Управление внешними системами (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

Внешняя система — это источник данных, например веб-служба, база данных SQL Server, другая реляционная база данных или пользовательский соединитель, который может использоваться в решении. Экземпляр внешней системы содержит сведения о подключении и проверке подлинности для конкретного экземпляра внешней системы. У любой внешней системы может быть один или несколько экземпляров. Настройка нескольких экземпляров внешней системы позволяет разработчику решения задать разные параметры безопасности для подключений к внешним данным, чтобы поддерживать несколько способов подключения к одной внешней системе. Однако во многих приложениях вполне достаточно одного экземпляра внешней системы.

Содержание:

  • Задание разрешений для внешней системы

  • Просмотр всех внешних систем для экземпляра приложения-службы каталога бизнес-данных

  • Удаление внешней системы

  • Просмотр внешних типов контента внешней системы

  • Настройка внешней системы

  • Настройка экземпляра внешней системы

Задание разрешений для внешней системы

Разрешения задаются для внешней системы, чтобы указать, кто может изменять ее, кто может выполнять операции (например, чтение или обновление) для хранимых во внешней системе внешних типов контента, кто может создавать внешние списки, использующие хранимые во внешней системе данные, и кто может задавать разрешение для нее.

Рекомендуется предоставить требуемые разрешения всем пользователям или группам, чтобы у учетных записей были минимальные привилегии для выполнения требуемых задач. Дополнительные сведения об установке разрешений см. в разделе Обзор разрешений службы Business Connectivity Service статьи "Обзор системы безопасности служб Business Connectivity Services (Sharepoint Server 2010)".

Чтобы задать разрешения для внешней системы, выполните перечисленные ниже действия.

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Администратор фермы.

    • Необходимо быть администратором приложения Служба подключения к бизнес-данным и обладать разрешением на задание разрешений для внешней системы.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Вид нажмите кнопку Внешние системы.

  6. Щелкните флажок внешней системы, для которой необходимо задать разрешения.

  7. В группе Разрешения нажмите кнопку Задать разрешения для объекта.

  8. В поле укажите учетные записи пользователей, группы или утверждения, для которых будут назначены разрешения, и затем нажмите кнопку Добавить.

    Примечание

    В именах учетных записей, групп или утверждений отсутствует вертикальная черта (|).

  9. Задайте разрешения для учетной записи, группы или утверждения.

    Примечание

    В списке управления доступом объекта метаданных по крайней мере один пользователь, группа или утверждение должны иметь разрешение на установку разрешений.

    • Щелкните Правка, чтобы разрешить пользователю, группе или утверждению изменять внешнюю систему.

      Заметка о безопасностиSecurity Note
      Разрешение "Правка" следует рассматривать как высокопривилегированное. Обладающий этим разрешением злоумышленник может похитить учетные данные или повредить ферму серверов. Для обеспечения безопасности решения рекомендуется использовать тестовую среду, в которой разрешения на изменение можно свободно давать разработчикам и проектировщикам решения. При развертывании протестированного решения в рабочей среде удалите разрешения на изменение.

    • Щелкните Выполнение, чтобы разрешить пользователю, группе или утверждению выполнение операций (создание, чтение, обновление, удаление или запрос) для хранимых во внешней системе внешних типов контента.

      Совет

      Разрешение на выполнение не применимо к самой внешней системе. Этот параметр используется, если необходимо распространить разрешение на выполнение на дочерние объекты (такие как внешние типы контента) во внешней системе.

    • Щелкните Доступно для выбора в клиентах, чтобы разрешить пользователю, группе или утверждению создавать внешние списки внешних типов контента, данные которых хранятся во внешней системе, и просматривать внешние типы контента во внешнем средстве выбора элементов.

      Совет

      Разрешение на выбор в клиентах не применимо к самой внешней системе. Этот параметр используется, если необходимо распространить разрешение на выбор в клиентах на дочерние объекты (такие как внешние типы контента) во внешней системе.

    • Щелкните Задать разрешения, чтобы разрешить пользователю, группе или утверждению задавать разрешения для внешней системы.

      Заметка о безопасностиSecurity Note
      Разрешение на задание разрешений следует рассматривать как высокопривилегированное. Обладающий этим разрешением пользователь может предоставить разрешение на изменение для внешней системы.

  10. Чтобы распространить разрешения на все элементы, вложенные во внешнюю систему, щелкните Распространить разрешения на все внешние типы контента, принадлежащие к этой внешней системе. При этом будут перезаписаны существующие разрешения.

Просмотр всех внешних систем для экземпляра приложения-службы подключения к бизнес-данным

Просмотрите внешние системы в приложении Служба подключения к бизнес-данным, чтобы выбрать внешнюю систему перед ее настройкой или для выполнения другой операции.

Чтобы просмотреть все внешние системы для экземпляра приложения-службы подключения к бизнес-данным, выполните перечисленные ниже действия.

  1. Проверьте наличие следующих административных учетных данных.

    • Администратор фермы или администратор приложения-службы.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Вид нажмите кнопку Внешние системы.

Удаление внешней системы

Удалите внешнюю систему, чтобы удалить ее из хранилища метаданных.

Примечание

Невозможно удалить внешнюю систему, которая содержит внешние типы контента в хранилище метаданных. Чтобы удалить внешнюю систему, необходимо сначала удалить все внешние типы контента, которые она содержит.

Чтобы удалить внешнюю систему, выполните перечисленные ниже действия.

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Администратор фермы.

    • Вы должны быть администратором приложения Служба подключения к бизнес-данным и иметь разрешение на изменение во внешней системе.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Вид нажмите кнопку Внешние системы.

  6. Наведите указатель мыши на внешнюю систему, щелкните появившуюся стрелку и выберите команду Удалить.

Просмотр внешних типов контента внешней системы

Внешние системы делают внешние данные доступными с помощью внешних типов контента. Можно просмотреть все внешние типы контента, связанные с внешней системой.

Чтобы просмотреть внешние типы контента внешней системы, выполните перечисленные ниже действия.

  1. Проверьте наличие следующих административных учетных данных.

    • Администратор фермы или администратор приложения-службы.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Вид нажмите кнопку Внешние системы.

  6. Наведите указатель мыши на внешнюю систему, щелкните появившуюся стрелку и выберите команду Просмотреть внешние типы контента.

Настройка внешней системы

Можно настроить некоторые параметры внешней системы с помощью Служба подключения к бизнес-данным.

Чтобы настроить внешнюю систему, выполните перечисленные ниже действия.

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Администратор фермы.

    • Вы должны быть администратором приложения Служба подключения к бизнес-данным и иметь разрешение на изменение во внешней системе.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Вид нажмите кнопку Внешние системы.

    Совет

    Единственными настраиваемыми в Служба подключения к бизнес-данным внешними системами являются веб-службы Windows Communication Foundation (WCF).

  6. Наведите указатель на внешнюю систему, щелкните появившуюся стрелку и выберите команду Параметры.

  7. Измените или просмотрите параметры.

    Если внешняя система является веб-службой WCF, доступны следующие параметры.

    Поле Примечания

    URL-адрес обмена метаданными

    Полный веб-адрес файла языка описания веб-службы (WSDL).

    Режим обнаружения обмена метаданными

    Протокол, используемый для обнаружения метаданных веб-службы:

    • Disco: Служба подключения к бизнес-данным использует для загрузки метаданных протокол DiscoveryClientProtocol (эквивалентный wsdl.exe).

    • MetadataExchange: Служба подключения к бизнес-данным использует для загрузки метаданных протокол WS-Transfer (эквивалентный svcutil /mex).

    • CustomProxy: Служба подключения к бизнес-данным не пытается обнаружить службу. При использовании этого параметра пользователь должен предоставить адрес, привязку и контракт для службы.

    Режим проверки подлинности WSDL

    Стандартный способ передачи входящих учетных данных веб-службе.

    Доступны пять параметров:

     

    Режим Описание

    Удостоверение пользователя

    Для проверки подлинности в веб-службе используются учетные данные пользователя, выполнившего вход.

    Этот режим вызывает функцию PassThrough в файле модели подключения к бизнес-данным.

    Удостоверение модели подключения к бизнес-данным

    Для проверки подлинности пользователя, выполнившего вход, в веб-службе используется учетная запись пула приложений, с которой запущена Служба подключения к бизнес-данным.

    Этот режим вызывает функцию RevertToSelf в файле модели подключения к бизнес-данным.

    Олицетворение настраиваемого удостоверения

    Для веб-служб, использующих базовую проверку подлинности вместо проверки подлинности Windows.

    Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает Credentials в файле модели подключения к бизнес-данным.

    Олицетворение удостоверения Windows

    Для веб-служб, использующих проверку подлинности Windows.

    Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает свойство WindowsCredentials в файле модели подключения к бизнес-данным.

    Олицетворение настраиваемого удостоверения — дайджест-проверка подлинности

    Для веб-служб, использующих дайджест-проверку подлинности вместо проверки подлинности Windows. Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает DigestCredentials в файле модели подключения к бизнес-данным.

    Идентификатор конечного приложения безопасного хранения WSDL

    Для олицетворения настраиваемого удостоверения, олицетворения удостоверения Windows и олицетворения настраиваемого удостоверения — дайджест-проверки подлинности — идентификатор конечного приложения для данной веб-службы, настроенный в службе безопасного хранения.

    Реализация безопасного хранения

    При предоставлении пользовательского поставщика безопасного хранения укажите полное имя сборки поставщика. В противном случае оставьте это поле пустым.

  8. Нажмите кнопку ОК.

Настройка экземпляра внешней системы

У любой внешней системы может быть один или несколько экземпляров. Настройка нескольких экземпляров внешней системы позволяет разработчику решения задать разные параметры безопасности для подключений к внешним данным, чтобы поддерживать несколько способов подключения к одной внешней системе.

Чтобы настроить экземпляр внешней системы, выполните перечисленные ниже действия.

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Администратор фермы.

    • Вы должны быть администратором приложения Служба подключения к бизнес-данным и иметь разрешение на изменение во внешней системе.

  2. В Служба подключения к бизнес-данным щелкните вкладку Правка.

  3. В группе Обзор щелкните Внешние системы.

  4. Щелкните внешнюю систему, чтобы просмотреть ее экземпляры.

    Совет

    По умолчанию единственными доступными для настройки экземплярами типов внешних систем являются базы данных и веб-службы WCF.

  5. Наведите указатель мыши на внешнюю систему, щелкните появившуюся стрелку и выберите команду Параметры.

  6. Измените или просмотрите параметры.

    Если внешняя система является веб-службой WCF, доступны следующие параметры.

    Поле Описание

    Режим проверки подлинности

    Способ передачи входящих учетных данных веб-службе.

    Доступны пять параметров:

     

    Режим Описание

    Удостоверение пользователя

    Для проверки подлинности в веб-службе используются учетные данные пользователя, выполнившего вход.

    Этот режим вызывает функцию PassThrough в файле модели подключения к бизнес-данным.

    Удостоверение модели подключения к бизнес-данным

    Для проверки подлинности пользователя, выполнившего вход, в веб-службе используется учетная запись пула приложений, с которой запущена Служба подключения к бизнес-данным.

    Этот режим вызывает функцию RevertToSelf в файле модели подключения к бизнес-данным.

    Олицетворение настраиваемого удостоверения

    Для веб-служб, использующих базовую проверку подлинности вместо проверки подлинности Windows.

    Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает Credentials в файле модели подключения к бизнес-данным.

    Олицетворение удостоверения Windows

    Для веб-служб, использующих проверку подлинности Windows.

    Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает свойство WindowsCredentials в файле модели подключения к бизнес-данным.

    Олицетворение настраиваемого удостоверения — дайджест-проверка подлинности

    Для веб-служб, использующих дайджест-проверку подлинности вместо проверки подлинности Windows. Этот режим использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельного пользователя или группы, используемыми веб-службой.

    Этот режим вызывает DigestCredentials в файле модели подключения к бизнес-данным.

    Адрес конечной точки службы

    Полный веб-адрес файла языка описания веб-службы (WSDL).

    Уровень олицетворения

    Степень, в которой Служба подключения к бизнес-данным сможет действовать от имени пользователя при подключении к внешней веб-службе. Существуют следующие значения:

    • Нет: уровень олицетворения не назначен.

    • Анонимный: процесс сервера не может получить сведения об идентификации клиента и не может олицетворить клиента.

    • Идентификация: процесс сервера может получить сведения о клиенте, такие как идентификаторы безопасности и привилегии, но не может олицетворить клиента. Полезно для серверов, которые экспортируют собственные объекты, например для продуктов баз данных, которые экспортируют таблицы и представления. Используя полученные сведения о клиенте и безопасности, сервер может принимать решения о предоставлении доступа и проверке подлинности без обращения к другим службам, которые используют контекст безопасности клиента.

    • Олицетворение: процесс сервера может олицетворить контекст безопасности клиента для своей локальной системы. Сервер не может олицетворить клиента для удаленных систем.

    • Делегирование: процесс сервера может олицетворить контекст безопасности клиента для своей локальной системы. Сервер не может олицетворить клиента для удаленных систем.

    Идентификатор конечного приложения безопасного хранения

    Для проверки подлинности на основании олицетворения настраиваемого удостоверения и олицетворения удостоверения Windows — идентификатор конечного приложения для данной веб-службы, настроенный в службе безопасного хранения.

    Дополнительный идентификатор конечного приложения безопасного хранения

    Это поле предназначено для идентификатора конечного приложения дополнительного фильтра, который будет использоваться для получения значений, вводимых пользователем для фильтров службы Secure Store. Дополнительные сведения о поддерживаемых типах фильтров и реализации фильтров см. в статье, посвященной пакету средств разработки программного обеспечения (SDK) Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0x419).

    Реализация безопасного хранения

    При предоставлении пользовательского поставщика безопасного хранения укажите полное имя сборки поставщика. В противном случае оставьте это поле пустым.

    Если внешней системой является база данных, доступны следующие параметры:

    Поле Описание

    Поставщик доступа

    Тип базы данных.

    Режим проверки подлинности

    Способ передачи входящих учетных данных в базу данных.

    Доступны четыре варианта:

     

    Режим Описание

    Удостоверение пользователя

    Для проверки подлинности в базе данных используются учетные данные выполнившего вход пользователя.

    Этот режим вызывает функцию PassThrough в файле модели подключения к бизнес-данным.

    Удостоверение модели подключения к бизнес-данным

    Для проверки подлинности выполнившего вход пользователя в базе данных используется учетная запись пула приложений, в котором выполняется Служба подключения к бизнес-данным.

    Этот режим вызывает функцию RevertToSelf в файле модели подключения к бизнес-данным.

    Олицетворение настраиваемого удостоверения

    Для баз данных, которые не используют проверку подлинности Windows.

    Использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельных пользователей или групп, используемыми базой данных.

    В файле модели подключения к бизнес-данным этот режим называется RdbCredentials.

    Олицетворение удостоверения Windows

    Для баз данных, которые используют проверку подлинности Windows

    Использует службу Secure Store для сопоставления учетных данных пользователя с учетными данными отдельных пользователей или групп, используемыми базой данных.

    Этот режим вызывает свойство WindowsCredentials в файле модели подключения к бизнес-данным.

    Сервер базы данных

    Имя сервера базы данных.

    Начальное имя базы данных

    Имя базы данных.

    Встроенная система безопасности

    При использовании встроенной системы безопасности введите строку SSPI, и Служба подключения к бизнес-данным будет использовать учетные данные Windows пользователя для подключения к внешней системе. Если встроенная система безопасности не используется, оставьте это поле пустым, и Служба подключения к бизнес-данным будет подключаться с использованием уникальных учетных данных для сервера базы данных.

    Группировка подключений

    При выборе этого параметра Служба подключения к бизнес-данным в качестве оптимизации сохраняет принадлежность подключений к внешней системе в пуле.

    Идентификатор конечного приложения безопасного хранения

    Для проверки подлинности на основании олицетворения настраиваемого удостоверения и олицетворения удостоверения Windows — идентификатор конечного приложения для данной веб-службы, настроенный в службе безопасного хранения.

    Дополнительный идентификатор конечного приложения безопасного хранения

    Это поле предназначено для идентификатора конечного приложения дополнительного фильтра, который будет использоваться для получения значений, вводимых пользователем для фильтров службы Secure Store. Дополнительные сведения о поддерживаемых типах фильтров и реализации фильтров см. в статье, посвященной пакету средств разработки программного обеспечения (SDK) Microsoft SharePoint 2010 (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0x419).

    Реализация безопасного хранения

    При предоставлении пользовательского поставщика безопасного хранения укажите полное имя сборки поставщика. В противном случае оставьте это поле пустым.

  7. Нажмите кнопку ОК.