Business Connectivity Services-Sicherheitsoperationen (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel werden sicherheitsrelevante administrative Aufgaben für die Business Data Connectivity-Dienstanwendung beschrieben.

Inhalt dieses Artikels:

  • Zuweisen von Administratoren zu einer Business Data Connectivity-Dienstanwendung

  • Festlegen von Berechtigungen für einen Metadatenspeicher

  • RevertToSelf-Authentifizierungsmodus

  • Workflows und externe Listen

  • Festlegen von Berechtigungen zum Generieren von Bereitstellungspaketen durch eine Farm, die den Dienst in Anspruch nimmt

Zuweisen von Administratoren zu einer Business Data Connectivity-Dienstanwendung

Farmadministratoren können die Verwaltung einer bestimmten Business Data Connectivity Service-anwendung an einen Dienstanwendungsadministrator delegieren. Der delegierte Administrator erhält Zugriff auf die Website für die Zentraladministration und kann administrative Aufgaben im Zusammenhang mit dieser Business Data Connectivity Serviceanwendung ausführen.

Tipp

Der delegierte Administrator erhält keine Berechtigungen für den Metadatenspeicher.

So weisen Sie Administratoren einer Business Data Connectivity-Dienstanwendung zu

  1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

    • Sie müssen ein Farmadministrator sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  3. Klicken Sie in der Liste der Dienstanwendungen auf die Zeile mit der Business Data Connectivity Serviceanwendung.

  4. Klicken Sie auf der Registerkarte Dienstanwendungen im Abschnitt Vorgänge auf Administratoren.

  5. Geben Sie in das Textfeld ein Benutzer- oder Gruppenkonto ein, oder wählen Sie ein Konto aus, und klicken Sie dann auf Hinzufügen.

  6. Klicken Sie im FeldBerechtigungen auf Vollzugriff, und klicken Sie dann auf OK.

Festlegen von Berechtigungen für einen Metadatenspeicher

Jede Business Data Connectivity Serviceanwendung enthält einen Metadatenspeicher, der alle Modelle, externen Systeme, externen Inhaltstypen, Methoden und Methodeninstanzen umfasst, die für den Zweck dieses Speichers definiert wurden. Sie legen Berechtigungen für einen Metadatenspeicher fest, um anzugeben, wer Elemente im Metadatenspeicher bearbeiten und wer für den Metadatenspeicher Berechtigungen festlegen kann.

Es wird empfohlen, einzelnen Benutzern oder Gruppen, die Berechtigungen benötigen, jeweils die niedrigsten Berechtigungen zuweisen, mit denen sie die erforderlichen Aufgaben erfüllen können. Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Business Connectivity Services-Berechtigungen (Übersicht) im Artikel "Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Server 2010)".

So legen Sie Berechtigungen für einen Metadatenspeicher fest

  1. Stellen Sie sicher, dass Sie über eines der folgenden Administratorrechte verfügen:

    • Sie müssen ein Farmadministrator sein.

    • Sie müssen der Administrator der Business Data Connectivity Serviceanwendung sein und über die Berechtigung Berechtigungen festlegen für den Metadatenspeicher verfügen.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  3. Klicken Sie in der Liste der Dienstanwendungen auf die Zeile mit der Business Data Connectivity Serviceanwendung.

  4. Klicken Sie auf der Registerkarte Dienstanwendungen im Abschnitt Vorgänge auf Verwalten.

  5. Klicken Sie auf der Registerkarte Bearbeiten in der Gruppe Berechtigungen auf Berechtigungen für den Metadatenspeicher festlegen.

  6. Geben Sie in das Textfeld die Benutzerkonten, Gruppen oder Ansprüche ein, für die Berechtigungen erteilt werden sollen, und klicken Sie dann auf Hinzufügen.

    Hinweis

    Für die Namen von Benutzerkonten, Gruppen oder Ansprüchen ist kein senkrechter Strich (|) zulässig.

  7. Legen Sie die Berechtigungen für das Konto, die Gruppe oder den Anspruch fest:

    Hinweis

    Mindestens ein Benutzer, eine Gruppe oder ein Anspruch in der Zugriffssteuerungsliste des Metadatenobjekts muss die Berechtigung Berechtigungen festlegen aufweisen.

    • Klicken Sie auf Bearbeiten, um dem Benutzer, der Gruppe oder dem Anspruch das Erstellen externer Systeme, das Erstellen von Modellen, das Importieren von Modellen und das Exportieren von Modellen zu erlauben.

      SicherheitshinweisSecurity Note
      Die Berechtigung Bearbeiten sollte als hohe Berechtigung betrachtet werden. Mit der Berechtigung Bearbeiten kann ein böswilliger Benutzer Anmeldeinformationen stehlen oder eine Serverfarm beschädigen. Zugunsten der Sicherheit einer Lösung sollten Sie eine Testumgebung verwenden, in der die Berechtigung Bearbeiten Entwicklern und Lösungsdesignern frei zugewiesen werden kann. Beim Bereitstellen der getesteten Lösung in einer Produktionsumgebung sollten Sie dann die Berechtigung Bearbeiten entfernen.

    • Klicken Sie auf Ausführen, um dem Benutzer, der Gruppe oder dem Anspruch das Ausführen von Vorgängen (Erstellen, Lesen, Aktualisieren, Löschen oder Abfragen) für externe Inhaltstypen zu erlauben.

      Tipp

      Die Berechtigung Ausführen ist auf den Metadatenspeicher selbst nicht anwendbar. Mit dieser Einstellung kann die Ausführungsberechtigung an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

    • Klicken Sie auf Auswählbar in Clients, um dem Benutzer, der Gruppe oder dem Anspruch das Erstellen von externen Listen beliebiger externer Inhaltstypen und das Anzeigen der externen Inhaltstypen im Auswahltool für externe Elemente zu erlauben.

      Tipp

      Die Berechtigung Auswählbar in Clients ist auf den Metadatenspeicher selbst nicht anwendbar. Mit dieser Einstellung kann die Berechtigung Auswählbar in Clients an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

    • Klicken Sie auf Berechtigungen festlegen, um dem Benutzer, der Gruppe oder dem Anspruch das Festlegen von Berechtigungen für den Metadatenspeicher zu erlauben.

      SicherheitshinweisSecurity Note
      Die Berechtigung Berechtigungen festlegen sollte als hohe Berechtigung betrachtet werden. Mit der Berechtigung Berechtigungen festlegen kann ein Benutzer die Berechtigung Bearbeiten für den Metadatenspeicher gewähren.

  8. Klicken Sie auf Berechtigungen an alle BDC-Modelle, externen Systeme und externen Inhaltstypen im BDC-Metadatenspeicher weitergeben. Auf diese Weise werden vorhandene Berechtigungen überschrieben., um Berechtigungen an alle Elemente im Metadatenspeicher weiterzugeben.

RevertToSelf-Authentifizierungsmodus

Jedem externen Inhaltstyp ist ein Authentifizierungsmodus zugeordnet. Durch den Authentifizierungsmodus erhält Business Connectivity Services Informationen zur Verarbeitung einer eingehenden Authentifizierungsanforderung von einem Benutzer. Der Anforderung wird ein Satz von Anmeldeinformationen zugeordnet, die an das externe Inhaltssystem übergeben werden können. Der RevertToSelf-Authentifizierungsmodus (wird auch als BDC-Identitätsauthentifizierungsmodus bezeichnet) ist standardmäßig nicht aktiviert. Modelle, die "RevertToSelf" verwenden, können nur erstellt oder importiert werden, wenn der RevertToSelf-Authentifizierungsmodus aktiviert ist.

Der RevertToSelf-Authentifizierungsmodus verwendet das Anwendungspoolkonto, unter dem Business Connectivity Services ausgeführt wird, um den angemeldeten Benutzer für das externe System zu authentifizieren. Wenn z. B. ein Benutzer eine externe Liste öffnet, wird das Anwendungspoolkonto des Front-End-Webservers, auf dem die externe Liste gespeichert ist, für die Authentifizierung verwendet. Das Anwendungspoolkonto ist ein Konto mit hohen Berechtigungen. Standardmäßig hat das Anwendungspoolkonto Schreibberechtigung für die Farmkonfigurationsdatenbank. Bei Verwendung des RevertToSelf-Modus kann sich jeder Benutzer, der ein Modell erstellen oder bearbeiten kann, für das der RevertToSelf-Modus verwendet wird, als Administrator der SharePoint-Farm ausgeben.

Der RevertToSelf-Authentifizierungsmodus wird für Produktionsumgebungen nicht empfohlen. Wir empfehlen, Secure Store Service zu verwenden.

Berücksichtigen Sie Folgendes, falls Sie den RevertToSelf-Authentifizierungsmodus in einer Produktionsumgebung verwenden müssen:

  • Jeder Benutzer, der Modelle erstellen oder bearbeiten kann, einschließlich Benutzern von SharePoint Designer, sollten im Hinblick auf die Sicherheit als gleichwertig mit einem Farmadministrator betrachtet werden. Sie müssen ihnen vertrauen, so wie dies bei einem Farmadministrator der Fall ist.

  • Sie müssen die Verwendung des Anwendungspoolkontos so weit wie möglich beschränken. Dadurch kann der Schaden, den ein böswilliger Benutzer an der SharePoint-Farm und an externen Systemen anrichten kann, begrenzt werden.

Aktivieren des RevertToSelf-Authentifizierungsmodus

Nach der Aktivierung des RevertToSelf-Authentifizierungsmodus können neue Modelle, die "RevertToSelf" verwenden, erstellt und importiert werden.

SicherheitshinweisSecurity Note
Der RevertToSelf-Authentifizierungsmodus wird für Produktionsumgebungen nicht empfohlen. Vor der Aktivierung des RevertToSelf-Authentifizierungsmodus sollten Sie unbedingt die Auswirkungen der Aktivierung des RevertToSelf-Authentifizierungsmodus nachgelesen und verstanden haben.

Hinweis

"RevertToSelf" ist in Hostumgebungen nicht zulässig.

So aktivieren Sie den RevertToSelf-Authentifizierungsmodus

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie imStartmenü auf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

    1. Geben Sie zum Erstellen einer Variablen, die die Business Data Connectivity Serviceanwendung enthält, den folgenden Befehl ein:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Dabei ist <ServiceName> der Name der Business Data Connectivity Serviceanwendung. Hierbei kann es sich auch um einen regulären Ausdruck handeln (z. B. "BDC").

      Hinweis

      Wenn die Business Data Connectivity Serviceanwendung eine freigegebene Dienstanwendung ist, muss dieser Befehl in der Farm ausgeführt werden, in der die Dienstanwendung veröffentlicht wird.

    2. Geben Sie den folgenden Befehl ein, um den RevertToSelf-Authentifizierungsmodus zu aktivieren:

      $bdc.RevertToSelfAllowed = $true

Deaktivieren des RevertToSelf-Authentifizierungsmodus

Wenn der RevertToSelf-Authentifizierungsmodus deaktiviert wird, können neue Modelle, die "RevertToSelf" verwenden, nicht erstellt oder importiert werden.

Hinweis

Vorhandene Modelle, die "RevertToSelf" verwenden, sind weiterhin funktionsfähig. Sie müssen die vorhandenen Modelle löschen, wenn Sie alle Instanzen der RevertToSelf-Authentifizierung aus der Farm entfernen möchten.

So deaktivieren Sie den RevertToSelf-Authentifizierungsmodus

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie imStartmenü auf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

    1. Geben Sie zum Erstellen einer Variablen, die die Business Data Connectivity Serviceanwendung enthält, den folgenden Befehl ein:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Dabei ist <ServiceName> der Name der Business Data Connectivity Serviceanwendung. Hierbei kann es sich auch um einen regulären Ausdruck handeln (z. B. "BDC").

      Hinweis

      Wenn die Business Data Connectivity Serviceanwendung eine freigegebene Dienstanwendung ist, muss dieser Befehl in der Farm ausgeführt werden, in der die Dienstanwendung veröffentlicht wird.

    2. Geben Sie den folgenden Befehl ein, um den RevertToSelf-Authentifizierungsmodus zu deaktivieren:

      $bdc.RevertToSelfAllowed = $false

Workflows und externe Listen

Zusätzliche Konfigurationsschritte sind erforderlich, wenn Sie Workflows entwickeln möchten, die mit externen Listen interagieren. In den folgenden Abschnitten werden Anforderungen beschrieben, die sich auf das Workflowverhalten auswirken können.

Hinweis

Workflows können nicht mit externen Listen in einer Hostumgebung interagieren.

Workflows können nicht direkt einer externen Liste zugeordnet werden

Die externen Daten werden nicht in SharePoint Server gespeichert, weshalb der Workflow nicht informiert werden kann, wenn ein Element in der externen Liste geändert wird. Stattdessen können Sie einen Website-Workflow oder einen Listenworkflow erstellen und dann eine externe Liste durch den Workflow lesen oder aktualisieren lassen. Darüber hinaus können Sie ein externes Listenelement als Ziel für einen Aufgabenprozess in SharePoint Designer verwenden. In der Aufgabenverknüpfung wird jedoch kein Titel für das externe Listenelement angezeigt.

Workflows werden manchmal als Dienstkonto ausgeführt

Workflows werden in den folgenden Szenarien als Dienstkonto (in der Regel das Anwendungspoolkonto) ausgeführt:

  • Visual Studio-Workflows.

  • Deklarative Workflows, die mit externen Listen interagieren und automatisch gestartet werden. Dies gilt auch, wenn Sie einen Identitätswechselschritt im Workflow ausführen.

In diesem Fall müssen Sie dem Dienstkonto die Ausführungsberechtigung für den externen Inhaltstyp erteilen, der der externen Liste zugeordnet ist, und überprüfen, ob das Dienstkonto die erforderlichen Berechtigungen für den Zugriff auf das externe System aufweist.

Workflows und Authentifizierung

Zur Unterstützung von Workflowaktivitäten muss der externe Inhaltstyp, der der externen Liste zugeordnet ist, "RevertToSelf" oder Secure Store Service für die Authentifizierung verwenden.

Hinweis

Diese Einschränkungen bezüglich des Authentifizierungsmodus gelten nicht, wenn Sie einen .NET Assembly-Connector oder einen benutzerdefinierten Konnektor verwenden.

  • Authentifizieren mithilfe von "RevertToSelf"

    Mit dem RevertToSelf-Authentifizierungsmodus (wird auch als BDC-Identitätsauthentifizierungsmodus bezeichnet) erfolgt die Authentifizierung beim externen System mit dem Anwendungspoolkonto des Front-End-Webservers, auf dem die externe Liste gespeichert ist. Dies bedeutet, dass für das Anwendungspoolkonto die Zugriffsberechtigung für das externe System benötigt wird. Die RevertToSelf-Authentifizierung ist standardmäßig nicht aktiviert. Sie müssen den RevertToSelf-Authentifizierungsmodus aktivieren, damit Sie Modelle erstellen oder importieren können, die die RevertToSelf-Authentifizierung verwenden.

    SicherheitshinweisSecurity Note
    Die RevertToSelf-Authentifizierung wird für Produktionsumgebungen nicht empfohlen.

    Weitere Informationen zur RevertToSelf-Authentifizierung finden Sie unter RevertToSelf-Authentifizierungsmodus.

  • Authentifizieren mithilfe von Secure Store Service

    Secure Store Service (Dienst Einmaliges Anmelden) ermöglicht die sichere Speicherung von Daten, die Anmeldeinformationen für die Verbindung mit externen Systemen enthalten, und die Zuordnung dieser Anmeldeinformationen zu einer bestimmten Identität oder Gruppe von Identitäten. Sie müssen sicherstellen, dass der externe Inhaltstyp einen der Secure Store Service-Authentifizierungsmodi verwendet.

    SicherheitshinweisSecurity Note
    Falls der Workflow als Dienstkonto ausgeführt wird, empfiehlt es sich, das Dienstkonto einem Konto mit niedrigeren Rechten zuzuordnen. Beispielsweise können Sie eine ID der Zielanwendung für einmaliges Anmelden erstellen, mit der das Dienstkonto einem Konto zugeordnet wird, das minimale Berechtigungen aufweist und nur Zugriff auf das erforderliche externe System hat.

Weitere Informationen zu Authentifizierungsmodi finden Sie unter Business Connectivity Services-Berechtigungen (Übersicht) im Artikel "Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Server 2010)".

Festlegen von Berechtigungen zum Generieren von Bereitstellungspaketen durch eine Farm, die den Dienst in Anspruch nimmt

Die Business Data Connectivity Serviceanwendung kann von mehreren Serverfarmen gemeinsam genutzt werden. Die Farm, die die Business Data Connectivity Serviceanwendung enthält und die Business Data Connectivity Serviceanwendung veröffentlicht, wird als Veröffentlichungsfarm bezeichnet. Die Farm, die den Dienst in Anspruch nimmt, ist die Farm, die eine Verbindung mit einem Remotestandort herstellt, um die Business Data Connectivity Serviceanwendung zu verwenden.

Wenn ein Benutzer eine externe Liste offline schaltet, generiert das Anwendungspoolkonto, das von dem Front-End-Webserver verwendet wird, in dem die externe Liste gespeichert ist, ein Bereitstellungspaket, das dann auf dem Clientcomputer installiert wird. In der Veröffentlichungsfarm hat das Anwendungspoolkonto des Front-End-Servers Vollzugriff auf den Metadatenspeicher, um das Bereitstellungspaket zu generieren. Wenn die Farm, die den Dienst in Anspruch nimmt, in der Lage sein soll, Bereitstellungspakete zu generieren, müssen Sie die Berechtigungen Bearbeiten und Berechtigungen festlegen für den Metadatenspeicher dem Anwendungspoolkonto erteilen, das vom Front-End-Server in der Farm, die den Dienst in Anspruch nimmt, verwendet wird. Wenn Sie diese zusätzlichen Berechtigungen nicht dem Anwendungspoolkonto erteilen, können externe Listen, die in der Farm gespeichert sind, die den Dienst in Anspruch nimmt, nicht offline geschaltet werden.

SicherheitshinweisSecurity Note
Wenn Sie dem Anwendungspoolkonto der Farm, die den Dienst in Anspruch nimmt, die Berechtigungen Bearbeiten und Berechtigungen festlegen für den Metadatenspeicher erteilen, wird dieses Konto zu einem Farmadministrator in der Veröffentlichungsfarm.

Hinweis

Dieser Abschnitt gilt nur für lokale SharePoint Server-Bereitstellungen.

Weitere Informationen zu Bereitstellungen externer Listen finden Sie unter Planen der Business Connectivity Services-Clientintegration (SharePoint Server 2010).

So weisen Sie dem Anwendungspoolkonto der Farm, die den Dienst in Anspruch nimmt, Berechtigungen zu

  1. Stellen Sie sicher, dass Sie über eines der folgenden Administratorrechte verfügen:

    • Sie müssen ein Farmadministrator in der Veröffentlichungsfarm sein.

    • Sie müssen der Administrator der Business Data Connectivity Serviceanwendung sein und über die Berechtigung Berechtigungen festlegen für den Metadatenspeicher verfügen.

  2. Klicken Sie auf der Website für die Zentraladministration der Veröffentlichungsfarm im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  3. Klicken Sie auf eine Instanz einer Business Data Connectivity Serviceanwendung.

  4. Klicken Sie auf der Registerkarte Bearbeiten in der Gruppe Berechtigungen auf Berechtigungen für den Metadatenspeicher festlegen.

  5. Geben Sie in das Textfeld das Anwendungspoolkonto ein, das vom Front-End-Webserver in der Farm, die den Dienst in Anspruch nimmt, verwendet wird. Klicken Sie anschließend auf Hinzufügen.

  6. Klicken Sie im Feld Berechtigungen auf Bearbeiten, und klicken Sie dann auf Berechtigungen festlegen.

  7. Klicken Sie auf OK.

Weitere Informationen zu freigegebenen Dienstanwendungen finden Sie unter Freigeben von Dienstanwendungen für mehrere Farmen (SharePoint Server 2010).

See Also

Concepts

Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Server 2010)