Planifier l’intégration cliente de Business Connectivity Services (SharePoint Server 2010)
S’applique à : SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Les Services Microsoft Business Connectivity permettent aux utilisateurs d’interagir de nombreuses façons avec des systèmes externes à partir de leurs applications clientes Microsoft Office 2010. Cet article explique comment les utilisateurs peuvent déconnecter des données externes vers Microsoft Outlook 2010 et Microsoft SharePoint Workspace 2010.
Lorsqu’un utilisateur clique sur le bouton Se connecter à Outlook ou Synchroniser avec SharePoint Workspace sur une liste externe, un package de déploiement d’application ClickOnce est créé et installé sur l’ordinateur client. Cela permet aux utilisateurs de recourir à des données externes en tant que types d’élément Outlook natifs (par exemple, Contacts, Tâches et Rendez-vous) dans Outlook et que listes dans SharePoint Workspace. Suivant leurs autorisations, les utilisateurs peuvent effectuer des opérations de lecture et d’écriture sur les données externes, même lorsqu’ils travaillent en mode hors connexion ou que la connectivité au système externe est lente, intermittente ou non disponible. Les données externes sont synchronisées lorsque la connexion au serveur devient disponible.
La possibilité de déconnecter des listes externes tire parti des fonctionnalités natives de Business Connectivity Services, de Microsoft SharePoint Server 2010 et des applications Office 2010. Vous pouvez générer des solutions Business Connectivity Services plus avancées qui utilisent des fonctionnalités ou du code de personnalisation.
Pour plus d’informations sur les solutions Business Connectivity Services avancées, voir Génération de solutions avec Business Connectivity Services (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x40C).
Dans cet article :
Conditions préalables
Installation des packages de déploiement
Considérations relatives à la sécurité
Conditions préalables
Le serveur doit disposer de Microsoft SharePoint Server 2010 avec une licence d’accès client Enterprise. L’ordinateur client doit disposer de Microsoft Office Professionnel Plus 2010.
La liste suivante décrit les autres exigences pour l’ordinateur client :
Internet Explorer Le mécanisme de déploiement utilise des contrôles ActiveX. Étant donné qu’Internet Explorer est le seul navigateur qui prend en charge les contrôles ActiveX, la déconnexion de listes externes n’est prise en charge que dans Internet Explorer. Si vous utilisez un autre navigateur, tel que Firefox, les boutons Se connecter à Outlook et Synchroniser avec SharePoint Workspace sont désactivés.
Microsoft .NET Framework 3.5 Microsoft .NET Framework version 3.5 ou ultérieure doit être installé sur l’ordinateur client.
Business Connectivity Services Par défaut, la fonctionnalité Business Connectivity Services est installée lorsqu’Office Professionnel Plus 2010 est installé. Si .NET Framework 3.5 n’est pas installé lorsqu’un utilisateur installe Office, Business Connectivity Services n’est pas installé. Une fois .NET Framework 3.5 installé sur l’ordinateur client, la fonctionnalité Business Connectivity Services est installée lorsque l’utilisateur déconnecte une liste externe, puis le package de déploiement est installé. Si la fonctionnalité Business Connectivity Services a été désactivée par l’utilisateur, celui-ci doit mettre à jour son installation Office et activer la fonctionnalité Business Connectivity Services. La fonctionnalité Business Connectivity Services est disponible dans le groupe Composants partagés d’Office.
Installation des packages de déploiement
Les sections suivantes présentent les paramètres pouvant avoir une incidence sur les installations des packages de déploiement.
Applications ClickOnce et comportement d’invite d’approbation
Les packages de déploiement sont des applications ClickOnce. Toutes les règles, les réglementations et les limitations qui régissent les applications ClickOnce générales s’appliquent également aux packages de déploiement. Le modèle de sécurité ClickOnce s’appuie sur des éditeurs approuvés et sur la fonctionnalité d’invite utilisateur pour déterminer si une application ClickOnce doit être installée sur l’ordinateur client. Les applications ClickOnce sont signées avec un certificat qui identifie l’éditeur. Les certificats fournissent la base suivante pour la prise de décisions confidentielles :
Si l’application ClickOnce est signée par un éditeur approuvé, elle est automatiquement installée. L’utilisateur n’est pas sollicité.
Si l’application ClickOnce n’est pas signée par un éditeur approuvé, ClickOnce ne l’approuve pas automatiquement. L’utilisateur est invité à confirmer son souhait d’installer l’application.
Notes
Par défaut, Business Connectivity Services utilise un certificat auto-signé pour signer ses packages de déploiement. Étant donné que le certificat est auto-signé, il n’est pas émis par une autorité de certification approuvée.
Toutefois, d’autres paramètres peuvent avoir un impact sur la fonctionnalité d’invite d’approbation, tels que la zone de sécurité Internet Explorer à partir de laquelle l’application ClickOnce est installée. Le tableau suivant répertorie des exemples de chemins d’accès et d’URL, leurs zones de sécurité correspondantes et le comportement d’invite d’approbation par défaut.
| URL ou chemin d’accès de l’application ClickOnce | Zone de sécurité | Comportement d’invite d’approbation par défaut |
|---|---|---|
C:\Contoso\Clientsolution\Customer.vsto |
Poste de travail |
Autoriser les invites utilisateur. |
http://contoso/clientsolution/customer.vsto |
Intranet local |
Autoriser les invites utilisateur. |
\\contoso\clientsolution\customer.vsto |
Intranet local |
Autoriser les invites utilisateur. |
http://fabrikam.contoso/clientsolution/customer.vsto |
Internet |
Les invites utilisateur ne sont autorisées que si l’application est signée par un certificat émis par une autorité de certification approuvée. |
https://www.contoso.com/clientsolution/customer.vsto |
Internet |
Les invites utilisateur ne sont autorisées que si l’application est signée par un certificat émis par une autorité de certification approuvée. |
\\172.16.4.1\clientsolution\customer.vsto |
Internet |
Les invites utilisateur ne sont autorisées que si l’application est signée par un certificat émis par une autorité de certification approuvée. |
La liste suivante décrit certaines opérations qui permettent de parer aux défaillances de déploiement engendrées par les invites d’approbation par défaut.
Signer les packages de déploiement avec un certificat approuvé Par défaut, Business Connectivity Services utilise un certificat auto-signé pour signer ses packages de déploiement. Par conséquent, soit les utilisateurs sont invités à confirmer leur souhait d’installer l’application, soit l’installation du package de déploiement échoue sans invites utilisateur (si la liste externe réside dans la zone de sécurité Internet). Pour résoudre ces problèmes, vous pouvez fournir un certificat émis par une autorité de certification approuvée permettant de signer les packages de déploiement. Pour plus d’informations sur la fourniture d’un certificat approuvé, voir Procédure : éviter l’affichage de l’alerte « L’éditeur ne peut pas être vérifié » lors de la déconnexion de listes externes (https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x40C).
Les utilisateurs peuvent ajouter le site SharePoint à leur liste de sites approuvés dans Internet Explorer Lorsqu’un site est ajouté à la liste Internet Explorer de sites approuvés, la zone de sécurité des packages de déploiement est définie sur la zone Sites de confiance. Cette zone autorise les invites utilisateur. Si un package de déploiement n’est pas signé avec un certificat approuvé et qu’il réside dans la zone de sécurité Internet, l’ajout du site à la liste des sites approuvés permet à l’utilisateur de décider si le package de déploiement doit être installé.
Notes
Cette action ne doit être effectuée que pour les sites que l’utilisateur peut approuver.
Configuration de sécurité renforcée d’Internet Explorer La configuration de sécurité renforcée d’Internet Explorer limite la possibilité pour les utilisateurs de parcourir les sites Web Internet et intranet. Cela peut entraîner l’échec de l’installation des packages de déploiement sans affichage d’erreurs. En guise de solution de contournement, les opérations suivantes sont possibles :
Signer les packages de déploiement avec un certificat approuvé.
Les utilisateurs peuvent ajouter le site SharePoint à leur liste de sites approuvés dans Internet Explorer.
Désactiver la configuration de sécurité renforcée d’Internet Explorer pour les utilisateurs.
Pour plus d’informations sur les applications ClickOnce, voir Sécurité et déploiement ClickOnce (https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x40C).
Mappages de groupe pour le service Banque d’informations sécurisé
Les ID d’application du service Banque d’informations sécurisé sont utilisés pour mapper les utilisateurs aux jeux d’informations d’identification. Les mappages sont disponibles pour des groupes ou des individus. Dans un mappage de groupe, chaque utilisateur qui est un membre d’un groupe de domaines spécifique est mappé au même jeu d’informations d’identification. Dans un mappage individuel, chaque utilisateur est mappé à un ensemble unique d’informations d’identification.
Si le type de contenu externe associé à une liste externe utilise un mappage de groupe, lorsque les utilisateurs essaient de déconnecter la liste externe, ils sont invités à fournir les informations d’identification du groupe. Dans la plupart des cas, les utilisateurs ignorent les informations d’identification du groupe et ne sont pas en mesure de déconnecter la liste externe.
Vous pouvez effectuer l’une des opérations suivantes :
Modifier le type de contenu externe afin d’utiliser un mappage individuel.
Modifier le type de contenu externe afin d’empêcher les utilisateurs de déconnecter la liste externe. Ouvrez le type de contenu externe dans SharePoint Designer et définissez le champ Synchronisation hors connexion pour la liste externe sur Désactivé. Cette opération désactive les boutons Se connecter à Outlook et Synchroniser avec SharePoint Workspace dans le Ruban de la liste externe.
Pour plus d’informations sur le service Banque d’informations sécurisé, voir Configurer le service Banque d’informations sécurisé (SharePoint Server 2010).
Se connecter en tant qu’utilisateur différent
Lorsque vous utilisez l’authentification Windows, la fonctionnalité Se connecter en tant qu’utilisateur différent n’est pas prise en charge pour l’installation des packages de déploiement. Vous ne pouvez pas déconnecter une liste externe si vous vous êtes connecté à un ordinateur client sous un compte, puis que vous vous connectez au site SharePoint sous un autre compte d’utilisateur. Pour déconnecter une liste externe, vous devez utiliser le même compte d’utilisateur pour vous connecter à l’ordinateur client et au site SharePoint.
Considérations relatives à la sécurité
Les sections suivantes présentent des mesures supplémentaires qui permettent de sécuriser Business Connectivity Services lorsque vous utilisez des applications clientes enrichies.
Sécurisation des communications
Il est recommandé d’utiliser SSL (Secure Sockets Layer) sur tous les canaux entre les ordinateurs clients et les serveurs Web frontaux. Cela permet de protéger les données sensibles.
Autorisations des listes externes
Chaque liste externe est associée à un type de contenu externe. Les autorisations sur le type de contenu externe spécifient qui peut effectuer des actions spécifiques sur celui-ci. L’autorisation d’exécution est requise pour exécuter des opérations (telles que la lecture ou la mise à jour) sur un type de contenu externe, ainsi que pour générer un package de déploiement pour la liste externe. Toutefois, une fois qu’un package de déploiement a été créé pour une liste externe, tout utilisateur qui peut accéder à cette liste externe peut télécharger et installer le package de déploiement. En d’autres termes, un utilisateur qui ne dispose pas de l’autorisation d’exécution sur le type de contenu externe, mais qui possède le niveau d’autorisation de lecture sur la liste externe, ne peut pas voir les éléments de la liste externe, mais peut déconnecter la liste externe. Pour éviter la divulgation des données sensibles, il est recommandé de faire en sorte que les autorisations sur une liste externe soient égales aux autorisations du type de contenu externe associé.
Composants WebPart Outlook Web Access
Les composants WebPart Outlook Web Access permettent aux utilisateurs d’afficher un contenu spécifique à partir de dossiers de leur compte de messagerie Office Outlook dans un site SharePoint. Si les utilisateurs ont déconnecté des données externes vers Outlook, l’utilisation des composants WebPart Outlook Web Access peut se traduire par le partage de données sensibles. Il est recommandé que les administrateurs indiquent aux utilisateurs de ne partager leurs dossiers Outlook qu’avec les personnes dans lesquelles ils peuvent avoir confiance.
Seuils de limitation sur les ordinateurs clients
La définition de seuils de limitation sur l’ordinateur client permet de limiter les menaces de déni de service engendrées par un utilisateur qui envoie des requêtes dont le résultat comprend une grande quantité de données ou dont le traitement prend beaucoup de temps. Vous pouvez utiliser des clés de stratégie basées sur le Registre pour définir les seuils de limitation sur les ordinateurs clients. La façon de gérer les clés de stratégie basées sur le Registre consiste à utiliser la stratégie de groupe pour appliquer les paramètres de stratégie basés sur le Registre.
Les paramètres de stratégie Business Connectivity Services sont inclus dans le fichier Office14.adm, que vous pouvez télécharger à partir de la page Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x40C).
Le tableau suivant décrit les clés de stratégie Business Connectivity Services basées sur le registre qui permettent de définir les seuils de limitation. Ces clés se trouvent sous HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data.
Notes
Le tableau suivant répertorie uniquement les paramètres de stratégie principaux qui permettent de définir les seuils de limitation sur les ordinateurs clients. Pour obtenir la liste complète des paramètres de stratégie Business Connectivity Services disponibles, voir le fichier Office2010GroupPolicyAndOCTSettings_Reference.xls disponible à partir de la page de téléchargement suivante : Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x40C).
| Clé | Type | Valeur | Description |
|---|---|---|---|
Synchronization\Query Instances Limit |
REG_ DWORD |
1 à 32 767 |
Spécifie le nombre maximal d’éléments pouvant être ajoutés au cache par Business Connectivity Services suite à l’exécution d’une requête. Certaines requêtes peuvent retourner de nombreux éléments à ajouter au cache. Cela augmente la taille du cache client (avec le risque que la limite de 4 Go imposée par la base de données Microsoft SQL Server Compact Edition soit dépassée), le travail nécessaire pour la synchronisation du cache client et la charge sur le système externe. Lorsque la limite est atteinte, le traitement s’arrête. La requête est marquée comme ayant échoué et sera réexécutée ultérieurement. La valeur par défaut est 2 000 éléments. |
Synchronization\Query Timeout |
REG_ DWORD |
1 à 360 (minutes) |
Spécifie le nombre de minutes que Business Connectivity Services consacre au traitement d’une requête unique. Certaines requêtes peuvent prendre un certain temps avant que tous les résultats soient récupérés et traités. Pendant ce laps de temps, aucune autre opération ne peut être traitée. Lorsque le délai d’attente est dépassé, le traitement s’arrête. La requête est marquée comme ayant échoué et sera réexécutée ultérieurement. En règle générale, la valeur est comprise entre 3 et 10 minutes. La valeur par défaut est 5 minutes. |
Limits\Database\Items\Max |
REG_ DWORD |
1 à 2 000 000 |
Spécifie le nombre maximal d’éléments que le connecteur de base de données peut retourner par demande. En règle générale, la valeur est comprise entre 1 000 et 3 000 éléments. Par défaut, aucune limite de données n’est définie. |
Limits\Database\Timeout\Max |
REG_ DWORD |
1 à 75 000 000 (millisecondes) |
Spécifie, en millisecondes, le délai au terme duquel une connexion de base de données ouverte prend fin. En règle générale, la valeur est comprise entre 5 000 et 180 000 millisecondes (5 secondes et 3 minutes). Par défaut, aucun délai n’est défini. |
Limits\Wcf\Size\Max |
REG_ DWORD |
1 à 1 000 000 000 (Ko) |
Spécifie la quantité maximale de données qu’un connecteur de service Web peut retourner par demande. En règle générale, la valeur est comprise entre 512 et 524 288 Ko (512 Mo). Par défaut, aucune limite de données n’est définie. |
Limits\Wcf\Timeout\Max |
REG_ DWORD |
1 à 75 000 000 (millisecondes) |
Spécifie, en millisecondes, le délai au terme duquel une connexion de service Web ouverte prend fin. En règle générale, la valeur est comprise entre 5 000 et 180 000 millisecondes (5 secondes et 3 minutes). Par défaut, aucun délai n’est défini. |