Délégation d’identité pour Business Connectivity Services (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Dans ce scénario, vous configurez l’application de service Business Data Connectivity de manière à utiliser la délégation Kerberos contrainte pour vous authentifier auprès de SQL Server. Une fois la configuration effectuée, vous créez un type de contenu et une liste externes pour tester l’authentification et les opérations de lecture dans un site SharePoint.

Dans ce scénario, la batterie de serveurs SharePoint Server et la source de données BCS appartiennent au même domaine. Par conséquent, nous configurons la délégation Kerberos contrainte de manière à autoriser la délégation d’identité à la source de données principale. Si vous devez vous authentifier auprès de sources de données dans d’autres domaines de la même forêt, vous devez configurer la délégation Kerberos de base (non contrainte). BCS ne repose pas sur le service d’émission de jetons Revendications vers Windows ; par conséquent, vous pouvez utiliser la délégation de base.

Notes

Si vous effectuez l’installation sur Windows Server 2008, vous pouvez être amené à installer le correctif logiciel suivant pour l’authentification Kerberos :
L’authentification Kerberos échoue avec le code d’erreur 0X80090302 ou 0x8009030f sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista lorsque l’algorithme AES est utilisé. (https://support.microsoft.com/kb/969083/fr)

Dépendances des scénarios

Pour accomplir ce scénario, vous devez avoir effectué les scénarios suivants :

Liste de vérification de la configuration

Domaine de configuration Description

Configuration d’Active Directory

Créer un compte de service d’application BCS

Valider les noms principaux de service

Configurer la délégation

Configuration de SharePoint Server

Démarrer l’instance de service BCS

Créer l’application de service BCS

Vérification

Créer un type de contenu externe BCS

Configurer la sécurité BCS

Créer une liste externe BCS

Ouvrir la liste externe dans le navigateur

Détails de l’environnement du scénario

Diagramme du processus d’authentification Diagramme du processus de délégation

Instructions de configuration pas à pas

Configuration d’Active Directory

Créer un compte de service d’application BCS

En guise de meilleure pratique, Business Connectivity Services doit s’exécuter sous sa propre identité de domaine. Pour configurer l’application BCS, vous devez créer un compte Active Directory. Dans cet exemple, les comptes suivants ont été créés :

Service SharePoint Server Identité du pool d’applications IIS

Business Connectivity Service

vmlab\svcBDC

Valider les noms principaux de service

Les types de contenu externe BCS s’exécutent dans le contexte du pool d’applications IIS à l’aide du type ECT lorsque des données BCS sont utilisées dans les sites SharePoint. Pour que BCS se connecte à des sources de données externes et qu’il s’authentifie auprès de celles-ci à l’aide de l’authentification Kerberos, il est nécessaire que des noms principaux de service soient configurés pour le compte de service du pool d’applications IIS et pour le compte de service de la source de données externe. Reportez-vous aux scénarios 1 et 2 dans ce document pour configurer et valider les noms principaux de service nécessaires sur les applications Web et les comptes de service SQL Server.

Configurer la délégation

Pour autoriser BCS à déléguer l’identité du client, vous devez configurer la délégation Kerberos. Bien que la délégation contrainte ne soit pas techniquement requise comme Excel Services et que la délégation non contrainte puisse être utilisée pour BCS, il est recommandé de limiter l’étendue de la délégation que le service est autorisé à effectuer. Par conséquent, la délégation contrainte sera configurée dans cet exemple.

Chaque compte de service de pool d’applications IIS qui héberge le site exécutant le type de contenu externe doit être configuré de manière à autoriser la délégation aux services principaux.

Dans notre exemple, les chemins de délégation suivants sont requis :

Type de principal Nom de principal Délègue au service

Utilisateur

svcPortal10App

MSSQLSVC/MySqlCluster.vmlab.local:1433

Utilisateur

svcTeams10App

MSSQLSVC/MySqlCluster.vmlab.local:1433

Pour configurer la délégation contrainte

  1. Ouvrez les propriétés de l’objet Active Directory dans Utilisateurs et ordinateurs Active Directory.

  2. Accédez à l’onglet Délégation.

    SP2010 Kerberos Guide228.gif

  3. Sélectionnez N’approuver cet utilisateur que pour la délégation aux services spécifiés.

    Notes

    Si vous avez besoin de BCS pour vous authentifier auprès de sources de données appartenant à la même forêt, mais situées en dehors du domaine dans lequel réside SharePoint Server, vous pouvez sélectionner Approuver cet ordinateur pour la délégation à tous les services pour configurer la délégation de base au lieu de la délégation contrainte. Le type de contenu externe BCS s’exécutera dans le processus de travail IIS de l’application Web et ne repose pas sur le service d’émission de jetons Revendications vers Windows. Gardez à l’esprit que la délégation Kerberos inter-forêts est impossible.

  4. Cliquez sur le bouton Ajouter pour sélectionner le principal de service qui peut être le bénéficiaire de la délégation.

  5. Sélectionnez Utilisateurs et ordinateurs.

  6. Sélectionnez le compte de service qui exécute le service bénéficiaire de la délégation. Dans cet exemple, il s’agit du compte de service du service SQL Server.

    Notes

    Un nom principal de service doit être appliqué au compte de service sélectionné. Dans notre exemple, le nom principal de service pour ce compte a été configuré dans un scénario antérieur.

  7. Cliquez sur OK.

  8. Sélectionnez les noms principaux de service à déléguer, puis cliquez sur OK.

  9. Sélectionnez les services pour le cluster SQL Server, puis cliquez sur OK.

    À présent, les noms principaux de service sélectionnés doivent apparaître dans la liste Ce compte peut présenter des informations d’identification déléguées à ces services.

  10. Répétez ces étapes pour chaque chemin de délégation identifié précédemment dans cette section.

Vérifier le nom principal de service MSSQLSVC pour le compte de service qui exécute le service sur le serveur SQL Server (opération réalisée dans le scénario 2)

Vérifiez que le nom principal de service pour le compte de service Analysis Services (vmlab\svcSQL) existe à l’aide de la commande SetSPN suivante :

SetSPN -L vmlab\svcSQL

Vous devez obtenir les informations suivantes :

MSSQLSVC/MySqlCluster

MSSQLSVC/MySqlCluster.vmlab.local:1433

Configuration de SharePoint Server

Démarrer l’instance de service BCS

Avant de créer une application de service BCS, démarrez le service BCS sur les serveurs désignés de la batterie.

  1. Ouvrez l’Administration centrale.

  2. Sous Services, sélectionnez Gérer les services sur le serveur.

  3. Dans la zone Choix du serveur dans le coin supérieur droit, sélectionnez le(s) serveur(s) exécutant Excel Services. Dans cet exemple, il s’agit de VMSP10APP01.

  4. Démarrez le service Service BDC.

Créer l’application de service BCS

Ensuite, configurez une nouvelle application de service BDC et un nouveau proxy d’application pour autoriser les applications Web à consommer les services BDC :

  1. Ouvrez l’Administration centrale.

  2. Sélectionnez Gérer les applications de service sous Gestion des applications.

  3. Sélectionnez Nouveau, puis Service BDC.

  4. Configurez la nouvelle application de service. Veillez à sélectionner le compte de service adéquat (créez un compte géré si le compte de service BDC n’est pas recensé dans la liste).

Vérification

Créer un type de contenu externe BCS

Pour accéder à des données externes par le biais de BDC, vous devez créer un type de contenu externe BDC. Dans cet exemple, nous allons utiliser SharePoint Designer 2010 pour créer le type de contenu externe dans l’application Web Portal (http://portal) :

  1. Ouvrez SharePoint Designer 2010.

  2. Ouvrez la collection de sites test à l’adresse http://portal.

  3. Dans le volet de navigation de gauche, cliquez sur Types de contenu externe.

  4. Sélectionnez Type de contenu externe dans la section Nouveau du Ruban dans le coin supérieur gauche de la page.

  5. Attribuez un nom d’affichage au type de contenu externe.

  6. Ensuite, sélectionnez Cliquez ici pour découvrir les sources de données externes et définir des opérations.

  7. Cliquez sur Ajouter une connexion.

  8. Sélectionnez SQL Server dans la liste déroulante Type de source de données, puis ajoutez les informations de connexion à la base de données de test. Veillez à sélectionner Se connecter avec l’identité de l’utilisateur pour tester la délégation.

  9. Développez la nouvelle connexion. Cliquez avec le bouton droit sur la table de test (Sales) et sélectionnez Créer toutes les opérations.

  10. Une erreur doit normalement apparaître, expliquant qu’aucun identificateur unique n’est défini. Sélectionnez la colonne d’identificateur, puis activez la case à cocher Mapper sur l’identificateur. Cliquez sur Terminer pour accepter les options par défaut et créer les opérations ECT.

  11. Cliquez sur Enregistrer (CTRL+S). Cette opération permet de publier le type de contenu externe dans le magasin de métadonnées de l’application de service BDC.

Configurer la sécurité BCS

Pour que les clients puissent utiliser le type de contenu externe BCS dans l’application Web « portal », des autorisations BCS doivent être configurées. BCS prend en charge un modèle d’autorisation précis, mais dans le cadre de cette démonstration, nous allons configurer la sécurité au niveau du magasin de métadonnées et propager les modifications apportées à la sécurité à tous les objets du magasin.

  1. Ouvrez l’Administration centrale.

  2. Sélectionnez Gérer les applications de service sous Gestion des applications.

  3. Cliquez sur le lien de la nouvelle application de service, Business Data Services dans cet exemple.

  4. Sélectionnez Définir les autorisations du magasin de métadonnées.

  5. Dans notre exemple, nous avons configuré Administrateurs de l’entreprise avec toutes les autorisations et Tous les utilisateurs authentifiés avec toutes les autorisations sauf Définir les autorisations.

  6. Vérifiez que la case à cocher Propager les autorisations est activée, puis cliquez sur OK pour enregistrer vos modifications.

Créer une liste externe BCS

Pour tester le type de contenu externe, nous allons configurer une liste externe afin d’afficher les données externes dans l’application « portal » :

  1. Ouvrez SharePoint Designer 2010.

  2. Ouvrez la collection de sites test à l’adresse http://portal.

  3. Sélectionnez Types de contenu externe sur le côté gauche.

  4. Cliquez sur le type de contenu que vous avez créé précédemment.

  5. Dans le Ruban, cliquez sur Créer des listes et formulaires.

  6. Si vous êtes invité à enregistrer le type de contenu externe, cliquez sur Oui.

  7. Dans la boîte de dialogue Créer des listes et formulaires, tapez un nom de liste dans la zone de texte Nom de la liste, puis cliquez sur OK.

Ouvrir la liste externe dans le navigateur

  1. Ouvrez SharePoint Designer 2010.

  2. Ouvrez la collection de sites test à l’adresse http://portal.

  3. Cliquez sur « Listes et bibliothèques » dans le volet de navigation de gauche.

  4. Sélectionnez la liste externe en bas de la liste Listes et bibliothèques .

  5. Cliquez sur le bouton Aperçu dans le navigateur.

    Internet Explorer s’ouvre et affiche le site et la liste externe sélectionnés.

  6. Vérifiez que les données externes sont affichées correctement. Pour affiner la validation de la connexion, modifiez les données sources dans SQL Server Management Studio et actualisez la page du navigateur. Les modifications apportées aux données doivent être reflétées dans le navigateur.