Планирование интеграции клиента Business Connectivity Services (SharePoint Server 2010)
Применимо к: SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
Службы Microsoft Business Connectivity Services предлагают пользователям много способов взаимодействия с внешними системами из клиентских приложений Microsoft Office 2010. В этой статье рассматривается, как пользователи могут переводить внешние списки в автономный режим в Microsoft Outlook 2010 и Microsoft SharePoint Workspace 2010.
Когда пользователь нажимает кнопку Подключение к Outlook или Синхронизация с SharePoint Workspace во внешнем списке, на клиентском компьютере создается и устанавливается пакет развертывания приложения ClickOnce. Это позволяет пользователям работать с внешними данными как с собственными типами элементов Outlook (например, такими как контакты, задачи и встречи) в Outlook и как со списками в SharePoint Workspace. В зависимости от разрешений пользователи могут выполнять операции чтения и записи для внешних данных даже при работе в автономном режиме или если подключение к системе медленное, прерывающееся или недоступно. Внешние данные синхронизируются, когда подключение к серверу становится доступным.
Способность переводить внешние списки в автономный режим использует собственные возможности приложений Business Connectivity Services, Microsoft SharePoint Server 2010 и Office 2010. Можно построить расширенные решения Business Connectivity Services, использующие настраиваемые компоненты или код.
Дополнительные сведения о расширенных решениях Business Connectivity Services см. в статье, посвященной построению решений с помощью служб Business Connectivity Services (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x419) (Возможно, на английском языке).
Содержание:
Необходимые условия
Установка пакетов развертывания
Вопросы безопасности
Необходимые условия
На сервере должно быть установлено приложение Microsoft SharePoint Server 2010 с корпоративной лицензией клиентского доступа (CAL). На клиентском компьютере должно быть установлено приложение Microsoft Office профессиональный плюс 2010.
В следующем списке приводятся дополнительные требования к клиентскому компьютеру:
Internet Explorer. Механизм развертывания использует элементы управления ActiveX. Поскольку Internet Explorer является единственным браузером, поддерживающим элементы управления ActiveX, перевод внешних списков в автономный режим поддерживается только в Internet Explorer. Если используется другой браузер, например Firefox, кнопки Подключение к Outlook и Синхронизация с SharePoint Workspace будут отключены.
Microsoft .NET Framework 3.5. На клиентском компьютере должна быть установлена платформа Microsoft .NET Framework 3.5 или более поздней версии.
Business Connectivity Services. Компонент Business Connectivity Services устанавливается по умолчанию при установке Office профессиональный плюс 2010. Если при установке Office платформа .NET Framework 3.5 не устанавливается, компонент Business Connectivity Services не будет установлен. После установки .NET Framework 3.5 на клиентский компьютер компонент Business Connectivity Services устанавливается при первом переводе внешнего списка в автономный режим, а затем устанавливается пакет развертывания. Если компонент Business Connectivity Services был отключен пользователем, следует обновить установку Office и включить компонент Business Connectivity Services. Компонент Business Connectivity Services доступен в группе Общие средства Office.
Установка пакетов развертывания
В следующих разделах рассматриваются параметры, которые могут повлиять на установки пакетов развертывания.
Приложения ClickOnce и поведение запроса доверия
Пакеты развертывания являются приложениями ClickOnce. Все правила, нормы и ограничения, управляющие обычными приложениями ClickOnce, также применяются и к пакетам развертывания. Модель безопасности ClickOnce опирается на надежных издателей и запросы пользователей для определения, должно ли приложение ClickOnce устанавливаться на клиентский компьютер. Приложения ClickOnce подписываются сертификатом, идентифицирующим издателя. Сертификаты предусматривают следующие принципы для принятия решений, связанных с безопасностью:
Если приложение ClickOnce подписано надежным издателем, оно будет установлено автоматически. Пользователь не запрашивается.
Если приложение ClickOnce не подписано надежным издателем, ClickOnce не доверяет приложению автоматически. У пользователя запрашивается подтверждение на установку приложения.
Примечание
По умолчанию Business Connectivity Services использует для подписи пакетов развертывания самозаверяющий сертификат. Поскольку сертификат является самозаверяющим, он не выдан доверенным центром сертификации (CA).
Однако на запрос доверия могут повлиять другие параметры, например зона безопасности Internet Explorer, из которой устанавливается приложение ClickOnce. В следующей таблице перечислены примеры путей и URL-адресов, соответствующие им зоны безопасности и стандартное поведение запроса доверия.
| URL-адрес или путь приложения ClickOnce | Зона безопасности | Стандартное поведение запроса доверия |
|---|---|---|
C:\Contoso\Clientsolution\Customer.vsto |
Мой компьютер |
Разрешить запрос пользователя. |
http://contoso/clientsolution/customer.vsto |
Местная интрасеть |
Разрешить запрос пользователя. |
\\contoso\clientsolution\customer.vsto |
Местная интрасеть |
Разрешить запрос пользователя. |
http://fabrikam.contoso/clientsolution/customer.vsto |
Internet (Интернет) |
Запрос пользователя не разрешается, если приложение не подписано сертификатом, выданным доверенным центром сертификации. |
https://www.contoso.com/clientsolution/customer.vsto |
Internet (Интернет) |
Запрос пользователя не разрешается, если приложение не подписано сертификатом, выданным доверенным центром сертификации. |
\\172.16.4.1\clientsolution\customer.vsto |
Internet (Интернет) |
Запрос пользователя не разрешается, если приложение не подписано сертификатом, выданным доверенным центром сертификации. |
В следующем списке приведено несколько действий, которые можно выполнить, чтобы остановить ошибки развертывания, вызванные стандартными запросами доверия.
Подписать пакеты развертывания доверенным сертификатом По умолчанию Business Connectivity Services использует для подписи пакетов развертывания самозаверяющий сертификат. В результате пользователи либо будут запрашиваться для подтверждения установки приложения, либо установка пакета развертывания будет завершена неудачей без запроса пользователя (если внешний список находится в зоне безопасности "Интернет"). Для решения этой проблемы можно подписать пакеты развертывания сертификатом, выданным доверенным центром сертификации. Дополнительные сведения об использовании доверенного сертификата см. в статье, посвященной устранению сообщения "Не удалось проверить подлинность издателя" при переводе внешних списков в автономный режим (https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x419).
Пользователи могут добавить сайт SharePoint в список надежных сайтов в Internet Explorer Добавление сайта в список надежных сайтов Internet Explorer изменяет зону безопасности пакета развертывания в доверенную зону. Доверенная зона разрешает запросы пользователей. Если пакет развертывания не подписан доверенным сертификатом и находится в зоне безопасности "Интернет", добавление сайта в список надежных сайтов позволяет пользователю решить, следует ли устанавливать пакет развертывания.
Примечание
Это действие следует применять только для сайтов, которым пользователь может доверять.
Конфигурация усиленной безопасности Internet Explorer Конфигурация усиленной безопасности Internet Explorer ограничивает возможности пользователей по просмотру веб-сайтов Интернета и интрасети. Это может привести к сбою установки пакетов развертывания без отображения сообщений об ошибках. Чтобы обойти эту проблему, можно выполнить одно из следующих действий:
Подписать пакеты развертывания доверенным сертификатом.
Пользователи могут добавить сайт SharePoint в список надежных сайтов в Internet Explorer.
Отключить конфигурацию усиленной безопасности Internet Explorer для пользователей.
Дополнительные сведения о приложениях ClickOnce см. в статье, посвященной безопасности и развертыванию ClickOnce (https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x419).
Групповые сопоставления службы безопасного хранения
Идентификаторы приложений службы безопасного хранения используются для сопоставления пользователей с наборами учетных данных. Сопоставления доступны для групп и отдельных пользователей. Сопоставление групп означает, что каждый участник отдельной группы в домене сопоставляется с тем же набором учетных данных. При сопоставлении отдельных пользователей каждому пользователю сопоставляется уникальный набор учетных данных.
Если связанный с внешним списком внешний тип контента использует групповое сопоставление, при попытке перевести внешний список в автономный режим у пользователя запрашиваются учетные данные группы. В большинстве случаев пользователи не знают учетные данные группы и не смогут перевести внешний список в автономный режим.
Можно выполнить одно из следующих действий:
Изменить внешний тип контента для использования сопоставления отдельных пользователей.
Изменить внешний тип контента, чтобы запретить пользователям пытаться переводить внешние списки в автономный режим. Откройте внешний тип контента в SharePoint Designer и задайте для поля Синхронизация с внешним списком в автономном режиме значение Отключено. Это отключит кнопки Подключение к Outlook и Синхронизация с SharePoint Workspace в ленте внешнего списка.
Дополнительные сведения о службе безопасного хранения см. в статье Настройка службы безопасного хранения (SharePoint Server 2010).
Вход в качестве другого пользователя
При использовании проверки подлинности Windows функция Войти в качестве другого пользователя не поддерживается для установки пакетов развертывания. Пользователь не сможет перевести внешний список в автономный режим, если он вошел на клиентский компьютер с помощью одной учетной записи, а затем вошел на сайт SharePoint, используя учетную запись другого пользователя. Чтобы перевести внешний список в автономный режим, необходимо использовать одну и ту же учетную запись пользователя для входа как на клиентский компьютер, так и на сайт SharePoint.
Вопросы безопасности
В следующих разделах рассматриваются дополнительные меры, которые можно использовать для обеспечения безопасности Business Connectivity Services при работе с клиентскими приложениями с расширенными возможностями.
Безопасный обмен данными
Рекомендуется использовать протокол SSL для всех каналов между клиентскими компьютерами и интерфейсными веб-серверами. Это поможет обеспечить безопасность конфиденциальных данных.
Разрешения внешних списков
Каждый внешний список связан с внешним типом контента. Разрешения внешнего типа контента указывают, кто может выполнять отдельные действия для внешнего типа контента. Разрешение на выполнение требуется для выполнения операций (таких как чтение или обновление) над внешним типом контента, а также для создания пакета развертывания для внешнего списка. Однако после того как пакет развертывания для внешнего списка создан, любой пользователь, который может получить доступ к этому внешнему списку, может загрузить и установить пакет развертывания. Другими словами, пользователь, у которого нет разрешения на выполнение для внешнего типа контента, но есть разрешение на чтение для внешнего списка, не может увидеть элементы во внешнем списке, но может перевести внешний список в автономный режим. Чтобы гарантировать, что конфиденциальные данные не будут раскрыты, рекомендуется обеспечить эквивалентность разрешений для внешнего списка разрешениям связанного внешнего типа контента.
Веб-части Outlook Web Access
Веб-части Outlook Web Access позволяют пользователям отображать контент, выбранный из папок учетной записи электронной почты Office Outlook, на сайте SharePoint. Если пользователи переводят внешние данные в автономный режим в Outlook, использование веб-частей Outlook Web Access может привести к открытию общего доступа к конфиденциальным данным. Администраторам следует обучить пользователей совместно использовать свои папки Outlook только с теми людьми, которым они могут доверять.
Пределы регулирования клиента
Настройка пределов регулирования на клиентском компьютере может ограничить угрозы типа "отказ в обслуживании", которые вызываются пользователем, отправляющим запросы, которые возвращают большие объемы данных или требуют много времени для обработки. Для задания пределов регулирования на клиентских компьютерах можно использовать разделы политики на основе реестра. Для управления разделами политики на основе реестра можно использовать групповую политику, применяющую параметры политики на основе реестра.
Параметры политики Business Connectivity Services включены в файл Office14.adm, который можно загрузить на сайте Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).
В следующей таблице приведены разделы политики на основе реестра Business Connectivity Services, которую можно использовать для задания пределов регулирования. Разделы находятся в разделе реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data.
Примечание
В следующей таблице перечислены только основные параметры политики, которые можно использовать для задания пределов регулирования клиента. Полный список доступных параметров политики Business Connectivity Services см. в файле Office2010GroupPolicyAndOCTSettings_Reference.xls, который можно загрузить на следующей странице: Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).
| Раздел | Тип | Значение | Описание |
|---|---|---|---|
Synchronization\Query Instances Limit |
REG_ DWORD |
1 – 32 767 |
Задает максимальное число элементов, которые могут быть добавлены в кэш службами Business Connectivity Services в качестве результата выполнения запроса. Некоторые запросы могут возвращать много элементов, которые добавляются в кэш. Это увеличивает размер клиентского кэша (который может превысить ограничение в 4 ГБ, установленное базой данных Microsoft SQL Server Compact Edition), увеличивает объем работ, требуемый для синхронизации клиентского кэша, и увеличивает нагрузку на внешнюю систему. При достижении ограничения обработка останавливается. Запрос отмечается как завершенный неудачей и повторяется позднее. Значение по умолчанию — 2 000 элементов. |
Synchronization\Query Timeout |
REG_ DWORD |
1 — 360 (минут) |
Задает в минутах время, затрачиваемое службами Business Connectivity Services на обработку одного запроса. Для получения и обработки результатов некоторых запросов может потребоваться значительное время. В течение этого времени другие операции не могут обрабатываться. При превышении времени ожидания обработка останавливается. Запрос отмечается как завершенный неудачей и повторяется позднее. Обычный диапазон значений — от 3 до 10 минут. Значение по умолчанию — 5 минут. |
Limits\Database\Items\Max |
REG_ DWORD |
1 – 2 000 000 |
Задает максимальное число элементов, которое может вернуть подключение к базе данных за один запрос. Обычный диапазон значений — от 1 000 до 3 000 элементов. Значение по умолчанию — без ограничения. |
Limits\Database\Timeout\Max |
REG_ DWORD |
1 – 75 000 000 (миллисекунд) |
Задает в миллисекундах время ожидания, по истечении которого открытое подключение к базе данных разрывается. Обычный диапазон значений — от 5 000 до 180 000 миллисекунд (от 5 секунд до 3 минут). Значение по умолчанию — без времени ожидания. |
Limits\Wcf\Size\Max |
REG_ DWORD |
1 – 1 000 000 000 (КБ) |
Задает максимальный объем данных, который может вернуть соединитель веб-службы за один запрос. Обычный диапазон значений — от 512 КБ до 524 288 КБ (512 МБ). Значение по умолчанию — без ограничения. |
Limits\Wcf\Timeout\Max |
REG_ DWORD |
1 – 75 000 000 (миллисекунд) |
Задает в миллисекундах время ожидания, по истечении которого открытое подключение к веб-службе разрывается. Обычный диапазон значений — от 5 000 до 180 000 миллисекунд (от 5 секунд до 3 минут). Значение по умолчанию — без времени ожидания. |