规划 Business Connectivity Services 客户端集成 (SharePoint Server 2010)

适用于： SharePoint Server 2010

上一次修改主题： 2016-11-30

通过 Microsoft Business Connectivity Services，用户可通过多种方式从 Microsoft Office 2010 客户端应用程序与外部系统进行交互。本文介绍用户如何使外部数据从 Microsoft Outlook 2010 和 Microsoft SharePoint Workspace 2010 脱机。

用户单击外部列表上的“连接到 Outlook”或“同步到 SharePoint Workspace”按钮时，会在客户端计算机上创建和安装 ClickOnce 应用程序部署包。这样，用户便可像使用 Outlook 中的本机 Outlook 项目类型（如“联系人”、“任务”和“约会”）以及 SharePoint Workspace 中的列表那样来使用外部数据。根据用户的权限，他们可对外部数据执行读取和写入操作，即使在他们脱机工作或外部系统连接速度非常慢、不稳定或不可用时也是如此。服务器连接恢复后，将会同步外部数据。

使外部列表脱机的功能通过 Business Connectivity Services、Microsoft SharePoint Server 2010 和 Office 2010 应用程序的固有功能来实现。您可以构建使用自定义功能或代码的更高级的 Business Connectivity Services 解决方案。

有关高级 Business Connectivity Services 解决方案的详细信息，请参阅使用 Business Connectivity Services 构建解决方案 (https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x804)。

本文内容：

• 先决条件

• 安装部署包

• 安全注意事项

先决条件

服务器必须安装具有企业版客户端访问许可证 (CAL) 的 Microsoft SharePoint Server 2010。客户端计算机必须安装 Microsoft Office Professional Plus 2010。

以下列表描述其他客户端计算机要求：

• Internet Explorer   部署机制使用 ActiveX 控件。由于 Internet Explorer 是唯一一个支持 ActiveX 控件的浏览器，因此仅在 Internet Explorer 中支持使外部列表脱机。如果使用其他浏览器（如 Firefox），“连接到 Outlook”和“同步到 SharePoint Workspace”按钮将被禁用。

• Microsoft .NET Framework 3.5   客户端计算机上必须安装 Microsoft .NET Framework 3.5 或更高版本。

• Business Connectivity Services   默认情况下，安装 Office Professional Plus 2010 时会安装 Business Connectivity Services 功能。如果用户安装 Office 时未安装 .NET Framework 3.5，则不会安装 Business Connectivity Services。在客户端计算机上安装 .NET Framework 3.5 后，用户首次使外部列表脱机时，将会安装 Business Connectivity Services 功能，然后安装部署包。如果用户禁用了 Business Connectivity Services 功能，则用户必须更新其 Office 安装并启用 Business Connectivity Services 功能。Business Connectivity Services 功能位于“Office 共享”组中。

安装部署包

以下各部分讨论可影响部署包安装的设置。

ClickOnce 应用程序和信任提示行为

部署包是 ClickOnce 应用程序。管理一般 ClickOnce 应用程序的所有规则、规章和限制也适用于部署包。ClickOnce 安全模型依赖受信任发布者和用户提示来确定是否将在客户端计算机上安装 ClickOnce 应用程序。ClickOnce 应用程序使用标识发布者的证书进行签名。这些证书提供以下基准来作出信任决定：

• 如果 ClickOnce 应用程序由受信任发布者签名，将自动安装应用程序。不会提示用户。

• 如果 ClickOnce 应用程序未由受信任发布者签名，则 ClickOnce 不会自动信任该应用程序。系统将提示用户确认他（或她）是否要安装该应用程序。

但是，其他设置（如从中安装 ClickOnce 应用程序的 Internet Explorer 安全区域）可能影响信任提示。下表列出示例路径和 URL、其相应的安全区域和默认信任提示行为。

以下列表描述为了消除由默认信任提示导致的部署故障可以执行的操作。

• 使用受信任证书签署部署包   默认情况下，Business Connectivity Services 使用自签名证书对其部署包进行签名。因此，系统将提示用户确认要安装应用程序，或者部署包将无法安装并且不显示用户提示（如果外部列表位于 Internet 安全区域中）。为了解决这些问题，您可以提供由受信任 CA 颁发的、可用于对部署包进行签名的证书。有关如何提供受信任证书的详细信息，请参阅如何：在使外部列表脱机时消除“无法验证发布者”警报 (https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x804)。

• 用户可在 Internet Explorer 中将 SharePoint 网站添加到受信任网站列表中   将网站添加到 Internet Explorer 受信任网站列表后，部署包安全区域会改为受信任区域。受信任区域允许用户提示。如果您的部署包未使用受信任证书签名，并且位于 Internet 安全区域中，则通过将该网站添加到受信任网站列表中，用户将有机会决定是否安装部署包。

  备注

  只应对用户信任的网站执行此操作。

• Internet Explorer 增强的安全配置   Internet Explorer 增强的安全配置会限制用户浏览 Internet 和 Intranet 网站的能力。这可能会导致部署包安装失败，并且不显示任何错误。作为替代方法，您可以执行以下操作：

  • 使用受信任证书对部署包进行签名。

  • 用户可在 Internet Explorer 中将 SharePoint 网站添加到受信任网站列表中。

  • 为用户关闭 Internet Explorer 增强的安全配置。

有关 ClickOnce 应用程序的详细信息，请参阅 ClickOnce 安全和部署 (https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x804)。

Secure Store Service 组映射

Secure Store Service 应用程序 ID 用于将用户映射到凭据集。映射可用于组或单个用户。在组映射中，属于特定域组成员的每个用户都将映射到同一组凭据。在单个用户映射中，每个用户将映射到唯一的一组凭据。

如果与外部列表关联的外部内容类型使用组映射，则当用户尝试使外部列表脱机时，系统会提示他们提供组凭据。大多数情况下，用户不会知道组凭据，因此无法使外部列表脱机。

可执行以下操作之一：

• 修改外部内容类型以使用单个用户映射。

• 修改外部内容类型以防止用户尝试使外部列表脱机。在 SharePoint Designer 中打开外部内容类型并将“脱机同步外部列表”字段设置为“禁用”。这会禁用外部列表功能区中的“连接到 Outlook”和“同步到 SharePoint Workspace”按钮。

有关 Secure Store Service 的详细信息，请参阅配置 Secure Store Service (SharePoint Server 2010)。

以其他用户身份登录

使用 Windows 身份验证时，不支持使用“以其他用户身份登录”功能来安装部署包。如果使用一个帐户登录客户端计算机，然后使用另一用户帐户登录 SharePoint 网站，则无法使外部列表脱机。要使外部列表脱机，您必须使用同一用户帐户登录客户端计算机和 SharePoint 网站。

安全注意事项

以下各部分讨论当使用丰富客户端应用程序时，可用于帮助保护 Business Connectivity Services 的其他措施。

安全通信

建议您在客户端计算机和前端 Web 服务器之间的所有通道上使用安全套接字层 (SSL)。这可帮助确保不会泄露敏感数据。

外部列表权限

每个外部列表都与一个外部内容类型相关联。外部内容类型上的权限指定哪些人可以对该外部内容类型执行特定操作。对外部内容类型执行操作（如读取或更新）以及为外部列表生成部署包需要“执行”权限。但是，为外部列表创建部署包后，可访问该外部列表的所有用户均可下载和安装部署包。换句话说，不具有外部内容类型的“执行”权限，但具有外部列表的“读取”权限级别的用户将看不到外部列表中的项目，但仍可使外部列表脱机。为帮助确保不会泄露敏感数据，建议您确保外部列表上的权限与关联的外部内容类型的权限相同。

Outlook Web Access Web 部件

通过 Outlook Web Access Web 部件，用户可在 SharePoint 网站中显示其 Office Outlook 电子邮件帐户文件夹中的选定内容。如果用户已使外部数据从 Outlook 脱机，则使用 Outlook Web Access Web 部件可造成敏感数据的共享。建议管理员对用户进行培训，以便只与他们信任的人员共享 Outlook 文件夹。

客户端阻止限制

对客户端计算机设置阻止限制可帮助限制由用户引起的拒绝服务威胁，该用户提交的查询会返回大量数据或占用大量处理时间。可使用基于注册表的策略项对客户端计算机设置阻止限制。支持的用于管理基于注册表的策略项的方法是使用组策略来应用注册表策略设置。

Office14.adm 文件中包含有 Business Connectivity Services 策略设置，该文件可从 Office 2010 管理模板文件（ADM、ADMX、ADML）和 Office 自定义工具（该链接可能指向英文页面） (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)（该链接可能指向英文页面）处下载。

下表描述可用于设置阻止限制的 Business Connectivity Services 基于注册表的策略项。这些项位于 HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data 下。