Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird Folgendes beschrieben: die Sicherheitsarchitektur des Servers und Clients für Microsoft Business Connectivity Services, die unterstützten Sicherheitsumgebungen, die verfügbaren Authentifizierungsmodi für die Verbindung von externen Inhaltstypen mit externen Systemen, die verfügbaren Autorisierungsoptionen für gespeicherte Objekte sowie die allgemeinen Methoden zum Konfigurieren der Sicherheit von Microsoft Business Connectivity Services.
Inhalt dieses Artikels:
Zu diesem Artikel
Business Connectivity Services-Sicherheitsarchitektur
Business Connectivity Services-Authentifizierung (Übersicht)
Business Connectivity Services-Berechtigungen (Übersicht)
Sichern von Business Connectivity Services
Zu diesem Artikel
Microsoft Business Connectivity Services enthält Sicherheitsfeatures für die Authentifizierung von Benutzern beim Zugriff auf externe Systeme und zum Konfigurieren von Berechtigungen für Daten von externen Systemen. Microsoft Business Connectivity Services ist äußerst flexibel und kann verschiedenen Sicherheitsmethoden aus unterstützten Microsoft Office 2010-Anwendungen und aus dem Webbrowser Rechnung tragen.
Business Connectivity Services-Sicherheitsarchitektur
Dieser Abschnitt beschreibt die Microsoft Business Connectivity Services-Sicherheitsarchitektur, wenn die Authentifizierung über einen Webbrowser oder eine unterstützte Office 2010-Clientanwendung wie Microsoft Outlook 2010 erfolgt.
.gif "Sicherheitshinweis") Security Note |
|---|
| Es wird empfohlen, Secure Sockets Layer (SSL) auf allen Kanälen zwischen Clientcomputern und Front-End-Servern zu verwenden. Außerdem wird die Verwendung von SSL oder IPSec (Internet Protocol Security, Internetprotokollsicherheit) zwischen Servern mit Microsoft SharePoint Server 2010 und externen Systemen empfohlen. Eine Ausnahme ist, dass Sie SSL nicht zum Übertragen von Nachrichten an externe Systeme verwenden können, wenn das Protokoll SOAP 1.1 verwendet wird oder wenn eine Verbindung mit einer SQL Server-Datenbank hergestellt wird. In diesen Fällen können Sie jedoch IPSec zum Schutz des Datenaustauschs verwenden. |
Zugreifen auf externe Daten von einem Webbrowser
Wenn ein Benutzer mit einem Webbrowser auf externe Daten zugreift, sind drei Systeme betroffen: der Clientcomputer des angemeldeten Benutzers, die Webserverfarm und das externe System.
.gif "BCS-Sicherheitsarchitektur über einen Webbrowser")
In Webbrowsern interagieren Benutzer gewöhnlich mit externen Daten in externen Listen oder mithilfe von Webparts.
Die BDC-Server-Laufzeitumgebung auf Front-End-Servern verwendet Daten vom Business Data Connectivity Service, um eine Verbindung mit externen Systemen herzustellen und Vorgänge auf diesen auszuführen.
Vom Secure Store Service werden Sätze von Anmeldeinformationen für externe Systeme sicher gespeichert und Einzel- oder Gruppenidentitäten zugeordnet.
Beim Sicherheitstokendienst handelt es sich um einen Webdienst, der auf Authentifizierungsansprüche durch das Ausstellen von Sicherheitstoken reagiert, die aus Identitätsansprüchen bestehen, die auf Benutzerkontoinformationen basieren.
Microsoft Business Connectivity Services kann Anmeldeinformationen an Datenbanken und Webdienste übergeben, für die die Verwendung der anspruchsbasierten Authentifizierung konfiguriert ist. Eine Übersicht über Secure Store Service finden Sie unter Planen von Secure Store Service (SharePoint Server 2010). Eine Übersicht über die anspruchsbasierte Authentifizierung finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).
Zugreifen auf externe Daten von einer Office-Clientanwendung
Wenn der Zugriff auf externe Daten von einer unterstützten Office-Clientanwendung erfolgt, sind zwei Systeme beteiligt: der Clientcomputer des angemeldeten Benutzers und das externe System. Dieses Modell wird unterstützt, wenn ein Benutzer mithilfe von Outlook 2010, Microsoft SharePoint Workspace oder Microsoft Word 2010 mit externen Daten interagiert.
.gif "BCS-Sicherheit über eine Office-Clientanwendung")
Outlook 2010-Benutzer verwenden normalerweise externe Daten in Outlook-Elementen, z. B. in Kontakten oder Aufgaben. SharePoint Workspace 2010-Benutzer können externe Listen offline schalten und mit ihnen interagieren. Word 2010-Benutzer können externe Daten in Word-Dokumente einfügen.
Die Client-Laufzeitumgebung für die Office-Integration fungiert als Connector zwischen Microsoft Business Connectivity Services auf dem Client und den unterstützten Office-Anwendungen.
Wenn die Konfiguration der externen Daten die Verwendung der anspruchsbasierten Authentifizierung vorsieht, interagiert der Client mit dem Sicherheitstokendienst in der SharePoint-Farm, um ein Forderungstoken zu erhalten. (Weitere Informationen finden Sie unter Konfigurieren der Forderungsauthentifizierung (SharePoint Server 2010)).
Die BDC-Client-Laufzeitumgebung auf Clientcomputern verwendet die Daten vom Business Data Connectivity Service, um Verbindungen zu externen Systemen herzustellen und Vorgänge auf diesen auszuführen, um den Rich Client-Zugriff zu unterstützen.
Im Clientcache werden Informationen vom Business Data Connectivity Service und dem Secure Store Service zwischengespeichert, die für eine sichere Verbindung mit externen Daten erforderlich sind. Der Cache wird anhand der SharePoint-Farm aktualisiert, um aktualisierte Informationen einzubinden.
Der clientbasierte Secure Store Service ermöglicht den Benutzern die Konfiguration ihrer Sicherheitsberechtigungen.
Microsoft Business Connectivity Services kann Anmeldeinformationen an Datenbanken und Ansprüche unterstützende Dienste übergeben.
Business Connectivity Services-Authentifizierung (Übersicht)
Microsoft Business Connectivity Services kann für die Übergabe von Authentifizierungsanforderungen an externe Systeme mit folgenden Arten von Methoden konfiguriert werden:
Anmeldeinformationen Diese werden üblicherweise im Format Name/Kennwort übergeben. Für einige externe Systeme sind weitere Anmeldeinformationen, beispielsweise eine Geheimzahl (PIN), erforderlich.
Ansprüche An Ansprüche unterstützende Dienste, die externe Daten bereitstellen, können SAML-Tickets (Security Assertion Markup Language) übergeben werden.
Konfigurieren von Business Connectivity Services für die Authentifizierung mit Anmeldeinformationen
Von Microsoft Business Connectivity Services können von einem Benutzer angegebene Anmeldeinformationen verwendet werden, um Anforderungen nach externen Daten zu authentifizieren. Zur Angabe von Anmeldeinformationen für den Zugriff auf externe Daten durch Benutzer werden folgende Methoden unterstützt:
Windows-Authentifizierung:
Windows-Abfrage/Rückmeldung (NTLM)
Microsoft Negotiate
Andere Authentifizierungsmethoden als Windows
Formularbasiert
Digest
Standard
Beim Konfigurieren von Microsoft Business Connectivity Services für die Übergabe von Anmeldeinformationen fügt der Lösungsdesigner externen Inhaltstypen Informationen zum Authentifizierungsmodus hinzu. Durch den Authentifizierungsmodus erhält Microsoft Business Connectivity Services Informationen zur Verarbeitung einer eingehenden Authentifizierungsanforderung von einem Benutzer. Der Anforderung wird ein Satz von Anmeldeinformationen zugeordnet, die an das externe Inhaltssystem übergeben werden können. Durch den Authentifizierungsmodus kann beispielsweise festgelegt sein, dass die Anmeldeinformationen des Benutzers direkt an das externe Datensystem übergeben werden. Alternativ könnte festgelegt sein, dass den Anmeldeinformationen des Benutzers ein in einem Secure Store Service gespeichertes Konto zugeordnet werden soll, das dann an das externe System übergeben wird.
Sie können folgendermaßen vorgehen, um einem externen Inhaltstyp einen Authentifizierungsmodus zuzuordnen:
Wenn Sie einen externen Inhaltstyp in Microsoft SharePoint Designer oder Microsoft Visual Studio 2010 erstellen.
Handelt es sich bei dem externen System um einen Webdienst, können Sie den Authentifizierungsmodus auf den Verwaltungsseiten von Microsoft Business Connectivity Services angeben.
Sie können den Authentifizierungsmodus durch direktes Bearbeiten der XML-Datei angeben, in der der externe Inhaltstyp definiert ist.
In der folgenden Tabelle sind die Microsoft Business Connectivity Services-Authentifizierungsmodi beschrieben:
| Authentifizierungsmodus | Beschreibung |
|---|---|
PassThrough |
Übergibt die Anmeldeinformationen des angemeldeten Benutzers an das externe System. Dazu müssen die Anmeldeinformationen des Benutzers dem externen System bekannt sein. Hinweis Wenn für die Webanwendung nicht die Authentifizierung mit Windows-Anmeldeinformationen konfiguriert ist, werden nicht die Anmeldeinformationen des Benutzers übergeben, sondern es wird das Benutzerkonto NT-Autorität/Anonyme Anmeldung an das externe System übergeben. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in SharePoint Designer 2010 als Identität des Benutzers bezeichnet. |
RevertToSelf |
Wenn der Benutzer von einem Webbrowser aus auf externe Daten zugreift, werden in diesem Modus die Anmeldeinformationen des Benutzers ignoriert, und das Konto für die Anwendungspoolidentität, unter dem die BCS-Laufzeit auf dem Webserver ausgeführt wird, wird an das externe System gesendet. Diese Anmeldeinformationen werden an das externe System gesendet. Wenn der Benutzer von einer Office-Clientanwendung aus auf externe Daten zugreift, entspricht dieser Modus dem PassThrough-Modus, da Microsoft Business Connectivity Services auf dem Client unter den Anmeldeinformationen des Benutzers ausgeführt wird. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in SharePoint Designer 2010 als BDC-Identität bezeichnet. Hinweis Der RevertToSelf-Modus ist standardmäßig nicht aktiviert. Sie müssen den RevertToSelf-Modus mithilfe von Windows PowerShell aktivieren, damit Sie Modelle erstellen oder importieren können, die RevertToSelf verwenden. Weitere Informationen finden Sie unter RevertToSelf-Authentifizierungsmodus. Der RevertToSelf-Modus wird in Hostumgebungen nicht unterstützt. |
WindowsCredentials |
Für externe Webdienste oder Datenbanken wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Windows-Anmeldeinformationen für das externe System zuzuordnen. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in SharePoint Designer 2010 als Identitätswechsel für Windows-Identität bezeichnet. |
Credentials |
Für einen externen Webdienst wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen zuzuordnen, die von einer anderen Quelle als Windows bereitgestellt werden und mit denen auf externe Daten zugegriffen wird. Bei diesem Modus sollte der Webdienst Standard- oder Digestauthentifizierung verwenden. Wichtig Aus Sicherheitsgründen sollte in diesem Modus die Verbindung zwischen Microsoft Business Connectivity Services und dem externen System durch SSL (Secure Sockets Layer) oder IPSec (Internet Protocol Security, Internetprotokollsicherheit) gesichert sein. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in Office SharePoint Designer als Identitätswechsel für benutzerdefinierte Identität bezeichnet. |
RDBCredentials |
Für eine externe Datenbank wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen zuzuordnen, die von einer anderen Quelle als Windows bereitgestellt werden. Aus Sicherheitsgründen sollte in diesem Modus die Verbindung zwischen Microsoft Business Connectivity Services und dem externen System durch SSL (Secure Sockets Layer) oder IPSec gesichert sein. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in Office SharePoint Designer als Identitätswechsel für benutzerdefinierte Identität bezeichnet. |
DigestCredentials |
Für einen WCF-Dienst wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen mithilfe der Digestauthentifizierung zuzuordnen. Dieser Modus wird auf den Microsoft Business Connectivity Services-Verwaltungsseiten und in SharePoint Designer 2010 als Identitätswechsel für benutzerdefinierte Identität – Digest bezeichnet. |
Die folgende Abbildung zeigt die Microsoft Business Connectivity Services-Authentifizierungsmodi bei Verwendung von Anmeldeinformationen.
.jpg "Business Connectivity Services-Authentifizierung")
Im PassThrough-Modus (Identität des Benutzers) (A) werden die Anmeldeinformationen des angemeldeten Benutzers direkt an das externe System übergeben.
Im RevertToSelf-Modus (BDC-Identität) (B) werden die Anmeldeinformationen des Benutzers durch die Anmeldeinformationen des Prozesskontos ersetzt, unter dem Microsoft Business Connectivity Services ausgeführt wird. Diese Anmeldeinformationen werden an das externe System übergeben.
In drei Modi wird Secure Store Service verwendet: WindowsCredentials (Identitätswechsel für Windows-Identität,) RdbCredentials (Identitätswechsel für benutzerdefinierte Identität) und Credentials. In diesen Modi wird den Anmeldeinformationen des Benutzers ein Satz von Anmeldeinformationen für das externe System zugeordnet, die dann von Microsoft Business Connectivity Services an das externe System übergeben werden. Lösungsadministratoren können entweder den Anmeldeinformationen jedes Benutzers ein eindeutiges Konto auf dem externen System zuordnen oder einem Satz von authentifizierten Benutzern ein einzelnes Gruppenkonto zuordnen.
Konfigurieren von Business Connectivity Services für die anspruchsbasierte Authentifizierung
Microsoft Business Connectivity Services kann Zugriff auf externe Daten basierend auf eingehenden Sicherheitstoken gewähren und Sicherheitstoken an externe Systeme übergeben. Ein Sicherheitstoken besteht aus einem Satz von Identitätsansprüchen bezüglich eines Benutzers, und die Verwendung von Sicherheitstoken zur Authentifizierung wird als "anspruchsbasierte Authentifizierung" bezeichnet. SharePoint Server enthält einen Sicherheitstokendienst, der Sicherheitstoken ausstellt.
Die folgende Abbildung zeigt die Zusammenarbeit von Sicherheitstokendienst und Secure Store Service bei der anspruchsbasierten Authentifizierung:
.gif "Forderungsauthentifizierung in BCS")
Ein Benutzer versucht, einen Vorgang für eine externe Liste auszuführen, die für die anspruchsbasierte Authentifizierung konfiguriert ist.
Die Clientanwendung fordert ein Sicherheitstoken vom Sicherheitstokendienst an.
Der Sicherheitstokendienst stellt basierend auf der Identität des anfordernden Benutzers ein Sicherheitstoken aus, das einen Satz von Ansprüchen und eine Zielanwendungs-ID enthält. Der Sicherheitstokendienst gibt das Sicherheitstoken an die Clientanwendung zurück.
Der Client übergibt das Sicherheitstoken an Secure Store Service.
Secure Store Service wertet das Sicherheitstoken aus und gibt mithilfe der Zielanwendungs-ID einen Satz von Anmeldeinformationen für das externe System zurück.
Der Client empfängt die Anmeldeinformationen und übergibt sie an das externe System, sodass ein Vorgang (wie das Abrufen oder Aktualisieren externer Daten) ausgeführt werden kann.
Business Connectivity Services-Berechtigungen (Übersicht)
Durch Berechtigungen in Microsoft Business Connectivity Services werden einem Einzel- bzw. Gruppenkonto oder einem Anspruch eine oder mehrere Berechtigungsstufen für ein Objekt in einem Metadatenspeicher zugeordnet. Durch richtiges Festlegen von Berechtigungen für Objekte in Microsoft Business Connectivity Services können Sie dazu beitragen, externe Daten sicher in Lösungen zu integrieren. Wenn Sie eine Strategie für Berechtigungen planen, sollten Sie einzelnen Benutzern oder Gruppen, die Berechtigungen benötigen, jeweils die niedrigsten Berechtigungen zuweisen, mit denen sie die erforderlichen Aufgaben erfüllen können.
Warnung
Die richtige Festlegung von Berechtigungen in Microsoft Business Connectivity Services ist ein Element einer Sicherheitsgesamtstrategie. Ebenso wichtig ist das Schützen der Daten in externen Systemen. Die Methoden hierzu hängen vom Sicherheitsmodell und den Features des externen Systems ab. Ihre Beschreibung würde den Rahmen dieses Artikels sprengen.
Hinweis
Business Connectivity Services bestimmt mithilfe der Berechtigungen für die Metadatenobjekte und mithilfe der Berechtigungen für die externen Systeme Autorisierungsregeln. Beispielsweise kann ein Security Trimmer verhindern, dass externe Daten in Suchergebnissen der Benutzer angezeigt werden. Wenn jedoch Benutzer die URL zu den aus Sicherheitsgründen eingeschränkten externen Daten irgendwie finden, können sie auf die externen Daten zugreifen, falls sie über die erforderlichen Berechtigungen für das Metadatenobjekt und das externe System verfügen. Das Festlegen der entsprechenden Berechtigungen sowohl in Business Connectivity Services als auch im externen System ist die richtige Methode, um Benutzer am Zugriff auf externe Daten zu hindern.
Wofür können Berechtigungen festgelegt werden?
Jede Instanz des Business Data Connectivity Services (oder, im Fall von Hosting, jede Partition) enthält einen Metadatenspeicher, der alle Modelle, externen Systeme, externen Inhaltstypen, Methoden und Methodeninstanzen umfasst, die für den Zweck dieses Speichers definiert wurden. Die Objekte sind in einer Hierarchie angeordnet, wie in der folgenden Abbildung dargestellt:
.gif "Metadenspeicherhierarchie")
Hinweis
In der vorherigen Hierarchiegrafik bezeichnen die Etiketten in Klammern die Namen von Objekten, wie sie im Microsoft Business Connectivity Services-Metadatenschema definiert sind. Die Etiketten ohne Klammern entsprechen den Namen der Objekte, wie sie auf der Benutzeroberfläche des Business Data Connectivity Services angezeigt werden. Eine ausführliche Erläuterung des Microsoft Business Connectivity Services-Metadatenschemas sowie exemplarische Vorgehensweisen für viele Entwicklungsaufgaben finden Sie im Microsoft SharePoint 2010 Software Development Kit (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0x407 ).
Die Objekthierarchie in einem Metadatenspeicher bestimmt, welche Objekte ihre Berechtigungen an andere Objekte weitergeben können. In der Abbildung wird jedes Objekt, für das Berechtigungen festgelegt und optional weitergegeben werden können, mit einer durchgezogenen Linie dargestellt. Objekte, deren Berechtigungen vom übergeordneten Objekt übernommen werden, sind mit einer gepunkteten Linie dargestellt. Die Abbildung zeigt beispielsweise, dass ein externes System (LobSystem) durch Zuweisen von Berechtigungen gesichert werden kann, einer Aktion jedoch keine Berechtigungen direkt zugewiesen werden können. Objekte, denen keine Berechtigungen zugewiesen werden können, übernehmen die Berechtigungen vom übergeordneten Objekt. Eine Aktion übernimmt beispielsweise die Berechtigungen des übergeordneten externen Inhaltstyps (Entity).
| Security Note |
|---|
| Wenn die Berechtigungen für ein Objekt in einem Metadatenspeicher weitergegeben werden, werden die Berechtigungseinstellungen aller untergeordneten Objekts dieses Elements durch die Berechtigungen des weitergebenden Objekts ersetzt. Werden beispielsweise Berechtigungen von einem externen Inhaltstyp weitergegeben, erhalten alle Methoden und Methodeninstanzen des externen Inhaltstyps die neuen Berechtigungen. |
Für den Metadatenspeicher und die darin enthaltenen Objekte können vier Berechtigungsstufen festgelegt werden:
Bearbeiten
Security NoteDie Berechtigung Bearbeiten sollte als hohe Berechtigung betrachtet werden. Mit der Berechtigung Bearbeiten kann ein böswilliger Benutzer Anmeldeinformationen stehlen oder eine Serverfarm beschädigen. Es wird empfohlen, in einem Produktionssystem die Berechtigung Bearbeiten nur Benutzern zu erteilen, denen Sie wirklich Administratorberechtigungen anvertrauen. Ausführen
Auswählbar in Clients
Berechtigungen festlegen
In der folgenden Tabelle ist die Bedeutung dieser Berechtigungen für die verschiedenen Objekte definiert, für die sie festgelegt werden können.
| Objekt | Definition | Berechtigung "Bearbeiten" | Berechtigung "Ausführen" | Berechtigung "Auswählbar in Clients" | Berechtigung "Berechtigungen festlegen" |
|---|---|---|---|---|---|
Metadatenspeicher |
Die im Business Data Connectivity Service gespeicherte Sammlung von XML-Dateien, die Definitionen von Modellen, externen Inhaltstypen und externen Systemen enthalten. |
Der Benutzer kann neue externe Systeme erstellen. |
Auch wenn es für den Metadatenspeicher selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Auch wenn es für den Metadatenspeicher selbst keine Berechtigung Auswählbar in Clients gibt, können diese Berechtigungen mit dieser Einstellung an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Der Benutzer kann Berechtigungen für jedes Objekt im Metadatenspeicher festlegen, indem er sie vom Metadatenspeicher weitergibt. |
Modell |
Eine XML-Datei, die Beschreibungen für einen oder mehrere externe Inhaltstypen, die zugehörigen externen Systeme und umgebungsspezifische Informationen wie beispielsweise Authentifizierungseigenschaften enthält. |
Der Benutzer kann die Modelldatei bearbeiten. |
Die Berechtigung Ausführen ist auf Modelle nicht anwendbar. |
Die Berechtigung Auswählbar in Clients ist auf Modelle nicht anwendbar. |
Der Benutzer kann Berechtigungen für das Modell festlegen. |
Externes System |
Die Metadatendefinition einer unterstützten Datenquelle, die modelliert werden kann, z. B. eine Datenbank, ein Webdienst oder eine .NET-Verbindungsassembly. |
Der Benutzer kann das externe System bearbeiten. Durch Festlegen dieser Berechtigung werden zudem das externe System und darin enthaltene externe Systeminstanzen in SharePoint Designer sichtbar. |
Auch wenn es für ein externes System selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Auch wenn es für ein externes System selbst keine Berechtigung Auswählbar in Clients gibt, können diese Berechtigungen mit dieser Einstellung an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Der Benutzer kann Berechtigungen für das externe System festlegen. |
Externer Inhaltstyp |
Eine wiederverwendbare Sammlung von Metadaten, die einen Satz von Daten von einem oder mehreren externen Systemen, die verfügbaren Vorgänge für diese Daten sowie die Konnektivitätsinformationen für diese Daten definieren. |
Auch wenn es für einen externen Inhaltstyp selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Der Benutzer kann Vorgänge für den externen Inhaltstyp ausführen. |
Der Benutzer kann externe Listen anhand des externen Inhaltstyps erstellen. |
Der Benutzer kann Berechtigungen für den externen Inhaltstyp festlegen. |
Methode |
Ein Vorgang, der mit einem externen Inhaltstyp verbunden ist. |
Der Benutzer kann die Methode bearbeiten. |
Auch wenn es für eine Methode selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden. |
Es gibt keine Berechtigung Auswählbar in Clients für Methoden. |
Der Benutzer kann Berechtigungen für die Methode festlegen. |
Methodeninstanz |
Beschreibt die Verwendung einer bestimmten Methode mit einem bestimmten Satz von Standardwerten. |
Der Benutzer kann die Methodeninstanz bearbeiten. |
Der Benutzer kann die Methodeninstanz ausführen. |
Es gibt keine Berechtigung Auswählbar in Clients für Methodeninstanzen. |
Der Benutzer kann Berechtigungen für die Methodeninstanz festlegen. |
Spezielle Berechtigungen für den Business Data Connectivity-Dienst
Neben den zuvor beschriebenen allgemeinen Möglichkeiten zum Festlegen von Berechtigungen gibt es einen Satz spezieller Berechtigungen für den Business Data Connectivity Service:
Farmadministratoren verfügen über volle Berechtigungen für den Business Data Connectivity Service. Dies ist beispielsweise für die Wartung oder Reparatur einer Instanz des Diensts erforderlich. Beachten Sie jedoch, dass der Farmadministrator nicht über Ausführungsberechtigungen für Objekte im Metadatenspeicher verfügt. Dieses Recht muss ggf. explizit von einem Administrator einer Instanz des Business Data Connectivity Services erteilt werden.
Windows PowerShell-Benutzer sind Farmadministratoren und können Befehle für den Business Data Connectivity Service ausführen.
Anwendungspoolkonten auf Front-End-Servern verfügen über dieselben Berechtigungen für den Business Data Connectivity Service wie Farmadministratoren. Die Berechtigung ist für das Generieren von auf Microsoft Business Connectivity Services basierenden Bereitstellungspaketen erforderlich.
Benutzern von SharePoint Designer sollten in der Regel folgende Berechtigungen für den gesamten Metadatenspeicher erteilt werden: Bearbeiten, Ausführen und Auswählbar in Clients. Benutzern von SharePoint Designer sollte nicht die Berechtigung Berechtigungen festlegen erteilt werden. Gegebenenfalls können Sie die Berechtigungen für den Benutzer von SharePoint Designer auf eine Teilmenge des Metadatenspeichers beschränken.
Warnung
Zugunsten der Sicherheit einer Lösung sollten externe Inhaltstypen mit SharePoint Designer in einer Testumgebung erstellt werden, in der Bearbeitungsberechtigungen frei zugewiesen werden können. Beim Bereitstellen der getesteten Lösung in einer Produktionsumgebung sollten Sie dann die Bearbeitungsberechtigungen entfernen, um die Integrität der externen Daten zu schützen.
Allgemeine Aufgaben und zugehörige Berechtigungen
In diesem Abschnitt werden allgemeine Aufgaben für den Business Data Connectivity Service und die dafür erforderlichen Berechtigungen beschrieben.
| Aufgabe | Berechtigungen |
|---|---|
Erstellen eines neuen Objekts im Metadatenspeicher |
Zum Erstellen eines neuen Metadatenobjekts benötigt ein Benutzer Bearbeitungsberechtigungen für das übergeordnete Metadatenobjekt. Beispielsweise benötigt ein Benutzer zum Erstellen einer neuen Methode in einem externen Inhaltstyp Berechtigungen für den externen Inhaltstyp. Die Beziehungen zwischen über- und untergeordneten Objekten im Metadatenspeicher sind in der Abbildung weiter oben in diesem Artikel dargestellt. |
Löschen eines Objekts aus dem Metadatenspeicher |
Zum Löschen eines Metadatenobjekts benötigt ein Benutzer Bearbeitungsberechtigungen für das Objekt. Sollen außer dem Objekt auch alle ihm untergeordneten Objekte gelöscht werden (beispielsweise beim Löschen eines externen Inhaltstyps und aller zugehörigen Methoden), ist auch die Bearbeitungsberechtigung für alle untergeordneten Objekte erforderlich. |
Hinzufügen eines externen Inhaltstyps zu einem Modell |
Zum Hinzufügen eines externen Inhaltstyps zu einem Modell benötigt ein Benutzer Bearbeitungsberechtigungen für das Modell. |
Importieren von Modellen |
Zum Importieren eines Modells in den Metadatenspeicher benötigt ein Benutzer Bearbeitungsberechtigungen für den Metadatenspeicher. Wurden für das Modell keine expliziten Berechtigungen zugewiesen, erhält der Benutzer, der das Modell importiert hat, Bearbeitungsberechtigungen für das Modell. |
Exportieren von Modellen |
Zum Exportieren eines Modells aus dem Metadatenspeicher benötigt ein Benutzer Bearbeitungsberechtigungen für das Modell und für alle darin enthaltenen externen Systeme. |
Generieren eines Bereitstellungspakets |
Bereitstellungspakete werden vom Anwendungspoolkonto generiert, das vom Front-End-Server verwendet wird. Dieses Konto verfügt über volle Berechtigungen für den Metadatenspeicher, sodass es diese Aufgabe ausführen kann. |
Festlegen der ursprünglichen Berechtigungen für den Metadatenspeicher |
Direkt nach dem Erstellen einer Instanz des Business Data Connectivity Services ist der zugehörige Metadatenspeicher leer. Der Farmadministrator verfügt über volle Berechtigungen für den Speicher und kann die ursprünglichen Berechtigungen festlegen. |
Generieren eines Bereitstellungspakets von einer Farm, die den Dienst in Anspruch nimmt |
Die Business Data Connectivity Serviceanwendung kann von mehreren Serverfarmen gemeinsam genutzt werden. Zum Generieren eines Bereitstellungspakets von einer Farm, die den Dienst in Anspruch nimmt (die Farm, die eine Verbindung mit einem Remotespeicherort herstellt, um die Business Data Connectivity Serviceanwendung zu verwenden), benötigt das Anwendungspoolkonto, das vom Front-End-Server der Farm verwendet wird, die den Dienst in Anspruch nimmt, Berechtigungen für den Metadatenspeicher in der Veröffentlichungsfarm. Weitere Informationen zum Zuweisen von Berechtigungen für das Anwendungspoolkonto finden Sie unter Festlegen von Berechtigungen zum Generieren von Bereitstellungspaketen durch eine Farm, die den Dienst in Anspruch nimmt. |
Sichern von Business Connectivity Services
In diesem Abschnitt werden zusätzliche Maßnahmen erörtert, die für die Sicherheit von Business Connectivity Services ergriffen werden können.
Dienstkonto
Zur Sicherheitsisolation sollten die Business Data Connectivity Serviceanwendung und der Front-End-Server nicht dasselbe Dienstkonto verwenden.
Kommunikation zwischen Servern
Durch das Sichern der Kommunikation zwischen der Business Data Connectivity Serviceanwendung und externen Systemen wird sichergestellt, dass die Vertraulichkeit von Daten nicht verletzt wird. Sie müssen einen Kanal für die verschlüsselte Kommunikation verwenden, um die zwischen Servern mit SharePoint Server 2010 und externen Systemen übermittelten Daten zu schützen. Die Internetprotokollsicherheit (Internet Protocol security, IPsec) ist eine der Methoden, die für den Schutz der Kommunikation verwendet werden können. Welche Methode ausgewählt wird, hängt von den zu sichernden Kommunikationskanälen sowie den Vor- und Nachteilen der jeweiligen Methode in Bezug auf Ihre Organisation ab.
Anwendungen, die "FileBackedMetadataCatalog" verwenden
Aus Sicherheitsgründen ist der RevertToSelf-Authentifizierungsmodus in SharePoint Server 2010 standardmäßig deaktiviert. Dadurch werden jedoch Anwendungen, von denen FileBackedMetadataCatalog-Klasse verwendet wird, nicht am Importieren von Modellen und am Ausführen von Aufrufen, die die RevertToSelf-Authentifizierung verwenden, gehindert. Dies kann zur Erhöhung von Rechten für Benutzer führen, indem dem Anwendungspoolkonto Rechte gewährt werden. Sie sollten alle Anwendungen überprüfen, um sicherzustellen, dass die FileBackedMetadataCatalog-Klasse und die RevertToSelf-Authentifizierung nicht verwendet werden, bevor sie in einem Produktionssystem installiert werden.