Planifier une solution Business Connectivity Services dans SharePoint

  • Article

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-27

Résumé : Créez un plan pour votre solution Services Microsoft Business Connectivity dans SharePoint Server 2016 ou SharePoint Server 2013.

Les solutions Services Microsoft Business Connectivity intègrent des données externes de manière approfondie dans SharePoint Server et Office. Chaque solution Business Connectivity Services est personnalisée à l’aide de Visual Studio. Il n’existe aucune configuration ni aucun modèle Business Connectivity Services prêt à l’emploi dont vous pouvez vous servir.

Cet article vous présente cinq questions auxquelles vous devez répondre avant de pouvoir concevoir votre solution Business Connectivity Services. Veillez à recueillir toutes les informations nécessaires et à les communiquer à toutes les parties prenantes afin que ces dernières puissent les examiner et les approuver. En procédant ainsi, vous vous assurerez que toutes les personnes impliquées ont la même compréhension des besoins du projet et de la façon dont la solution fonctionne.

Contenu de cet article :

  • Où sont les données ?

  • Comment les données sont-elles exposées ?

  • Comment les données sont-elles sécurisées ?

  • Comment les données sont-elles utilisées ?

  • Comment allez-vous affecter des autorisations à la solution ?

Où sont les données ?

La première étape de planification de votre solution Business Connectivity Services consiste à déterminer l’emplacement des données externes souhaitées selon trois perspectives.

Vous devez déterminer qui est responsable de l’administration quotidienne de la source de données externe. Il s’agit du groupe de personnes avec lesquelles vous aurez à travailler pour mettre en place la connectivité aux données externes. Ces personnes sauront vous dire comment les données sont mises à disposition pour une utilisation externe, comment elles sont sécurisées, etc. Vous aurez peut-être besoin que ces personnes créent des informations d’identification dans le système externe à votre intention. Soyez prêt à répondre à leurs questions concernant l’impact de votre solution Business Connectivity Services sur leurs données et leur système externe.

Considérations relatives au réseau

Vous devez également prendre en compte l’emplacement de la source de données externe par rapport au réseau qui accueillera Business Connectivity Services et vos utilisateurs. Pour ce faire, tracez un diagramme des trois composants au sein de votre réseau et voyez où ils se situent. Par exemple, vous pouvez voir s’ils sont tous situés sur votre réseau interne et à l’intérieur de votre pare-feu. Ou peut-être que vous voyez que l’infrastructure de Business Connectivity Services et la source de données externe sont séparées par un pare-feu ou un réseau de délimitation et que ces composants se trouvent sur des réseaux complètement distincts. Voici quelques règles de base que vous pouvez utiliser pour orienter votre conception :

  • Si la source de données externes est en dehors de votre réseau, par exemple, sur Internet, Business Connectivity Services doit communiquer avec la source de données externes via votre pare-feu d’entreprise et vous devez planifier ce trafic.

  • Étudiez l’emplacement à partir duquel les utilisateurs auront accès à la solution Business Connectivity Services. Veillez à déterminer si les communications de données entre le client et la solution Business Connectivity Services doivent être chiffrées et si l’infrastructure réseau sous-jacente peut gérer la charge supplémentaire. Vérifiez également si les navigateurs et les clients Office prennent en charge la fonctionnalité fournie par la solution.

Comment les données sont-elles exposées ?

Les solutions Business Connectivity Services peuvent se connecter à une source de données externe via OData, SQL Server, le service WCF (Windows Communication Foundation) et les assemblys .NET. Vous devez déterminer (notamment grâce aux administrateurs du système externe) la façon dont les données sont exposées à une utilisation externe. Le mode d’exposition des données externes détermine les outils de développement que vous allez utiliser pour créer le type de contenu externe. Le tableau suivant vous montre quels sont les outils à utiliser en fonction de la source de données externe.

Comment les données sont-elles sécurisées ?

Business Connectivity Services gère toutes les authentifications pour les communications entre lui-même et le système externe. En bref, Business Connectivity Services présente au système externe des informations qui lui permettent d’authentifier la demande (vérifier l’identité de son émetteur), puis d’autoriser l’accès aux données du système externe. Business Connectivity Services prend en charge de nombreux types d’authentification.

Pour la conception de votre solution Business Connectivity Services, vous devez déterminer quel est le mécanisme d’authentification nécessaire au système externe. Ainsi, vous saurez comment configurer Business Connectivity Services afin qu’il présente les informations d’authentification conformément aux exigences du système externe. Business Connectivity Services prend en charge trois modèles d’authentification :

  • Authentification basée sur les informations d’identification   Dans les modèles d’authentification basée sur les informations d’identification, ces dernières sont transmises de Business Connectivity Services au système externe. Les informations d’identification associent un nom d’utilisateur à une certaine forme de mot de passe. Business Connectivity Services dispose d’un certain nombre de méthodes pour y parvenir, par exemple le transfert des informations d’identification de l’utilisateur connecté, le transfert des informations d’identification du service qui effectue la demande ou le mappage des informations d’identification de l’utilisateur connecté à un autre ensemble d’informations d’identification reconnu par le système.

  • Authentification basée sur les revendications   Dans certains scénarios d’authentification, le système externe n’accepte pas les informations d’identification directement à partir de Business Connectivity Services. Toutefois, le système externe les accepte à partir d’un service d’authentification tiers de confiance. Le service d’authentification tiers (un fournisseur de jetons de sécurité) accepte le regroupement des informations (connues sous le nom d’assertions) relatives au demandeur. L’ensemble du regroupement est une revendication. Par ailleurs, une revendication peut contenir plus d’informations sur le demandeur que le nom d’utilisateur et le mot de passe uniquement. Par exemple, une revendication peut contenir des métadonnées sur le demandeur, notamment l’adresse e-mail du demandeur ou les groupes de sécurité auxquels il appartient. Le service d’authentification tiers procède à l’authentification du demandeur sur la base des assertions contenues dans la revendication, puis crée un jeton de sécurité utilisable par le demandeur. Le demandeur (Business Connectivity Services) présente ensuite le jeton de sécurité au système externe, lequel détermine quelles sont les données auxquelles le demandeur est autorisé à accéder.

  • Authentification personnalisée   Si le système externe que vous utilisez ne prend pas en charge l’authentification basée sur les informations d’identification ou l’authentification basée sur les revendications, vous devez développer, tester et implémenter une solution personnalisée qui accepte les informations d’identification produites par Business Connectivity Services et les traduit dans un format reconnu par le système externe. Vous pouvez implémenter une solution d’authentification personnalisée pour les sources de données OData sécurisées par OAuth ou un module HTTP ASP.NET personnalisé locale.

Comment les données sont-elles utilisées ?

Dans le cadre de votre évaluation des besoins, vous devez amener les parties prenantes à vous préciser la finalité souhaitée pour la solution et la façon dont les utilisateurs doivent interagir avec elle. Peut-être que les parties prenantes souhaitent que les utilisateurs interagissent avec les données de SharePoint Server (via des listes externes) et des composants WebPart externes et dans des clients Office 2016. Ou peut-être que les parties prenantes souhaitent que la solution expose les données via une application applications pour Office et SharePoint dans SharePoint Online ou une installation SharePoint Server locale. Pour plus d’informations sur les applications pour Office et SharePoint, reportez-vous à Vue d’ensemble des applications pour SharePoint 2013. Autre possibilité, la solution peut nécessiter l’accès aux données externes via un navigateur, un client et une application.

Le mode d’accès des utilisateurs aux données affecte la façon dont vous définissez l’étendue du type de contenu externe que Business Connectivity Services utilise pour accéder aux données externes. Si votre solution Business Connectivity Services nécessite une ou plusieurs applications pour Office et SharePoint, l’étendue du type de contenu externe doit être limitée à ces applications. Si votre solution Business Connectivity Services n’utilise pas applications pour Office et SharePoint pour accéder aux données externes, le type de contenu externe doit être limité à l’application Service Business Data Connectivity.

Les types de contenu externes dont l’étendue est limitée à Business Connectivity Services sont stockés de manière centralisée dans le magasin de métadonnées BDC et leur sécurité est gérée par un administrateur de batterie de serveurs. Vous pouvez partager ces types de contenu externes avec plusieurs applications web Business Connectivity Services.

Les types de contenu externes dont l’étendue est limitée à des applications pour Office et SharePoint sont stockés dans un fichier XML au sein de l’application pour Office et SharePoint elle-même. Ils ne peuvent pas être utilisés par d’autres applications pour Office et SharePoint.

Les objets de paramètres de connexion peuvent être utilisés uniquement avec des sources de données OData. Ils contiennent des informations de connexion, par exemple une adresse de service pour le service qui expose les données externes, le type d’authentification à utiliser, l’URL accessible sur Internet, ainsi que les noms des certificats nécessaires. Les objets de paramètres de connexion sont des objets distincts provenant d’un type de contenu externe. Quand une solution Business Connectivity Services doit se connecter à un système externe, elle utilise les informations contenues dans un objet de paramètres de connexion. En règle générale, vous pouvez choisir de définir les informations de connexion séparément par rapport au type de contenu externe quand le développeur de type de contenu externe ne connaît pas les informations de connexion nécessaires (ou n’y a pas accès) lors du développement du type de contenu externe. Les types de contenu externes dont l’étendue est limitée à une application et les types de contenu externes dont l’étendue est limitée à un service peuvent utiliser des objets de paramètres de connexion. Les objets de paramètres de connexion peuvent être utilisés par plusieurs solutions Business Connectivity Services. Chaque solution doit disposer d’autorisations pour utiliser un objet de paramètres de connexion.

Comment allez-vous affecter des autorisations à la solution ?

Dans chaque solution Business Connectivity Services, vous devez déterminer à l’avance les autorisations d’accès aux objets, ainsi que les utilisateurs qui en disposent. C’est ainsi que vous restreignez et accordez l’accès à la solution en fonction des utilisateurs appropriés et de la méthode adéquate. Vous devez collaborer avec l’administrateur du système externe et les administrateurs de batterie de serveurs SharePoint Server, les administrateurs de collections de sites et les administrateurs de sites pour configurer les autorisations. Toutefois, pour l’essentiel, voici ce dont vous devez tenir compte lors de votre planification.

Il existe trois rôles fondamentaux impliqués dans chaque solution Business Connectivity Services :

  • Rôles d’administrateur   Ces rôles sont responsables de la gestion des autorisations sur le système externe, de la création et de la gestion de l’application de Service Business Data Connectivity, de l’importation des modèles Business Data Connectivity (BDC) dans le magasin de métadonnées BDC, ainsi que de la gestion des autorisations du magasin de métadonnées BDC et de tous les objets qu’il contient. Si les apps pour SharePoint utilisent Business Connectivity Services, les administrateurs de batterie de serveurs SharePoint Server sont également impliqués dans la publication de l’application, ainsi que dans la création et la gestion des objets de connexion. En règle générale, ces responsabilités sont exercées par les administrateurs de batterie de serveurs SharePoint Server, les administrateurs du système externe et toute personne à laquelle des droits d’administration ont été délégués.

  • Rôles de développeur ou de concepteur   Ces rôles sont responsables de la création des types de contenu externes, des modèles BDC et des apps pour SharePoint qui utilisent Business Connectivity Services. Ils sont détenus par les personnes principalement concernées par l’identification de tous les besoins de l’entreprise pour la solution.

  • Rôles d’utilisateur   Les personnes qui détiennent ces rôles utilisent et manipulent les données externes dans la solution Business Connectivity Services. Il peut exister plusieurs rôles d’utilisateur dans votre solution, chacun correspondant à différents niveaux d’autorisations. Par exemple, dans un scénario de support technique par tickets où Business Connectivity Services sert à intégrer des informations externes dans la solution, les techniciens d’assistance de niveau 1 n’ont peut-être que l’autorisation de lire et démarrer les flux de travail d’un ticket, alors que les techniciens des niveaux 2 et 3 peuvent mettre à jour les tickets.

Il existe également quatre aspects principaux pour chaque solution Business Connectivity Services dont vous devez gérer les autorisations :

  • Système externe   Chaque système externe doit disposer d’une méthode en matière d’authentification et d’autorisation. (Pour plus d’informations, consultez la section Comment les données sont-elles sécurisées ? plus haut dans cette rubrique.) Vous devez collaborer avec l’administrateur du système externe pour déterminer la façon d’accorder l’accès aux utilisateurs de la solution selon le principe des privilèges minimum. En règle générale, vous mappez un groupe d’utilisateurs du côté de Business Connectivity Services à un compte unique du côté du système externe, puis vous utilisez le compte unique du système externe afin de restreindre l’accès. Une autre méthode consiste à établir un mappage 1:1 entre chaque compte sur chaque système. Dans les deux cas, à moins que le système externe n’accepte directement les informations d’identification avec lesquelles l’utilisateur s’authentifie sur SharePoint Server, vous devez utiliser le Service Banque d’informations sécurisé. Pour plus d’informations sur les modèles d’authentification pris en charge par Business Connectivity Services, consultez la rubrique Vue d’ensemble de la sécurité de Business Connectivity Services (SharePoint 2010).

  • Infrastructure centrale Business Connectivity Services   Dans l’Administration centrale, vous gérez l’affectation des autorisations au magasin de métadonnées BDC. Dans le magasin de métadonnées BDC, vous gérez les modèles BDC, les systèmes externes et les types de contenu externes. Vous devez affecter les autorisations d’exécution d’un type de contenu externe à tous les utilisateurs qui se servent de la solution Business Connectivity Services. Les tableaux suivants fournissent un mappage détaillé des capacités, des autorisations et des objets.

    Magasin de métadonnées BDC   Il s’agit d’une base de données SQL Server qui stocke les définitions de modèles, les types de contenu externes et les définitions de systèmes externes.

    Tableau : mappage des autorisations au magasin de métadonnées BDC

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Définir des autorisations sur un objet figurant dans le magasin de métadonnées BDC par propagation

    SetPermissions

    Magasin de métadonnées BDC

    Modèle   Un modèle est un fichier XML qui contient des ensembles de descriptions d’un ou de plusieurs types de contenu externes, les systèmes externes connexes et des informations spécifiques à l’environnement, par exemple les propriétés d’authentification.

    Tableau : mappage des autorisations au modèle

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Créer des modèles

    Modifier

    Magasin de métadonnées BDC

    Modifier un modèle

    Modifier

    Modèle

    Définir des autorisations sur un modèle

    Définir les autorisations

    Modèle

    Importer un modèle

    Modifier

    Magasin de métadonnées BDC

    Exporter un modèle

    Modifier

    Modèle et ensemble des systèmes externes du modèle

    Système externe dans le magasin de métadonnées BDC   Un système externe est la définition de métadonnées d’une source de données prise en charge pouvant être modélisée, par exemple une base de données, un service web ou un assembly de connectivité .NET.

    Tableau : mappage des autorisations au système externe dans le magasin de métadonnées BDC

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Créer des systèmes externes

    Modifier

    Magasin de métadonnées BDC

    Modifier un système externe

    Modifier

    Objet système externe

    Définir des autorisations sur le système externe

    Définir les autorisations

    Objet système externe

    Type de contenu externe   Un type de contenu externe est une collection de métadonnées réutilisable qui définit un ensemble de données à partir d’un ou de plusieurs systèmes externes, les opérations disponibles sur ces données et les informations de connectivité liées à ces données.

    Tableau : mappage des autorisations au type de contenu externe

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Créer des types de contenu externe

    Modifier

    Système externe

    Exécuter des opérations sur un type de contenu externe

    Exécuter

    Type de contenu externe (instances de méthodes de l’opération)

    Créer des listes du type de contenu externe

    Sélectionnable dans les clients

    Type de contenu externe

    Définir des autorisations sur le type de contenu externe

    Définir les autorisations

    Type de contenu externe

    Méthode  Une méthode Business Data Connectivity est une définition XML de la façon dont Business Connectivity Services peut interagir avec une source de données externe.

    Tableau : mappage des autorisations à la méthode

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Modifier une méthode

    Modifier

    Méthode

    Définir des autorisations sur une méthode

    Définir les autorisations

    Méthode

    Instance de méthode Une instance de méthode décrit, pour une méthode particulière, la façon d’utiliser une méthode à l’aide d’un ensemble spécifique de valeurs par défaut.

    Tableau : mappage des autorisations à l’instance de méthode

    Pour autoriser un utilisateur ou un groupe à... Accordez-leur les autorisations suivantes... Sur...

    Modifier une instance de méthode

    Modifier

    Instance de méthode

    Exécuter une instance de méthode

    Exécuter

    Instance de méthode

    Définir des autorisations sur une instance de méthode

    Définir les autorisations

    Instance de méthode

  • Environnement de développement   Quand vous développez une solution Business Connectivity Services, y compris le type de contenu externe, ainsi que des apps pour SharePoint et des objets de paramètres de connexion, il est conseillé d’utiliser un environnement de développement distinct de votre environnement de production. Dans l’environnement de développement, vous pouvez octroyer aux développeurs des niveaux d’autorisation plus élevés que dans votre environnement de production.

  • Environnement utilisateur   Toutes les données externes sont accessibles via des listes externes, des colonnes de données externes, des composants WebPart de données métiers, des apps pour SharePoint ou Office. Pour les apps pour SharePoint, vous pouvez laisser l’application pour Office et SharePoint appliquer les autorisations. Dans ce cas, si les utilisateurs ont accès à l’application pour Office et SharePoint, ils ont également accès à l’ensemble des données externes exposées dans l’application pour Office et SharePoint. Vous devez collaborer avec les administrateurs de sites et de collections de sites pour planifier et implémenter les autorisations d’accès aux données externes dans votre solution.

See also

Vue d’ensemble de Business Connectivity Services dans SharePoint Server