se producen errores durante el cifrado, se agrega un evento en el registro.

Al decidir las opciones de planeación para administrar la clave de cifrado, tenga en cuenta lo siguiente:

· ¿Con qué frecuencia piensa cifrar la clave de cifrado?

· ¿Las credenciales existentes deben cifrarse con la nueva clave de cifrado al mismo tiempo?

· ¿En qué otras circunstancias se cifrará la clave de cifrado?

Backing up the SSO environment

La copia de seguridad del entorno de SSO implica realizar una copia de seguridad de las siguientes dos entidades independientes:

· Clave de cifrado

· Base de datos de SSO

Se debe realizar una copia de seguridad de la clave de cifrado después de la configuración inicial de SSO y luego cada vez que se regenere la clave. No es necesario realizar una copia de seguridad de la clave de cifrado de forma periódica, a menos que este proceso esté vinculado al de la regeneración de la clave de cifrado. No es posible realizar una copia de seguridad de la clave de cifrado de forma remota. Es necesario ser integrante de la cuenta de administrador de SSO y haber iniciado sesión en el servidor de clave de cifrado local para realizar una copia de seguridad de la clave. La copia de seguridad de la clave de cifrado sólo puede realizarse en un medio de almacenamiento extraíble, no en un disco duro local. La copia de seguridad de la clave de cifrado se realiza desde la página Administrar la clave de cifrado de Administración central.

Se debe realizar una copia de seguridad de la base de datos de SSO después de su creación inicial y luego cada vez que se cifran las credenciales. Además, se pueden incluir las copias de seguridad de la base de datos de SSO con las copias de seguridad programadas para la base de datos de la granja de servidores. Las copias de seguridad programadas incluirán otros cambios en la base de datos de SSO, como nuevas definiciones de aplicaciones de empresa y actualización de las credenciales.

No se debe almacenar la copia de seguridad de la clave de cifrado en la misma ubicación de la copia de seguridad de la base de datos de SSO. Si un usuario obtiene una copia de la base de datos y de la clave, las credenciales almacenadas en la base de datos podrían verse comprometidas. Lo ideal es guardar la copia de seguridad de la clave de cifrado en un lugar seguro.

Al decidir las opciones de planeación para realizar copias de seguridad del entorno de SSO, tenga en cuenta lo siguiente:

· La frecuencia de realización de copias de seguridad de la clave de cifrado.

· El plan para realizar la copia de seguridad de la base de datos de SSO. El plan más eficaz consiste en incluir la base de datos de SSO junto con las copias de seguridad periódicas de la granja de servidores.

Restoring the SSO environment

Existen diversos escenarios que requieren la restauración del entorno de SSO. En algunos casos, se debe restaurar sólo la clave de cifrado o sólo la base de datos de SSO. En la siguiente tabla, se describen varios escenarios de restauración y se indica lo que es necesario restaurar.

Escenario

Lo que se debe restaurar

Transferencia de la función de servidor de clave de cifrado a otro servidor.

Clave de cifrado

Cambio de la cuenta de servicio de SSO.

Clave de cifrado

Restauración del servidor de base de datos con errores.

Base de datos de SSO

Migración de la granja de servidores de Office SharePoint Server 2007 a otro grupo de servidores.

Clave de cifrado y base de datos de SSO

Recuperación ante un desastre en toda la granja de servidores.

Clave de cifrado y base de datos de SSO

En el resto de esta sección, se detallan las tareas específicas de restauración del entorno de SSO, en función de cada escenario.

Para transferir la función de servidor con clave de cifrado a otro equipo servidor, siga estos pasos:

Move the encryption-key server role to a different server computer

1. Realice una copia de seguridad de la clave de cifrado.

2. Deshabilite el servicio de inicio de sesión único en todos los equipos de la granja de servidores.

3. Inicie sesión en el nuevo servidor de clave de cifrado.

4. Inicie el servicio de inicio de sesión único.

5. Establezca la configuración de SSO de la granja de servidores en el sitio de Administración central. Especifique la base de datos de SSO existente.

6. Restaure la clave de cifrado.

7. Inicie el servicio de inicio de sesión único en todos los servidores web de la granja de servidores.

Change the SSO service account

El identificador de seguridad (SID) de la cuenta de servicio de SSO se usa como parte de la fórmula para cifrar las credenciales de SSO. Por consiguiente, para cambiar la cuenta de servicio de SSO, debe volver a configurar el entorno de SSO. Realice los siguientes pasos para cambiar la cuenta de servicio de SSO:

Change the SSO service account

1. Realice una copia de seguridad de la clave de cifrado.

2. En todos los servidores de la granja de servidores que ejecuten el servicio de inicio de sesión único, vuelva a configurar el servicio con la nueva cuenta de servicio.

3. Cambie la configuración de SSO de la granja de servidores en el sitio de Administración central con la nueva cuenta de servicio de SSO. Especifique la base de datos de SSO existente.

4. Restaure la clave de cifrado.

5. Cifre las credenciales de la base de datos de SSO. Para cifrar las credenciales, se usa la clave de cifrado restaurada.

Restore only the SSO database server

Si se produce un error en el servidor que hospeda la base de datos de SSO, se deberá restaurar sólo la base de datos de SSO. Para ello, siga el mismo método que se usa para restaurar cualquier otra base de datos en el entorno de Office SharePoint Server 2007. Si restaura la base de datos de SSO en un servidor diferente, cambie la configuración de SSO de la granja de servidores con el nombre del nuevo servidor de base de datos.

Restore the entire SSO environment

Existen diversos escenarios que requieren la restauración de la clave de cifrado y de la base de datos de SSO. Siga estos pasos para restaurar todo el entorno de SSO:

Restore the entire SSO environment

1. Restaure la base de datos de SSO en el servidor de base de datos previsto.

2. Configure SSO siguiendo el mismo proceso de configuración de un nuevo entorno de SSO, excepto que deberá especificar el nombre del servidor y el nombre de base de datos de la base de datos de SSO existente.

3. Restaure la clave de cifrado en el nuevo entorno de SSO

Responding to an SSO security compromise

Un peligro para la seguridad puede incluir la pérdida de medios de copia de seguridad, la pérdida de contraseñas u otro evento que podría poner en peligro las credenciales almacenadas en la base de datos de SSO o los datos almacenados en las aplicaciones de empresa. Si se presenta un peligro para la seguridad que podría afectar el entorno de SSO, siga estos pasos:

Respond to a security compromise

1. Vuelva a generar la clave de cifrado.

2. Cifre las credenciales de la base de datos de SSO (se usa la nueva clave de cifrado).

3. Cambie las contraseñas de las aplicaciones de empresa que podrían verse comprometidas.

4. Sugiera a los usuarios que cambien sus contraseñas si éstas pudieran verse comprometidas.

Si el peligro para la seguridad es potencialmente grave, puede interrumpir el servicio de inicio de sesión único para detener inmediatamente el acceso a las credenciales almacenadas en la base de datos de SSO. Si debe interrumpir el servicio de inicio de sesión único, siga estos pasos para restaurar de forma segura el servicio en la granja de servidores de Office SharePoint Server 2007 existente:

Restore the Single Sign-On service to the existing server farm

1. Restaure el entorno de SSO en un servidor aislado.

2. Vuelva a generar la clave de cifrado.

3. Cifre las credenciales de la base de datos de SSO.

4. Realice una copia de seguridad del entorno de SSO.

5. Restaure el entorno de SSO en la granja de servidores de Office SharePoint Server 2007 existente.

Jonnathan De La Barra Bustinza

Microsoft Certified Technology Specialist Windows SharePoint Services 3.0 ConfiguringMCTS WSS 3.0 Configuring

About justindeveloper

I am MCP (Microsoft Certified Professional). MCTS (Microsoft Certified Technology Specialist) and MCPD (Microsoft Certified Professional Developer), also I am SAP Business One Certified!! Desarrollando desde el IDE de Visual Studio NET 2003 hasta ahora con el Visual Studio NET 2010. Desde Microsoft SQL Server 2000 hasta ahora con el Microsoft SQL Server 2008 R2 y tambien con SharePoint, desde WSS 3.0 y MOSS 2007 y ahora familirizandome con el Sharepoint Foundation 2010 & Sharepoint Server 2010. The software development will follow being every time more wonderful!
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s