Vue d’ensemble des tâches de sécurité Business Connectivity Services dans SharePoint Server

  • Article

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-07-27

Résumé : Découvrez la sécurité Services Microsoft Business Connectivity dans SharePoint Server 2016 et SharePoint Server 2013.

La sécurité des données que vous utilisez avec Services Microsoft Business Connectivity (BCS) constitue une part essentielle de chaque solution BCS. À la différence des données SharePoint habituelles, lesquelles sont stockées dans une base de données de contenu SharePoint, les données que les solutions BCS rendent visibles résident en dehors de SharePoint dans des systèmes externes. BCS fournit le canal que SharePoint utilise pour accéder à ces données externes. En plus des contrôles de sécurité SharePoint Server habituels tels que les autorisations d’accès aux sites et les autorisations de liste, les solutions BCS doivent gérer des couches de communication et de sécurité supplémentaires. Par exemple, le système externe peut utiliser un mécanisme ou fournisseur d’authentification différent et exiger des informations d’identification différentes de celles que vos utilisateurs utilisent pour accéder à SharePoint Server. Étant donné qu’il existe davantage de couches de sécurité dans une solution BCS, elle implique davantage de tâches de configuration de la sécurité.

Les tâches de sécurité Business Connectivity Services se répartissent dans trois rôles différents : le professionnel de l’informatique, l’administrateur de collection de sites ou propriétaire de site, et le développeur. Les exemples suivants décrivent les responsabilités de chaque rôle.

  • Les professionnels de l’informatique ont la responsabilité de gérer la sécurité dans le magasin de métadonnées et son contenu. Ils gèrent également l’administration des comptes et des groupes, ainsi que le mappage des informations d’identification dans le Service Banque d’informations sécurisé.

  • Les administrateurs de collection de sites et les propriétaires de site sont chargés de comprendre le type de sécurité que le système externe utilise et la manière de configurer des types de contenu externes, sans code ou déclaratifs pour communiquer avec ceux-ci. Ils sont également responsables de la planification et de l’application de la sécurité aux listes externes et composants WebPart des données métiers.

  • Les développeurs de solutions BCS ont la responsabilité de comprendre le type de sécurité que le système externe utilise et la manière de configurer le modèle BDC pour communiquer avec, ainsi que la sécurité qui entoure le développement et le déploiement d’applications pour Office et SharePoint.

Sécurité Business Connectivity Services

Délégation de l’administration au service Business Data Connectivity

La première tâche que l’administrateur de batterie doit effectuer après avoir créé une instance du Service Business Data Connectivity consiste à déléguer l’administration du service à un autre compte, de préférence dépourvu de droits d’administrateur de batterie. Cette recommandation suit le principe des privilèges minimum. Le compte délégué reçoit les autorisations nécessaires pour ouvrir le le site Web Administration centrale de SharePoint et accéder à l’application de Service Business Data Connectivity. Il doit s’agir du compte principal utilisé pour administrer le service. La seule autorisation qui peut être octroyée ou révoquée est Contrôle total.

Gestion de l’autorisation sur le magasin de métadonnées et son contenu

Le magasin de métadonnées renferme le type de contenu externe, le système externe et les définitions du modèle BDC que l’application de service Business Data Connectivity utilise. L’une des principales tâches de l’administrateur BCS consiste à gérer la sécurité du magasin de métadonnées et de tous les éléments qu’il contient. Les éléments inclus dans le magasin de métadonnées obtiennent leurs autorisations de deux manières. Tout d’abord, vous pouvez appliquer directement les autorisations au magasin de métadonnées, modèles BDC, systèmes externes ou types de contenu externe. La deuxième méthode consiste à les hériter d’un élément de niveau supérieur. Les deux méthodes sont illustrées dans la figure ci-après.

Figure : autorisations du magasin de métadonnées

Diagram of metadata store permissions

  • Héritage   L’héritage se produit de deux manières. Tout d’abord, lorsqu’un élément est ajouté au magasin de métadonnées, il hérite de la configuration des autorisations du magasin de métadonnées lui-même. Ensuite, les éléments du magasin de métadonnées, du système externe et des types de contenu externe peuvent écraser de force les autorisations des éléments qui se trouvent en dessous d’eux dans la hiérarchie. Cela se produit lorsque vous sélectionnez l’option Propager les autorisations à tous… et cliquez sur OK pour définir les autorisations sur l’élément parent.

  • Application directe   Si les autorisations d’un élément ne répondent pas à vos besoins, vous pouvez les ajuster manuellement.

Vous pouvez appliquer quatre autorisations directement :

  • Modifier   Permet à l’utilisateur ou au groupe de modifier l’élément.

  • Exécuter   Permet à l’utilisateur ou au groupe d’exécuter des opérations (créer, lire, mettre à jour, supprimer, interroger) sur les types de contenu externes dans le magasin de métadonnées. Tous les utilisateurs d’une solution BCS doivent posséder l’autorisation Exécuter sur le type de contenu externe associé.

  • Sélectionnable dans les clients   Permet à l’utilisateur ou au groupe d’utiliser le type de contenu externe pour les listes externes, ainsi que des apps pour SharePoint en les rendant disponibles dans le sélecteur d’élément externe.

  • Définir les autorisations   Permet à l’utilisateur ou au groupe de définir les autorisations sur l’élément. Chaque élément doit avoir au moins un utilisateur ou groupe doté de l’autorisation Définir les autorisations.

Recommandations pour la gestion des autorisations du magasin de données

  1. Sélectionnez un compte, éventuellement votre compte d’administrateur Business Connectivity Services, et octroyez-lui les autorisations Définir les autorisations au niveau du magasin de données. La condition qui stipule que chaque élément doit avoir au moins un utilisateur ou groupe doté des autorisations Définir les autorisations est ainsi satisfaite avec un compte administratif géré de manière sécurisé. Si vous ne définissez pas explicitement un compte, le compte de la batterie de serveurs est utilisé par défaut. Ne sélectionnez pas l’option Propager les autorisations à tous. Il n’est pas nécessaire de sélectionner l’option Propager les autorisations à tous car chaque élément hérite de cette configuration lorsqu’il est ajouté au magasin de métadonnées. Cela permet également d’éviter que des comptes superflus n’aient accès à des systèmes externes, modèles BDC ou types de contenu externes auxquels ils ne devraient pas avoir accès.

  2. Utilisez la méthode d’application directe, configurez les autorisations sur les éléments individuels, là encore sans sélectionner l’option Propager les autorisations à tous. Vous conservez ainsi une configuration unique des autorisations sur chaque objet.

  3. Régulièrement, dans le cadre de votre plan de maintenance et d’exploitation, passez en revue la configuration des autorisations en commençant au niveau du magasin de données, puis en descendant la hiérarchie afin de vérifier que chaque élément possède la bonne configuration des autorisations. Si cette dernière ne correspond plus à ce qu’elle devrait être, reconfigurez les autorisations manuellement.

  4. Vous devez uniquement utiliser l’option Propager toutes les autorisations lorsque vous devez entièrement redéfinir toutes les autorisations sur l’élément parent et tous ses enfants. Notez qu’il s’agit d’un processus destructeur et que toutes les autorisations personnalisées sur les éléments enfants sont perdues. Cette action peut endommager les solutions BCS pour les utilisateurs ou groupes qui perdent leurs autorisations.

Mappage de comptes et de groupes dans le Service Banque d’informations sécurisé

BCS ne peut pas transmettre les informations d’identification d’un utilisateur en dehors de la batterie de serveurs SharePoint Server vers le système externe où se trouvent les données, sauf si vous avez configuré la délégation Kerberos contrainte. Cette délégation peut être difficile à configurer et à gérer. En guise d’alternative, vous pouvez utiliser le service Banque d’informations sécurisé. Banque d’informations sécurisée vous permet de mapper un groupe d’utilisateurs à un jeu d’informations d’identification que BCS peut utiliser pour accéder au système externe.

Il existe deux manières de configurer vos mappages :

  • Mappage de groupe   Dans l’application cible de mappage de groupe, vous ajoutez les comptes d’utilisateurs AD DS et les groupes de sécurité à Banque d’informations sécurisée, puis vous les mappez sur un seul ensemble d’informations d’identification pour le système externe. Il s’agit de la manière la plus facile de gérer l’accès à une solution BCS.

  • Mappage individuel   Dans une application cible de mappage individuel, vous pouvez uniquement mapper un seul compte d’utilisateur AD DS sur un seul ensemble d’informations d’identification pour le système externe. En bref, il s’agit d’un mappage 1:1. Vous procédez généralement ainsi si vous avez peu de comptes à gérer ou si vous voulez effectuer un suivi de l’accès et de l’activité sur le système externe.

Gestion des autorisations sur l’application de service Business Data Connectivity

Par défaut, chaque application web de votre batterie de serveurs a accès à l’application de service Business Data Connectivity via le compte de batterie de serveurs. Si vous voulez restreindre l’accès à certaines applications web uniquement, vous pouvez le modifier en supprimant le compte de batterie de serveurs, puis en ajoutant le compte d’identité du pool d’applications des applications web souhaitées. Ce faisant, vous contrôlez quelles applications web ont accès à l’application de service Business Data Connectivity. Pour plus d’informations, reportez-vous à la rubrique Définir des autorisations d’accès à des applications de service publiées dans SharePoint Server.

Si vous publiez l’application de service Business Data Connectivity sur d’autres batteries de serveurs, vous devez ajouter les ID des batteries consommatrices. Pour plus d’informations, reportez-vous à la rubrique Partager des applications de service entre plusieurs batteries dans SharePoint Server.

See also

Vue d’ensemble de Business Connectivity Services dans SharePoint Server