Delegación de identidad para Servicios de conectividad empresarial (SharePoint Server 2010)

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este escenario se configurará la aplicación de Servicio de conectividad a datos empresariales para usar la delegación limitada de Kerberos para la autenticación con un servidor SQL Server. Una vez configurada, se creará un nuevo tipo de contenido externo y una lista externa para probar la autenticación y las operaciones de lectura dentro de un sitio de SharePoint.

En este escenario, el origen de datos de BCS y el conjunto o granja de servidores de SharePoint se encuentran en el mismo dominio. Por lo tanto, se configura la delegación limitada de Kerberos para permitir la delegación de identidad al origen de datos back-end. Si requiere autenticarse con orígenes de datos de otros dominios del mismo bosque, deberá configurar la delegación Kerberos básica (sin restricciones). Recuerde que BCS no saca provecho de C2WTS; por lo tanto, puede usar la delegación básica.

Dependencias de escenarios

Para completar este escenario debe haber completado los siguientes artículos:

• Escenario 1: Configuración principal

• Escenario 2: Autenticación Kerberos para OLTP de SQL

Lista de comprobación de configuración

Detalles del entorno del escenario

Instrucciones de configuración paso a paso

Configuración de Active Directory

Crear cuenta de servicio de aplicación de BCS

Como procedimiento recomendado, Servicios de conectividad empresarial debería ejecutarse bajo su propia identidad de dominio. Para configurar la aplicación de BCS, debe crearse una cuenta de Active Directory. En este ejemplo, se han creado las siguientes cuentas:

Validar nombres de entidad de seguridad de servicio

Cuando se usan datos de BCS en sitios de SharePoint, los tipos de contenido externo de BCS se ejecutan en el contexto del grupo de aplicaciones de IIS mediante el tipo ECT. Para que BCS se conecte y autentique con orígenes de datos externos mediante la autenticación Kerberos, la cuenta de servicio del grupo de aplicaciones de IIS y la cuenta de servicio para el origen de datos externo deben tener nombres de entidad de seguridad de servicio configurados. Consulte los escenarios 1 y 2 de este documento para configurar y validar los SPN necesarios en las cuentas de servicio SQL Server y aplicaciones web.

Configurar la delegación

Se debe configurar la delegación Kerberos para permitir que BCS delegue la identidad del cliente. Aunque técnicamente, no se requiere la delegación restringida como Servicios de Excel, se puede usar la delegación sin restricciones para BCS. La limitación del ámbito de la delegación que el servicio puede realizar es un procedimiento recomendado; por lo tanto, en este ejemplo, se configurará la delegación restringida.

Todas las cuentas de servicio de grupo de aplicaciones de IIS que hospeden el sitio que ejecute ECT deben configurarse para permitir la delegación a los servicios back-end.

En este ejemplo, se necesitan las siguientes rutas de acceso de delegación:

Para configurar la delegación restringida

1. Abra las propiedades del objeto de Active Directory en Usuarios y equipos de Active Directory.

2. Navegue hasta la ficha Delegación.

   SP2010 Kerberos Guide228.gif

3. Seleccione Confiar en este usuario para la delegación sólo a los servicios especificados.

   Nota

   Si necesita que BCS se autentique con orígenes de datos del mismo bosque, pero fuera del dominio en que se encuentra SharePoint Server, deberá seleccionar Confiar en este equipo para la delegación a cualquier servicio para configurar la delegación básica en lugar de la delegación restringida. El tipo de contenido externo de BCS se ejecutará en el proceso de trabajo de IIS de la aplicación web y no sacará provecho de C2WTS. Recuerde que no se puede realizar la delegación Kerberos entre bosques.

4. Haga clic en el botón Agregar para seleccionar la entidad de seguridad de servicio a la que se permite delegar.

5. Seleccione Usuarios y equipos.

6. Seleccione la cuenta de servicio que ejecute el servicio que desee delegar. En este ejemplo, es la cuenta de servicio del servicio SQL Server.

   Nota

   La cuenta de servicio seleccionada debe tener aplicado un SPN. En este ejemplo, el SPN para esta cuenta se configuró en un escenario anterior.

7. Haga clic en Aceptar.

8. Seleccione los SPN que desee delegar y, a continuación, haga clic en Aceptar.

9. Seleccione los servicios para el clúster del servidor SQL Server y haga clic en Aceptar.

   Ahora debería ver los SPN seleccionados en la lista Servicios a los que esta cuenta puede presentar credenciales delegadas.

10. Repita estos pasos para cada ruta de acceso de delegación identificada anteriormente en esta sección.

Compruebe el SPN de MSSQLSVC para la cuenta de servicio que ejecuta el servicio en el servidor SQL Server (realizado en el escenario 2)

Compruebe que exista el SPN de la cuenta de servicio de Analysis Services (vmlab\svcSQL) con el siguiente comando SetSPN:

SetSPN -L vmlab\svcSQL

Debería ver lo siguiente:

MSSQLSVC/MySqlCluster

MSSQLSVC/MySqlCluster.vmlab.local:1433

Configuración de SharePoint Server

Iniciar la instancia de servicio BCS

Antes de crear una aplicación de servicio BCS, inicie el servicio BCS en los servidores designados de la granja.

1. Abra Administración central.

2. En Servicios, seleccione Administrar servicios en el servidor.

3. En el cuadro de selección de servidor en la esquina superior derecha, seleccione los servidores que ejecutan Servicios de Excel. En este ejemplo, es VMSP10APP01.

4. Inicie el Servicio de conectividad a datos empresariales.

Crear la aplicación de servicio BCS

A continuación, configure una nueva aplicación de servicio y el proxy de aplicación de BDC para permitir que las aplicaciones web consuman servicios de BDC:

1. Abra Administración central.

2. En Administración de aplicaciones, seleccione Administrar aplicaciones de servicio.

3. Seleccione Nuevo y, a continuación, elija Servicio de conectividad a datos empresariales.

4. Configure la nueva aplicación de servicio. Asegúrese de seleccionar la cuenta de servicio correcta (cree una nueva cuenta administrada si la cuenta de servicio BDC no está en la lista).

Comprobación

Crear un tipo de contenido externo de BCS

Para acceder a datos externos a través de BDC, se debe crear un tipo de contenido externo de BDC. En este ejemplo, se usará SharePoint Designer 2010 para crear el tipo de contenido externo en la aplicación web Portal (http://portal):

1. Abra SharePoint Designer 2010.

2. Abra la colección de sitios de prueba en http://portal.

3. En el panel de navegación izquierdo, haga clic en Tipos de contenido externo.

4. En la sección Nuevo de la cinta de opciones, en la esquina superior izquierda de la página, seleccione Tipo de contenido externo.

5. Asigne un nombre para mostrar al tipo de contenido externo.

6. A continuación, seleccione Haga clic aquí para detectar orígenes de datos externos y definir operaciones.

7. Haga clic en Agregar conexión.

8. En la lista desplegable Tipo de origen de datos, seleccione SQL Server y agregue la información para conectarse con la base de datos de prueba. No olvide seleccionar Conectar con identidad del usuario para probar la delegación.

9. Expanda la nueva conexión. Haga clic con el botón secundario en la tabla de pruebas (Sales) y seleccione Crear todas las operaciones.

10. Debería ver un error que explique que no hay un identificador único definido. Seleccione la columna de identificador y active la casilla de verificación Asignar a identificador. Haga clic en Finalizar para aceptar las opciones predeterminadas y crear las operaciones de ECT.

11. Haga clic en Guardar (CTRL+G). Se publicará ECT en el repositorio de metadatos de la aplicación de servicio BDC.

Configurar la seguridad de BCS

Se deben configurar los permisos de BCS para que los clientes puedan usar el tipo de contenido externo de BCS en la aplicación web portal. BCS admite un modelo de permisos granulares, pero para los fines de esta demostración, se configurará la seguridad en el nivel del repositorio de metadatos y se propagarán los cambios de seguridad a todos los objetos del repositorio.

1. Abra Administración central.

2. En Administración de aplicaciones, seleccione Administrar aplicaciones de servicio.

3. Haga clic en el vínculo para la nueva aplicación de servicio; en este ejemplo, Business Data Services.

4. Seleccione Establecer permisos del almacén de metadatos.

5. En este ejemplo, se configuró Administradores de organización con todos los permisos y Todos los usuarios autenticados con todos los permisos excepto el permiso Establecer permisos.

6. Asegúrese de que la casilla de verificación Propagar permisos esté activada y haga clic en Aceptar para guardar los cambios.

Crear una lista externa de BCS

Para probar el tipo de contenido externo, se configurará una lista externa para mostrar los datos externos en la aplicación portal:

1. Abra SharePoint Designer 2010.

2. Abra la colección de sitios de prueba en http://portal.

3. Seleccione Tipos de contenido externo en el lado izquierdo.

4. Haga clic en el tipo de contenido que creó anteriormente.

5. En la cinta de opciones, haga clic en Crear listas y formulario.

6. Si se le pide que guarde el tipo de contenido externo, haga clic en Sí.

7. En el cuadro de diálogo Crear listas y formulario, escriba un nombre de lista en el cuadro de texto Nombre de lista y haga clic en Aceptar.

Abrir la lista externa en el explorador

1. Abra SharePoint Designer 2010.

2. Abra la colección de sitios de prueba en http://portal.

3. Haga clic en "Listas y bibliotecas" en el panel de navegación izquierdo.

4. Seleccione la lista externa en la parte inferior de la lista Listas y bibliotecas.

5. Haga clic en el botón Vista previa en el explorador.

   Se abrirá Internet Explorer, y mostrará el sitio y la lista externa seleccionados.

6. Valide que los datos externos se muestren correctamente. Para validar aún más la conexión, cambie los datos de origen en SQL Server Management Studio y actualice la página del explorador. Debería ver los cambios en los datos reflejados en el explorador.