Introducción a la seguridad de Servicios de conectividad empresarial (SharePoint Server 2010)

Artículo
12/13/2016

Se aplica a: SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se describe la arquitectura de seguridad del servidor y el cliente de los Servicios de conectividad empresarial de Microsoft, los entornos de seguridad admitidos, los modos de autenticación disponibles para conectar tipos de contenido externo a sistemas externos, las opciones de autorización disponibles en objetos almacenados y las técnicas generales para configurar la seguridad de los Servicios de conectividad empresarial de Microsoft.

En este artículo:

Acerca de este artículo
Arquitectura de seguridad de los Servicios de conectividad empresarial
Introducción a la autenticación de los Servicios de conectividad empresarial
Introducción a los permisos de los Servicios de conectividad empresarial
Protección de Servicios de conectividad empresarial

Acerca de este artículo

Los Servicios de conectividad empresarial de Microsoft incluyen características de seguridad para autenticar a los usuarios de modo que puedan obtener acceso a sistemas externos y para configurar los permisos en los datos de sistemas externos. Los Servicios de conectividad empresarial de Microsoft son sumamente flexibles y pueden incluir una gran variedad de métodos de seguridad en las aplicaciones de Microsoft Office 2010 admitidas y el explorador web.

Arquitectura de seguridad de los Servicios de conectividad empresarial

En esta sección se describe la arquitectura de seguridad de los Servicios de conectividad empresarial de Microsoft cuando se realiza una autenticación desde un explorador web y cuando se realiza desde una aplicación cliente de Office 2010 admitida, como Microsoft Outlook 2010.

Security Note
Se recomienda usar la Capa de sockets seguros (SSL) en todos los canales entre los equipos cliente y los servidores front-end. También se recomienda usar la Capa de sockets seguros o el protocolo de seguridad de Internet (IPSec) entre los servidores que ejecutan Microsoft SharePoint Server 2010 y los sistemas externos. Una excepción es que no se puede usar SSL durante la transmisión de mensajes a sistemas externos mediante el protocolo SOAP 1.1 o durante la conexión a una base de datos SQL Server. Sin embargo, en esos casos, se puede usar IPSec para proteger el intercambio de datos.

Se recomienda usar la Capa de sockets seguros (SSL) en todos los canales entre los equipos cliente y los servidores front-end. También se recomienda usar la Capa de sockets seguros o el protocolo de seguridad de Internet (IPSec) entre los servidores que ejecutan Microsoft SharePoint Server 2010 y los sistemas externos. Una excepción es que no se puede usar SSL durante la transmisión de mensajes a sistemas externos mediante el protocolo SOAP 1.1 o durante la conexión a una base de datos SQL Server. Sin embargo, en esos casos, se puede usar IPSec para proteger el intercambio de datos.

Obtención de acceso a datos externos desde en explorador web

Cuando un usuario obtiene acceso a datos externos desde un explorador web, participan tres sistemas: el equipo cliente del usuario conectado, el conjunto o granja de servidores web y el sistema externo.

Arquitectura de seguridad BCS desde un explorador web

En los exploradores web, los usuarios suelen interactuar con datos externos en listas externas o mediante elementos web.
El tiempo de ejecución del servidor BDC en los servidores front-end usa datos del Servicio de conectividad a datos empresariales para establecer una conexión con los sistemas externos y ejecutar operaciones en dichos sistemas.
El Servicio de almacenamiento seguro almacena de modo seguro los conjuntos de credenciales para sistemas externos y los asocia con identidades individuales o de grupo.
El servicio de token de seguridad es un servicio web que responde a las solicitudes de autenticación mediante la emisión de tokens de seguridad formados por notificaciones de identidad que se basan en la información de cuentas de usuario.
Los Servicios de conectividad empresarial de Microsoft pueden pasar las credenciales a bases de datos y servicios web configurados para usar la autenticación basada en notificaciones. Para obtener información general acerca del Servicio de almacenamiento seguro, vea Planeación del Servicio de almacenamiento seguro (SharePoint Server 2010). Para obtener información general acerca de la autenticación basada en notificaciones, vea Planeación de los métodos de autenticación (SharePoint Server 2010).

Obtención de acceso a datos externos desde una aplicación cliente de Office

Cuando se obtiene acceso a datos externos desde una aplicación cliente de Office admitida, participan dos sistemas en esta operación: el equipo cliente del usuario conectado y el sistema externo. Este modelo se admite cuando un usuario interactúa con los datos externos mediante Outlook 2010, Microsoft SharePoint Workspace o Microsoft Word 2010.

Seguridad BCS desde una aplicación cliente de Office

En general, los usuarios de Outlook 2010 usan los datos externos en elementos de Outlook, como Contactos o Tareas. Los usuarios de SharePoint Workspace 2010 pueden obtener listas externas sin conexión e interactuar con ellas. Los usuarios de Word 2010 pueden insertar datos externos en documentos de Word.
El tiempo de ejecución del cliente de integración con Office funciona como un conector entre los Servicios de conectividad empresarial de Microsoft que se ejecutan en el cliente y las aplicaciones de Office admitidas.
Si los datos externos se configuran para usar la autenticación basada en notificaciones, el cliente interactúa con el servicio de token de seguridad de la granja de servidores de SharePoint para obtener un token de notificaciones. (Vea Configuración de la autenticación de notificaciones (SharePoint Server 2010) para obtener más información).
El tiempo de ejecución del cliente BDC de los equipos cliente usa los datos de los Servicio de conectividad a datos empresariales para conectarse a sistemas externos, ejecutar operaciones en ellos y obtener un acceso de cliente amplio.
La memoria caché del cliente recopila información de los Servicio de conectividad a datos empresariales y el Servicio de almacenamiento seguro necesario para conectarse de forma segura a los datos externos. La memoria caché se actualiza desde la granja de servidores de SharePoint para incorporar información actualizada.
El Servicio de almacenamiento seguro cliente permite a los usuarios finales configurar sus credenciales de seguridad.
Los Servicios de conectividad empresarial de Microsoft pueden transferir las credenciales a bases de datos y servicios para notificaciones.

Introducción a la autenticación de los Servicios de conectividad empresarial

Los Servicios de conectividad empresarial de Microsoft se pueden configurar de modo que pasen solicitudes de autenticación a sistemas externos mediante los siguientes tipos de métodos:

Credenciales. En general, tienen un formato de nombre y contraseña. Es posible que algunos sistemas externos requieran credenciales adicionales como un valor de número de identificación personal (PIN).
Notificaciones. Los vales del lenguaje de marcado de aserción de seguridad (SAML) se pueden pasar a los servicios para notificaciones que suministran datos externos.

Configuración de los Servicios de conectividad empresarial para la autenticación de credenciales

Los Servicios de conectividad empresarial de Microsoft pueden usar las credenciales que suministran los usuarios para autenticar las solicitudes para datos externos. Se admiten los siguientes métodos, mediante los cuales los usuarios pueden suministrar credenciales para obtener acceso a datos externos:

Autenticación de Windows:
- Desafío/respuesta de Windows (NTLM)
- Microsoft Negotiate
Otras autenticaciones que no sean de Windows
- Basadas en formularios
- Implícita
- Básica

Al configurar los Servicios de conectividad empresarial de Microsoft para que pasen credenciales, el diseñador de soluciones agrega información del modo de autenticación a los tipos de contenido externo. El modo de autenticación proporciona información de los Servicios de conectividad empresarial de Microsoft acerca de cómo procesar una solicitud de autenticación entrante de un usuario y asignar la solicitud a un conjunto de credenciales que puede pasarse al sistema de contenido externo. Por ejemplo, un modo de autenticación puede especificar que las credenciales del usuario pueden pasarse directamente mediante el sistema de datos externos. Otra posibilidad es especificar que las credenciales del usuario se asignen a una cuenta almacenada en un Servicio de almacenamiento seguro, que debe pasarse posteriormente al sistema externo.

Se puede asociar un modo de autenticación con un tipo de contenido externo de los siguientes modos:

Cuando se crea un tipo de contenido externo en Microsoft SharePoint Designer o Microsoft Visual Studio 2010.
Si el sistema externo es un servicio web, se pueden usar las páginas de administración de los Servicios de conectividad empresarial de Microsoft para especificar el modo de autenticación.
Se puede especificar el modo de autenticación mediante la edición directa del archivo .XML que define el tipo de contenido externo.

En la siguiente tabla se describen los modos de autenticación de los Servicios de conectividad empresarial de Microsoft:

Modo de autenticación	Descripción
PassThrough	Pasa las credenciales del usuario conectado al sistema externo. Esto requiere que el sistema externo reconozca las credenciales del usuario. Nota Si la aplicación web no está configurada para la autenticación con credenciales de Windows, se pasa la cuenta NT Authority/Inicio de sesión anónimo al sistema externo en lugar de las credenciales del usuario. Este modo se denomina Identidad del usuario en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.
RevertToSelf	Cuando el usuario obtiene acceso a datos externos desde un explorador web, este modo omite las credenciales del usuario y envía al sistema externo la cuenta de identidad del grupo de aplicaciones en la que se ejecuta el tiempo de ejecución de BCS en el servidor web. Cuando el usuario obtiene acceso a datos externos desde una aplicación cliente de Office, este modo es equivalente al modo PassThrough, ya que los Servicios de conectividad empresarial de Microsoft que se ejecutan en el cliente se ejecutarán bajo las credenciales del usuario. Este modo se denomina Identidad de BDC en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010. Nota De forma predeterminada, no está habilitado el modo RevertToSelf. Debe usar Windows PowerShell para habilitar el modo RevertToSelf para poder crear o importar modelos que usen RevertToSelf. Para obtener más información, vea Modo de autenticación RevertToSelf. El modo RevertToSelf no se admite en entornos hospedados.
WindowsCredentials	Para las bases de datos o los servicios web externos, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales de Windows en el sistema externo. Este modo se denomina Identidad de Windows suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.
Credentials	Para un servicio web externo, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales suministradas por un origen que no es Windows y que se usan para obtener acceso a datos externos. El servicio web debe usar la autenticación básica o implícita cuando se usa este modo. Importante Para preservar la seguridad en este modo, se recomienda proteger la conexión entre los Servicios de conectividad empresarial de Microsoft y el sistema externo mediante la Capa de sockets seguros (SSL) o el protocolo de seguridad de Internet (IPSec). Este modo se denomina Identidad personalizada suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en Office SharePoint Designer.
RDBCredentials	Para una base de datos externa, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales suministradas por un origen que no es Windows. Para preservar la seguridad en este modo, se recomienda proteger la conexión entre los Servicios de conectividad empresarial de Microsoft y el sistema externo mediante la Capa de sockets seguros (SSL) o IPSec. Este modo se denomina Identidad personalizada suplantada en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en Office SharePoint Designer.
DigestCredentials	En un servicio web de WCF, este modo usa un Servicio de almacenamiento seguro para asignar las credenciales del usuario a un conjunto de credenciales mediante la autenticación implícita. Este modo se denomina Suplantación de identidad personalizada - Resumen en las páginas de administración de Servicios de conectividad empresarial de Microsoft y en SharePoint Designer 2010.

En la siguiente ilustración se muestran los modos de autenticación de los Servicios de conectividad empresarial de Microsoft si se usan credenciales.

Autenticación de Servicios de conectividad empresarial

En el modo PassThrough (identidad del usuario) (A), las credenciales del usuario conectado se pasan directamente al sistema externo.
En el modo RevertToSelf (identidad BDC) (B), las credenciales del usuario conectado se reemplazan por las credenciales de la cuenta de proceso en la que se ejecutan los Servicios de conectividad empresarial de Microsoft y dichas credenciales se pasan al sistema externo.
Tres modos usan el Servicio de almacenamiento seguro: WindowsCredentials (identidad de Windows suplantada), RdbCredentials (identidad personalizada suplantada) y Credentials. En esos modos, las credenciales del usuario se asignan a un conjunto de credenciales para el sistema externo y los Servicios de conectividad empresarial de Microsoft pasan esas credenciales al sistema externo. Los administradores de soluciones pueden asignar las credenciales de cada usuario a una cuenta única en el sistema externo o asignar un conjunto de usuarios autenticados a una sola cuenta de grupo.

Configuración de los Servicios de conectividad empresarial para la autenticación basada en notificaciones

Los Servicios de conectividad empresarial de Microsoft pueden proporcionar acceso a datos externos basados en tokens de seguridad entrantes y pueden pasar los tokens de seguridad a sistemas externos. Un token de seguridad está formado por un conjunto de notificaciones de identidad sobre un usuario y el uso de tokens de seguridad para la autenticación se denomina “autenticación basada en notificaciones”. SharePoint Server incluye un servicio de token de seguridad que emite tokens de seguridad.

En la siguiente ilustración se muestra cómo el servicio de token de seguridad y el Servicio de almacenamiento seguro funcionan de forma conjunta en la autenticación basada en notificaciones:

Autenticación de notificaciones en Servicios de conectividad empresarial

Un usuario intenta realizar una operación en una lista externa configurada para la autenticación de notificaciones.
La aplicación cliente solicita un token de seguridad del servicio de token de seguridad.
En función de la identidad del usuario solicitante, el servicio de token de seguridad emite un token de seguridad que contiene un conjunto de notificaciones y un identificador de aplicaciones de destino. El servicio de token de seguridad devuelve el token de seguridad a la aplicación cliente.
El cliente pasa el token de seguridad al Servicio de almacenamiento seguro.
El Servicio de almacenamiento seguro evalúa el token de seguridad y usa el identificador de aplicaciones de destino para devolver un conjunto de credenciales que se aplican al sistema externo.
El cliente recibe las credenciales y las pasa al sistema externo para poder realizar una operación (por ejemplo, recuperar o actualizar datos externos).

Introducción a los permisos de los Servicios de conectividad empresarial

Los permisos de los Servicios de conectividad empresarial de Microsoft asocian una cuenta individual, una cuenta de grupo o una notificación con uno o más niveles de permisos en un objeto de un almacén de metadatos. Al establecer correctamente los permisos en los objetos de los Servicios de conectividad empresarial de Microsoft, se facilita la habilitación de soluciones para incorporar datos externos de forma segura. Al planear una estrategia de permisos, se recomienda proporcionar permisos específicos a cada usuario o grupo que los necesite para que las credenciales concedan los privilegios mínimos requeridos para realizar las tareas necesarias.

Advertencia

El establecimiento de los permisos adecuados en los Servicios de conectividad empresarial de Microsoft es un elemento de una estrategia de seguridad global. Es igualmente importante proteger los datos de los sistemas externos. El modo en que se hace esto depende de las características y el modelo de seguridad del sistema externo, y va más allá del propósito de este artículo.

Nota

Servicios de conectividad empresarial usa los permisos de los objetos de metadatos y los permisos del sistema externo para determinar las reglas de autorización. Por ejemplo, un optimizador de seguridad puede impedir que aparezcan datos externos en los resultados de la búsqueda de los usuarios. Sin embargo, si de alguna manera los usuarios detectan la dirección URL de los datos externos recortados, podrán obtener acceso a los datos externos si tienen los permisos necesarios en el objeto de metadatos y en el sistema externo. El modo correcto de impedir que los usuarios tengan acceso a los datos externos consiste en establecer los permisos adecuados tanto en Servicios de conectividad empresarial como en el sistema externo.

¿Qué permisos se pueden establecer?

Cada sesión del Servicio de conectividad a datos empresariales (en el caso de hospedaje, cada partición) contiene un almacén de metadatos que incluye todos los modelos, sistemas externos, tipos de contenido externo, métodos y sesiones de métodos definidos para el propósito de este almacén. Estos objetos existen en una jerarquía, tal como se representa en la siguiente ilustración:

Jerarquía del almacén de metadatos

Nota

En el gráfico de jerarquía anterior, las etiquetas entre paréntesis son los nombres de los objetos tal y como están definidos en el esquema de metadatos de Servicios de conectividad empresarial de Microsoft. Las etiquetas que no están entre paréntesis son los nombres de cada objeto tal como aparecen en la interfaz de usuario del Servicio de conectividad a datos empresariales. Para obtener una explicación completa del esquema de metadatos de Servicios de conectividad empresarial de Microsoft y tutoriales sobre varias tareas de desarrollo, vea el kit de desarrollo de software de Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0xC0A ).

La jerarquía de los objetos de un almacén de metadatos determina qué objetos pueden propagar sus permisos a otros objetos. En la ilustración, cada objeto en el que se pueden establecer permisos y propagarlos opcionalmente, se muestra con una línea sólida y cada objeto que obtiene los permisos del objeto primario se muestra con una línea de puntos. Por ejemplo, en la ilustración se muestra que un sistema externo (LobSystem) se puede proteger mediante la asignación de permisos, pero a una acción no se le pueden asignar permisos directamente. Los objetos a los que no se pueden asignar permisos obtienen sus permisos de los objetos primarios. Por ejemplo, una acción obtiene los permisos del tipo de contenido externo (entidad) primario.

Security Note
Una vez que se propagan los permisos en un objeto de un almacén de metadatos, la configuración de los permisos de todos los elementos secundarios de ese elemento se reemplaza por los permisos del objeto que propaga. Por ejemplo, si los permisos se propagan desde un tipo de contenido externo, todos los métodos y sesiones Instancias de métodos de ese tipo de contenido externo reciben los permisos nuevos.

Una vez que se propagan los permisos en un objeto de un almacén de metadatos, la configuración de los permisos de todos los elementos secundarios de ese elemento se reemplaza por los permisos del objeto que propaga. Por ejemplo, si los permisos se propagan desde un tipo de contenido externo, todos los métodos y sesiones Instancias de métodos de ese tipo de contenido externo reciben los permisos nuevos.

Se pueden establecer cuatro niveles de permisos en el almacén de metadatos y en los objetos que este contiene:

Editar

Security Note
El permiso de edición debe tener privilegios elevados. Con este permiso, un usuario malintencionado puede robar credenciales o dañar un conjunto o granja de servidores. En un sistema de producción, se recomienda conceder permisos de edición solo a los usuarios considerados de confianza para poseer permisos de administrador.

Ejecutar
Seleccionable en clientes
Establecer permisos

En la siguiente tabla se define el significado de estos permisos en todos los objetos para los que se pueden establecer.

Nombre	Definición	Permisos Editar	Permisos Ejecutar	Permisos Seleccionable en clientes	Permisos Establecer permisos
Almacén de metadatos	La colección de archivos XML, almacenada en el Servicio de conectividad a datos empresariales. Cada una contiene definiciones de modelos, tipos de contenido externo y sistemas externos.	El usuario puede crear sistemas externos nuevos.	Aunque el permiso “Ejecutar” no está en un repositorio de metadatos, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.	Aunque el permiso “Seleccionable en clientes” no está en un repositorio de metadatos, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.	El usuario puede establecer permisos en todos los objetos del almacén de metadatos mediante su propagación desde el almacén de metadatos.
Modelo	Un archivo XML que contiene conjuntos de descripciones de uno o varios tipos de contenido externo y de los sistemas externos relacionados, e información específica del entorno, como las propiedades de autenticación.	El usuario puede editar el archivo de modelo.	El permiso “Ejecutar” no se aplica a los modelos.	El permiso “Seleccionable en clientes” no se aplica a los modelos.	El usuario puede establecer permisos en el modelo.
Sistema externo	La definición de metadatos de un origen de datos admitido que se puede modelar, como una base de datos, un servicio web o un ensamblado de conectividad .NET.	El usuario puede editar el sistema externo. El establecimiento de este permiso también hace visibles en SharePoint Designer el sistema externo y todas las sesiones de sistemas externos que este contiene.	Aunque el permiso “Ejecutar” no está en un sistema externo, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.	Aunque el permiso “Seleccionable en clientes” no está en un sistema externo, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.	El usuario puede establecer permisos en el sistema externo.
Tipo de contenido externo	Una colección de metadatos reutilizable que define un conjunto de datos de uno o varios sistemas externos, las operaciones disponibles en esos datos y la información de conectividad relacionada con los datos.	Aunque el permiso “Editar” no está en un tipo de contenido externo, se puede usar esta configuración para propagar estos permisos a objetos secundarios en el repositorio de metadatos.	El usuario puede ejecutar operaciones en el tipo de contenido externo.	El usuario puede crear listas externas del tipo de contenido externo.	El usuario puede establecer permisos en el tipo de contenido externo.
Método	Una operación relacionada con un tipo de contenido externo.	El usuario puede editar el método.	Aunque el permiso “Ejecutar” no está en un método, se puede usar esta configuración para propagar permisos de ejecución a objetos secundarios en el repositorio de metadatos.	No hay ningún permiso “Seleccionable en clientes” en un método.	El usuario puede establecer permisos en el método.
Sesión de método	Para un método concreto, describe cómo usar un método mediante un conjunto específico de valores predeterminados.	El usuario puede editar la sesión del método.	El usuario puede ejecutar la sesión del método.	No hay ningún permiso “Seleccionable en clientes” en una sesión del método.	El usuario puede establecer permisos en la sesión del método.

Permisos especiales del Servicio de conectividad a datos empresariales

Además de las funciones generales del establecimiento de permisos descritas anteriormente, hay un conjunto de servicios especiales para el Servicio de conectividad a datos empresariales:

Los administradores de la granja de servidores tienen permiso total para el Servicio de conectividad a datos empresariales. Esto es necesario, por ejemplo, para poder mantener o reparar una sesión del servicio. No obstante, tenga en cuenta que el administrador de la granja de servidores no tiene permisos de ejecución para ningún objeto del almacén de metadatos. Este permiso lo debe proporcionar explícitamente un administrador de una sesión del Servicio de conectividad a datos empresariales si es necesario.
Los usuarios de Windows PowerShell son administradores de la granja de servidores y pueden ejecutar comandos en el Servicio de conectividad a datos empresariales.
Las cuentas de grupos de aplicaciones de servidores front-end disponen de los mismos permisos para el Servicio de conectividad a datos empresariales que los administradores de la granja de servidores. Este permiso es necesario para generar paquetes de implementación basados en los Servicios de conectividad empresarial de Microsoft.
En la mayoría de los casos, a los usuarios de SharePoint Designer se les deben conceder los siguientes permisos en el almacén de metadatos completo: Editar, Ejecutar y Seleccionable en clientes. A los usuarios de SharePoint Designer no se les deben conceder permisos de tipo Establecer permisos. Si es necesario, se pueden limitar los permisos de los usuarios de SharePoint Designer a un subconjunto del almacén de metadatos.

Advertencia

Para garantizar una solución segura, se debe usar SharePoint Designer para crear tipos de contenido externo en un entorno de prueba en el que los permisos de edición se puedan asignar libremente. Al implementar la solución probada en un entorno de producción, quite los permisos de edición para proteger la integridad de los datos externos.

Tareas comunes y permisos relacionados

En esta sección se describen las tareas comunes del Servicio de conectividad a datos empresariales y los permisos requeridos para llevarlas a cabo.

Tarea	Permisos
Creación de un objeto nuevo en el almacén de metadatos	Para crear un objeto de metadatos nuevo, el usuario debe tener permisos de edición en el objeto de metadatos primario. Por ejemplo, para crear un método nuevo en un tipo de contenido externo, el usuario debe tener permisos en el tipo de contenido externo. Para obtener una descripción de las relaciones secundarias y primarias entre los objetos del almacén de metadatos, vea la ilustración incluida anteriormente en este artículo.
Eliminación de un objeto del almacén de metadatos	Para eliminar un objeto de metadatos, el usuario debe tener permisos en ese objeto. Para eliminar un objeto y todos sus objetos secundarios (por ejemplo, para eliminar un tipo de contenido externo y todos sus métodos), el permiso de edición también se requiere en todos los objetos secundarios.
Adición de un tipo de contenido externo a un modelo	Para agregar un tipo de contenido externo a un modelo, el usuario debe tener permisos de edición en el modelo.
Importación de modelos	Para importar un modelo en el almacén de metadatos, el usuario debe tener permisos de edición en el almacén de metadatos. Si no hay permisos explícitos asignados en el modelo, se concederán permisos de edición en el modelo al usuario que lo importó.
Exportación de modelos	Para exportar un modelo del almacén de metadatos, el usuario debe tener permisos de edición en el modelo y en todos los sistemas externos que este contiene.
Generación de un paquete de implementación	La cuenta de grupo de aplicaciones que usa el servidor front-end genera los paquetes de implementación. Esta cuenta dispone de permisos totales para que el repositorio de metadatos pueda llevar a cabo esta tarea.
Establecimiento de permisos iniciales en el almacén de metadatos	Cuando se crea por primera vez una sesión del Servicio de conectividad a datos empresariales, su almacén de metadatos está vacío. El administrador de la granja de servidores tiene permiso total para el almacén y puede establecer los permisos iniciales.
Genere un paquete de implementación desde una granja de servidores de consumo.	La aplicación de Servicio de conectividad a datos empresariales se puede compartir entre granjas de servidores. Con el fin de generar un paquete de implementación desde una granja de servidores de consumo (la granja que se conecta a una ubicación remota para usar la aplicación de Servicio de conectividad a datos empresariales), la cuenta de grupo de aplicaciones usada por el servidor front-end de la granja de consumo debe tener permisos para el repositorio de metadatos en la granja de publicación. Para obtener más información acerca de cómo asignar permisos a la cuenta de grupo de aplicaciones, vea el tema sobre cómo establecer permisos para habilitar una granja de servidores de consumo con el fin de generar un paquete de implementación.

Protección de Servicios de conectividad empresarial

En esta sección se explican las medidas adicionales que se pueden usar para ayudar a proteger Servicios de conectividad empresarial.

Cuenta de servicio

Para el aislamiento de seguridad, la aplicación de Servicio de conectividad a datos empresariales y el servidor front-end no deben usar la misma cuenta de servicio.

Comunicación de servidor a servidor

La protección de la comunicación entre la aplicación de Servicio de conectividad a datos empresariales y los sistemas externos ayuda a garantizar que no se pongan en peligro los datos confidenciales. Debe usar un canal de comunicación cifrada para proteger los datos enviados entre los servidores que ejecutan SharePoint Server 2010 y los sistemas externos. El protocolo de seguridad de Internet (IPsec) es un método que puede usarse para ayudar a proteger la comunicación. La elección del método que se usará depende de los canales de comunicación específicos que se vayan a proteger y de las ventajas y compensaciones que resulten más adecuadas para su organización.

Aplicaciones que usan FileBackedMetadataCatalog

Por motivos de seguridad, el modo de autenticación RevertToSelf está deshabilitado en SharePoint Server 2010 de forma predeterminada. Sin embargo, esto no impide que las aplicaciones que usan la clase FileBackedMetadataCatalog importen modelos y ejecuten llamadas que usan la autenticación RevertToSelf. Como resultado, es posible que los usuarios tengan privilegios más elevados si se conceden privilegios en la cuenta de grupo de aplicaciones. Debe revisar todas las aplicaciones para asegurarse de que no usan la clase FileBackedMetadataCatalog y la autenticación RevertToSelf antes de instalarlas en un sistema de producción.