Operaciones de seguridad de Servicios de conectividad empresarial (SharePoint Server 2010)

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se describen las tareas administrativas relacionadas con la seguridad para la aplicación de Servicio de conectividad a datos empresariales.

En este artículo:

  • Asignación de administradores a una aplicación de Servicio de conectividad a datos empresariales

  • Establecimiento de permisos en un repositorio de metadatos

  • Modo de autenticación RevertToSelf

  • Flujos de trabajo y listas externas

  • Establecimiento de permisos para permitir que una granja de servidores de consumo genere paquetes de implementación

Asignación de administradores a una aplicación de Servicio de conectividad a datos empresariales

Los administradores del conjunto o granja de servidores pueden delegar la administración de una aplicación de Servicio de conectividad a datos empresariales específica a un administrador de aplicaciones. El administrador delegado obtiene acceso al sitio web de Administración central y puede realizar tareas administrativas relacionadas con esa aplicación de Servicio de conectividad a datos empresariales.

Sugerencia

El administrador delegado no tiene permisos para el repositorio de metadatos.

Para asignar administradores a una aplicación de Servicio de conectividad a datos empresariales

  1. Confirme que dispone de las siguientes credenciales administrativas:

    • Debe ser administrador de la granja de servidores.
  2. En el sitio web de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  3. En la lista de aplicaciones de servicio, haga clic en la fila que contiene la aplicación de Servicio de conectividad a datos empresariales.

  4. En la sección Operaciones de la pestaña Aplicaciones de servicio, haga clic en Administradores.

  5. En el cuadro de texto, escriba o seleccione una cuenta de usuario o de grupo y, a continuación, haga clic en Agregar.

  6. En el cuadro Permisos, haga clic en Control total y, a continuación, haga clic en Aceptar.

Establecimiento de permisos en un repositorio de metadatos

Cada aplicación de Servicio de conectividad a datos empresariales tiene un repositorio de metadatos que incluye todos los modelos, sistemas externos, tipos de contenido externo, métodos e instancias de método que se han definido para el propósito del repositorio. Debe establecer permisos en un repositorio de metadatos para especificar quién puede editar elementos del repositorio de metadatos y quién puede establecer permisos en él.

Se recomienda que conceda permisos específicos para cada usuario o grupo que los necesite, de manera que las credenciales proporcionen los menores privilegios posibles para realizar las tareas necesarias. Para obtener más información acerca de cómo establecer permisos, vea Introducción a los permisos de Servicios de conectividad empresarial en "Introducción a la seguridad de Servicios de conectividad empresarial (SharePoint Server 2010)".

Para establecer permisos en un repositorio de metadatos

  1. Compruebe si tiene una de las siguientes credenciales administrativas:

    • Debe ser administrador de la granja de servidores.

    • Debe ser el administrador de la aplicación de Servicio de conectividad a datos empresariales y tener permisos para establecer permisos en el repositorio de metadatos.

  2. En el sitio web de Administración central, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  3. En la lista de aplicaciones de servicio, haga clic en la fila que contiene la aplicación de Servicio de conectividad a datos empresariales.

  4. En la sección Operaciones de la ficha Aplicaciones de servicio, haga clic en Administrar.

  5. En la ficha Editar, en el grupo Permisos, haga clic en Establecer permisos del almacén de metadatos.

  6. En el cuadro de texto, escriba las cuentas de usuario, los grupos o las notificaciones para los que se concederán permisos. A continuación, haga clic en Agregar.

    Nota

    La cuenta de usuario, grupo o notificación no puede tener una barra vertical (|) en su nombre.

  7. Establezca los permisos para la cuenta, grupo o reclamación:

    Nota

    Al menos un usuario, grupo o notificación de la lista de control de acceso del objeto de metadatos debe tener el permiso Establecer permisos.

    • Haga clic en Editar para permitir que el usuario, grupo o notificación cree sistemas externos, y cree, importe y exporte modelos.

      Nota de seguridadSecurity Note
      El permiso de edición debe tener privilegios elevados. Con este permiso, un usuario malintencionado puede robar credenciales o dañar una granja de servidores. Para ayudar a garantizar una solución segura, se recomienda que use un entorno de prueba donde el permiso de edición se pueda asignar libremente a los programadores y diseñadores de soluciones. Al implementar la solución probada en un entorno de producción, quite los permisos de edición.
    • Haga clic en Ejecutar para permitir que el usuario, grupo o notificación ejecute operaciones (crear, leer, actualizar, eliminar o consultar) en tipos de contenido externo.

      Sugerencia

      El permiso de ejecución no es aplicable al repositorio de metadatos en sí. Esta configuración se usa cuando desea propagar el permiso de ejecución a los objetos secundarios del repositorio de metadatos.

    • Para permitir que el usuario, grupo o notificación cree listas externas de cualquier tipo de contenido externo y vea los tipos de contenido externo en el selector de elementos externos, haga clic en Seleccionable en clientes.

      Sugerencia

      El permiso Seleccionable en clientes no es aplicable al repositorio de metadatos en sí. Esta configuración se usa cuando desea propagar el permiso Seleccionable en clientes a los objetos secundarios del repositorio de metadatos.

    • Haga clic en Establecer permisos para permitir que el usuario, grupo o notificación establezca permisos en el repositorio de metadatos.

      Nota de seguridadSecurity Note
      El permiso para establecer permisos debe tener privilegios elevados. Con este permiso, un usuario puede conceder el permiso de edición en el repositorio de metadatos.
  8. Para propagar los permisos a todos los elementos del repositorio de metadatos, haga clic en Propague permisos a todos los modelos de BDC, sistemas externos y tipos de contenido externo del almacén de metadatos del BDC. De esta manera se sobrescribirán los permisos existentes.

Modo de autenticación RevertToSelf

Cada tipo de contenido externo tiene un modo de autenticación asociado. El modo de autenticación proporciona información a los Servicios de conectividad empresarial acerca de cómo procesar una solicitud de autenticación entrante de un usuario y asigna la solicitud a un conjunto de credenciales que puede pasarse al sistema externo. De forma predeterminada, el modo de autenticación RevertToSelf (también denominado Identidad de BDC) no está habilitado. No puede crear ni importar modelos que usan RevertToSelf cuando el modo de autenticación RevertToSelf no está habilitado.

El modo de autenticación RevertToSelf usa la cuenta de grupo de aplicaciones en la que se ejecutan los Servicios de conectividad empresarial para autenticar al usuario que inició sesión en el sistema externo. Por ejemplo, cuando un usuario abre una lista externa, la cuenta de grupo de aplicaciones del servidor front-end web en el que reside la lista externa se usa para la autenticación. La cuenta de grupo de aplicaciones tiene privilegios elevados. De forma predeterminada, esta cuenta tiene permiso de lectura para la base de datos de configuración de la granja de servidores. Al usar el modo RevertToSelf, cualquier usuario que pueda crear o editar un modelo que usa el modo RevertToSelf tiene la capacidad para convertirse a sí mismo en un administrador de la granja de servidores de SharePoint.

No se recomienda el modo de autenticación RevertToSelf para entornos de producción. Se recomienda usar Servicio de almacenamiento seguro.

Si tiene que usar el modo de autenticación RevertToSelf en un entorno de producción, tenga en cuenta lo siguiente:

  • Todos los usuarios que puedan crear o editar modelos, incluidos los usuarios de SharePoint Designer, deben considerarse iguales que un administrador de la granja de servidores desde el punto de vista de la seguridad. Debe poder confiar en ellos de la misma manera que confiaría en un administrador de la granja de servidores.

  • Debe bloquear el uso de la cuenta de grupo de aplicaciones en el mayor grado posible. De esta manera, podrá limitar el daño que podría ocasionar un usuario malintencionado en la granja de servidores de SharePoint y los sistemas externos.

Habilitación del modo de autenticación RevertToSelf

Después de habilitar el modo de autenticación RevertToSelf, se podrán crear e importar nuevos modelos que usen RevertToSelf.

Nota de seguridadSecurity Note
No se recomienda el modo de autenticación RevertToSelf para los entornos de producción. Antes de habilitar este modo, asegúrese de haber leído y comprendido las consecuencias que podría tener su habilitación.

Nota

RevertToSelf no se permite en entornos hospedados.

Para habilitar el modo de autenticación RevertToSelf

  1. Compruebe que cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. En el menú Inicio, haga clic en Todos los programas.

  3. Haga clic en Productos de Microsoft SharePoint 2010.

  4. Haga clic en Consola de administración de SharePoint 2010.

  5. En el símbolo del sistema de Windows PowerShell, escriba los siguientes comandos:

    1. Para crear una variable que contenga el objeto de la aplicación de Servicio de conectividad a datos empresariales, escriba el siguiente comando:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
      

      Donde <nombreDelServicio> es el nombre de la aplicación de Servicio de conectividad a datos empresariales. También puede ser una expresión regular (por ejemplo, "BDC").

      Nota

      Si la aplicación de Servicio de conectividad a datos empresariales es una aplicación de servicio compartido, se debe ejecutar este comando en la granja de servidores donde está publicada la aplicación de servicio.

    2. Para habilitar el modo de autenticación RevertToSelf, escriba el siguiente comando:

      $bdc.RevertToSelfAllowed = $true
      

Deshabilitación del modo de autenticación RevertToSelf

Cuando RevertToSelf está deshabilitado, no se pueden crear ni importar nuevos modelos que usan RevertToSelf.

Nota

Si ya tiene modelos que usan RevertToSelf, dejarán de funcionar. Debe eliminar los modelos existentes si desea quitar todas las instancias de la autenticación RevertToSelf de la granja de servidores.

Para deshabilitar el modo de autenticación RevertToSelf

  1. Compruebe que cumple los siguientes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. En el menú Inicio, haga clic en Todos los programas.

  3. Haga clic en Productos de Microsoft SharePoint 2010.

  4. Haga clic en Consola de administración de SharePoint 2010.

  5. En el símbolo del sistema de Windows PowerShell, escriba los siguientes comandos:

    1. Para crear una variable que contenga la aplicación de Servicio de conectividad a datos empresariales, escriba el siguiente comando:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
      

      Donde <nombreDelServicio> es el nombre de la aplicación de Servicio de conectividad a datos empresariales. También puede ser una expresión regular (por ejemplo, "BDC").

      Nota

      Si la aplicación de Servicio de conectividad a datos empresariales es una aplicación de servicio compartido, se debe ejecutar este comando en la granja de servidores donde está publicada la aplicación de servicio.

    2. Para deshabilitar el modo de autenticación RevertToSelf, escriba el siguiente comando:

      $bdc.RevertToSelfAllowed = $false
      

Flujos de trabajo y listas externas

Se requiere configuración adicional si desea desarrollar flujos de trabajo que interactúen con listas externas. Las siguientes secciones describen los requisitos que pueden afectar al comportamiento de los flujos de trabajo.

Nota

Los flujos de trabajo no pueden interactuar con listas externas en un entorno hospedado.

Los flujos de trabajo no se pueden asociar directamente con una lista externa

Debido a que los datos externos no están almacenados en SharePoint Server, no se puede notificar al flujo de trabajo cuando un elemento de la lista externa cambia. En su lugar, puede crear un flujo de trabajo del sitio o de la lista y, a continuación, leer o actualizar una lista externa. También puede usar un elemento de lista externa como un destino para un proceso de tarea en SharePoint Designer; sin embargo, el vínculo de la tarea no mostrará un título para el elemento de lista externa.

A veces, los flujos de trabajo se ejecutan como la cuenta de servicio

Los flujos de trabajo se ejecutan como la cuenta de servicio (normalmente, la cuenta de grupo de aplicaciones) en los siguientes escenarios:

  • Flujos de trabajo de Visual Studio.

  • Flujos de trabajo declarativos que interactúan con listas externas y se inician automáticamente. Esto ocurre incluso cuando usa un paso de suplantación en el flujo de trabajo.

En este caso, debe proporcionar a la cuenta de servicio permisos de ejecución en el tipo de contenido externo al que está asociada la lista externa y comprobar que la cuenta de servicio tenga los permisos necesarios para obtener acceso al sistema externo.

Flujos de trabajo y autenticación

Para admitir actividades de flujo de trabajo, el tipo de contenido externo al que está asociada la lista externa debe usar RevertToSelf o Servicio de almacenamiento seguro para la autenticación.

Nota

Estas restricciones del modo de autenticación no se aplican si usa un conector de ensamblado .NET o un conector personalizado.

  • Autenticación mediante RevertToSelf

    El modo de autenticación RevertToSelf (también conocido como Identidad de BDC) autentica en el sistema externo mediante la cuenta de grupo de aplicaciones del servidor front-end web en el que reside la lista externa. Esto significa que la cuenta de grupo de aplicaciones debe tener permiso para acceder al sistema externo. De forma predeterminada, la autenticación RevertToSelf no está habilitada. Debe habilitarla para poder crear o importar modelos que usan la autenticación RevertToSelf.

    Nota de seguridadSecurity Note
    No se recomienda la autenticación RevertToSelf para entornos de producción.

    Para obtener más información acerca de la autenticación RevertToSelf, vea Modo de autenticación RevertToSelf.

  • Autenticación mediante el Servicio de almacenamiento seguro

    El Servicio de almacenamiento seguro permite almacenar de forma segura datos que proporcionan credenciales necesarias para conectarse con los sistemas externos y asociar dichas credenciales con una identidad o grupo de identidades específicas. Debe asegurarse de que el tipo de contenido externo use uno de los modos de autenticación del Servicio de almacenamiento seguro.

    Nota de seguridadSecurity Note
    Si el flujo de trabajo se ejecuta como la cuenta de servicio, se recomienda asignar la cuenta de servicio a una cuenta que tenga menos privilegios. Por ejemplo, puede crear un identificador de aplicación de destino de almacenamiento seguro que asigne la cuenta de servicio a una cuenta que tenga permisos mínimos y pueda acceder solo al sistema externo necesario.

Para obtener más información acerca de los modos de autenticación, vea Introducción a la autenticación de los Servicios de conectividad empresarial en "Introducción a la seguridad de Servicios de conectividad empresarial (SharePoint Server 2010)".

Establecimiento de permisos para permitir que una granja de servidores de consumo genere paquetes de implementación

La aplicación de Servicio de conectividad a datos empresariales se puede compartir entre granjas de servidores. La granja que contiene y publica la aplicación de Servicio de conectividad a datos empresariales se conoce como la granja de servidores de publicación. La granja de servidores de consumo es la que se conecta con una ubicación remota para usar la aplicación de Servicio de conectividad a datos empresariales.

Cuando un usuario pone una lista externa sin conexión, la cuenta de grupo de aplicaciones que usa el servidor front-end web en el que reside la lista externa, genera un paquete de implementación que posteriormente se instala en el equipo cliente. En la granja de servidores de publicación, la cuenta de grupo de aplicaciones del servidor front-end tiene permisos totales para el repositorio de metadatos, de modo que puede generar el paquete de implementación. Si desea que la granja de servidores de consumo pueda generar paquetes de implementación, debe proporcionar permisos de edición y de establecimiento de permisos, en el repositorio de metadatos, a la cuenta del grupo de aplicaciones que usa el servidor front-end en la granja de servidores de consumo. Si no proporciona estos permisos adicionales a la cuenta de grupo de aplicaciones, las listas externas que residen en la granja de servidores de consumo no se podrán poner sin conexión.

Nota de seguridadSecurity Note
Si proporciona permisos de edición y de establecimiento de permisos para el repositorio de metadatos a la cuenta de grupo de aplicaciones de la granja de servidores de consumo, la cuenta se convertirá en un administrador de granja de servidores de la granja de servidores de publicación.

Nota

Esta sección se aplica solamente a las implementaciones de SharePoint Server locales.

Para obtener más información acerca de las implementaciones de lista externa, vea Planear la integración de clientes en Servicios de conectividad empresarial (SharePoint Server 2010).

Para asignar permisos a la cuenta de grupo de aplicaciones de la granja de servidores de consumo

  1. Compruebe si tiene una de las siguientes credenciales administrativas:

    • Debe ser administrador de la granja de servidores en la granja de servidores de publicación.

    • Debe ser el administrador de la aplicación de Servicio de conectividad a datos empresariales y tener permisos para establecer permisos en el repositorio de metadatos.

  2. En el sitio web de Administración central de la granja de servidores de publicación, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

  3. Haga clic en una instancia de una aplicación de Servicio de conectividad a datos empresariales.

  4. En la ficha Editar, en el grupo Permisos, haga clic en Establecer permisos del almacén de metadatos.

  5. En el cuadro de texto, escriba la cuenta de grupo de aplicaciones que usa el servidor front-end web en la granja de servidores de consumo y, a continuación, haga clic en Agregar.

  6. En el cuadro Permisos, haga clic en Editar y, a continuación, haga clic en Establecer permisos.

  7. Haga clic en Aceptar.

Para obtener más información acerca de las aplicaciones de servicio compartidas, vea Uso compartido de aplicaciones de servicio entre granjas de servidores (SharePoint Server 2010).

See Also

Concepts

Introducción a la seguridad de Servicios de conectividad empresarial (SharePoint Server 2010)