Операции по безопасности служб Business Connectivity Services (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этой статье описываются задачи администрирования приложения-службы подключения к бизнес-данным, относящиеся к безопасности.

Содержание:

  • Назначение администраторов для приложения-службы подключения к бизнес-данным

  • Настройка разрешений для хранилища метаданных

  • Режим проверки подлинности RevertToSelf

  • Рабочие процессы и внешние списки

  • Установка разрешений, позволяющих создавать пакеты развертывания в использующей ферме

Назначение администраторов для приложения-службы подключения к бизнес-данным

Администраторы фермы могут делегировать функции администрирования отдельных приложений Служба подключения к бизнес-данным администратору приложения-службы. Делегированному администратору предоставляется доступ к веб-сайту центра администрирования и задачам администрирования, относящимся к приложению Служба подключения к бизнес-данным.

Совет

Делегированному администратору не назначаются разрешения хранилища метаданных.

Назначение администраторов для приложения-службы подключения к бизнес-данным

  1. Проверьте наличие следующих административных учетных данных.

    • Администратор фермы.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните элемент Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Администраторы.

  5. В текстовом поле выберите или введите учетную запись пользователя или группы, а затем нажмите кнопку Добавить.

  6. В поле Разрешения установите флажок Полный доступ и нажмите кнопку ОК.

Настройка разрешений для хранилища метаданных

Каждое приложение Служба подключения к бизнес-данным имеет хранилище метаданных, в котором содержатся все модели, внешние системы, внешние типы контента, методы и их экземпляры, заданные для этого хранилища. С помощью разрешений хранилища метаданных можно задать пользователей, которые могут изменять элементы хранилища метаданных или устанавливать разрешения на него.

Рекомендуется предоставить требуемые разрешения всем пользователям или группам, чтобы у учетных записей были минимальные привилегии для выполнения требуемых задач. Дополнительные сведения об установке разрешений см. в разделе Обзор разрешений служб Business Connectivity Service статьи "Обзор системы безопасности служб Business Connectivity Services (SharePoint Server 2010)".

Установка разрешений хранилища метаданных

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Администратор фермы.

    • Требуется наличие прав администратора приложения Служба подключения к бизнес-данным и разрешения на настройку разрешений для хранилища метаданных.

  2. В разделе Управление приложениями веб-сайта центра администрирования щелкните элемент Управление приложениями-службами.

  3. В списке приложений-служб щелкните строку, в которой содержится приложение Служба подключения к бизнес-данным.

  4. На вкладке Приложения-службы в разделе Операции выберите Управление.

  5. На вкладке Правка в группе Разрешения выберите элемент Задание разрешений хранилища метаданных.

  6. В текстовом поле укажите учетные записи пользователей, группы или утверждения, для которых будут назначены разрешения, и затем нажмите кнопку Добавить.

    Примечание

    В именах учетных записей, групп или утверждений отсутствует вертикальная черта (|).

  7. Задайте разрешения для учетной записи, группы или утверждения.

    Примечание

    В списке управления доступом объекта метаданных по крайней мере один пользователь, группа или утверждение должны иметь разрешение Настройка разрешений.

    • Выберите элемент Правка, чтобы разрешить пользователю, группе или утверждению создавать внешние системы, а также создавать, импортировать и экспортировать модели.

      Заметка о безопасностиSecurity Note
      Разрешение "Правка" следует рассматривать как высокопривилегированное. Обладающий этим разрешением злоумышленник может похитить учетные данные или повредить ферму серверов. Чтобы гарантировать надежную защиту решения, рекомендуется использовать тестовую среду, в которой разрешение "Правка" может свободно предоставляться проектировщикам и разработчикам решений. При развертывании тестового решения в рабочей среде следует удалить разрешение "Правка".

    • Выберите элемент Выполнение, чтобы разрешить пользователю, группе или утверждению выполнять операции (создание, чтение, обновление, удаление или запрос) с внешними типами контента.

      Совет

      Разрешение "Выполнение" не применяется к самому хранилищу метаданных. Этот параметр используется в тех случаях, когда требуется распространить разрешение "Выполнение" на дочерние объекты в хранилище метаданных.

    • Выберите элемент Доступно для выбора в клиентах, чтобы разрешить пользователю, группе или утверждению создавать внешние списки на основе любых внешних типов контента и просматривать внешние типы контента с помощью средства выбора внешних элементов.

      Совет

      Разрешение "Доступно для выбора в клиентах" не применяется к самому хранилищу метаданных. Этот параметр используется в тех случаях, когда требуется распространить разрешение "Доступно для выбора в клиентах" на дочерние объекты в хранилище метаданных.

    • Выберите элемент Настройка разрешений, чтобы позволить пользователю, группе или утверждению устанавливать разрешения хранилища метаданных.

      Заметка о безопасностиSecurity Note
      Разрешение "Настройка разрешений" следует рассматривать как высокопривилегированное. С его помощью пользователи могут предоставлять разрешение "Правка" хранилища метаданных.

  8. Чтобы распространить разрешения на все элементы в хранилище метаданных, выберите элемент Распространить разрешения на все модели службы подключения к бизнес-данным, внешние системы и внешние типы контента в хранилище метаданных службы подключения к бизнес-данным. При этом будут перезаписаны существующие разрешения.

Режим проверки подлинности RevertToSelf

С каждым внешним типом контента связан режим проверки подлинности. Режим проверки подлинности дает службам подключения к бизнес-данным сведения о том, как обрабатывать входящие запросы проверки подлинности пользователей и сопоставлять их с набором учетных данных, который можно передать внешней системе. По умолчанию режим проверки подлинности RevertToSelf (также называется режимом проверки подлинности удостоверения служб подключения к бизнес-данным) отключен. При этом не поддерживается создание и импорт моделей, использующих режим проверки подлинности RevertToSelf.

В режиме RevertToSelf для проверки подлинности пользователей, выполнивших вход во внешнюю систему, используется учетная запись пула приложений, в котором запущены службы подключения к бизнес-данным. Например, при открытии пользователем внешнего списка для проверки подлинности используется учетная запись пула приложений на интерфейсном веб-сервере, на котором располагается внешний список. Учетная запись пула приложений имеет высокие привилегии. По умолчанию этой записи назначаются разрешения на запись в базу данных конфигурации фермы. В режиме RevertToSelf любой пользователь с правами на создание и изменение моделей, использующих режим RevertToSelf, может назначить себя администратором фермы SharePoint.

Использовать режим проверки подлинности RevertToSelf в рабочих средах не рекомендуется. Вместо него следует применять службу безопасного хранения.

В тех случаях, когда использование режима проверки подлинности RevertToSelf в рабочей среде необходимо, учитывайте следующие факторы:

  • Любые пользователи с правами на создание или редактирование моделей, в том числе пользователи SharePoint Designer, должны рассматриваться с точки зрения безопасности как администраторы фермы и пользоваться таким же уровнем доверия.

  • По возможности следует в максимальной степени ограничить использование учетной записи пула приложений. Это позволит ограничить ущерб, который могут нанести злоумышленники ферме SharePoint и внешним системам.

Включение режима проверки подлинности RevertToSelf

После включения режима проверки подлинности RevertToSelf можно создавать и импортировать использующие его модели.

Заметка о безопасностиSecurity Note
Использовать режим проверки подлинности RevertToSelf в рабочих средах не рекомендуется. Перед включением режима RevertToSelf следует внимательным образом ознакомиться с последствиями таких действий.

Примечание

Режим RevertToSelf не используется во внешних средах.

Включение режима проверки подлинности RevertToSelf

  1. Проверьте, выполняются ли следующие минимальные требования: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell введите следующие команды.

    1. Чтобы создать переменную, которая будет содержать объект приложения Служба подключения к бизнес-данным, введите следующую команду:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Где <ServiceName> — имя приложения Служба подключения к бизнес-данным. Оно может быть обычным выражением (например, "BDC").

      Примечание

      Если приложение Служба подключения к бизнес-данным является общим приложением-службой, эта команда должна запускаться в ферме, в которой было опубликовано приложение-служба.

    2. Чтобы включить режим проверки подлинности RevertToSelf, введите следующую команду:

      $bdc.RevertToSelfAllowed = $true

Отключение режима проверки подлинности RevertToSelf

После отключения режима проверки подлинности RevertToSelf создавать и импортировать использующие его модели нельзя.

Примечание

Существующие модели, которые используют режим RevertToSelf, по-прежнему будут работоспособны. Если необходимо удалить из фермы все экземпляры режима проверки подлинности RevertToSelf, удалите все существующие модели.

Отключение режима проверки подлинности RevertToSelf

  1. Проверьте, выполняются ли следующие минимальные требования: См. статью Add-SPShellAdmin.

  2. В меню Пуск выберите пункт Все программы.

  3. Выберите пункт Продукты Microsoft SharePoint 2010.

  4. Щелкните компонент Командная консоль SharePoint 2010.

  5. В командной строке Windows PowerShell введите следующие команды.

    1. Чтобы создать переменную, которая будет содержать приложение Служба подключения к бизнес-данным, введите следующую команду:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Где <ServiceName> — имя приложения Служба подключения к бизнес-данным. Оно может быть обычным выражением (например, "BDC").

      Примечание

      Если приложение Служба подключения к бизнес-данным является общим приложением-службой, эта команда должна запускаться в ферме, в которой было опубликовано приложение-служба.

    2. Чтобы отключить режим проверки подлинности RevertToSelf, введите следующую команду:

      $bdc.RevertToSelfAllowed = $false

Рабочие процессы и внешние списки

Перед началом разработки рабочих процессов, взаимодействующих с внешними списками, требуется выполнить дополнительную настройку. В следующих разделах описываются требования, которые могут повлиять на поведение рабочего процесса.

Примечание

Рабочие процессы не поддерживают взаимодействие с внешними списками в размещенной среде.

Рабочие процессы не могут быть связаны непосредственно с внешним списком

Поскольку внешние данные не хранятся в SharePoint Server, рабочий процесс не поддерживает получение уведомлений об изменениях во внешнем списке. Вместо этого можно создать рабочий процесс сайта или списка, который будет считывать или обновлять внешний список. Также можно использовать элемент внешнего списка в качестве адресата для процесса задачи в SharePoint Designer. Тем не менее, ссылка на задачу не будет отображаться в заголовке элемента внешнего списка.

Рабочие процессы иногда выполняются как учетная запись службы

Рабочие процессы выполняются как учетная запись службы (обычно это учетная запись пула приложений) в следующих сценариях:

  • Рабочие процессы Visual Studio.

  • Декларативные рабочие процессы, которые взаимодействуют с внешними списками и запускаются автоматически. Такой подход применяется даже в тех случаях, когда в рабочем процессе используется шаг олицетворения.

В этом случае необходимо предоставить учетной записи службы разрешение на выполнение внешнего типа контента, с которым связан внешний список, а также проверить наличие у этой учетной записи достаточных разрешений для доступа к внешней системе.

Рабочие процессы и проверка подлинности

Чтобы обеспечить поддержку действий рабочего процесса, внешний тип контента, с которым связан внешний список, должен использовать для проверки подлинности режим RevertToSelf или службу безопасного хранения.

Примечание

Эти ограничения на режим проверки подлинности не распространяются на те случаи, когда используется соединитель сборки .NET или настраиваемый соединитель.

  • Проверка подлинности в режиме RevertToSelf

    В режиме RevertToSelf (также называется режимом проверки подлинности удостоверения служб подключения к бизнес-данным) проверка подлинности во внешней системе осуществляется с помощью учетной записи пула приложений на интерфейсном веб-сервере, на котором размещается внешний список. Это означает, что учетной записи пула приложений должны быть назначены права на доступ к внешней системе. По умолчанию режим RevertToSelf отключен. Перед созданием или импортом моделей, в которых используется режим RevertToSelf, его необходимо включить.

    Заметка о безопасностиSecurity Note
    Использовать режим проверки подлинности RevertToSelf в рабочих средах не рекомендуется.

    Дополнительные сведения о режиме проверки подлинности RevertToSelf см. в разделе Режим проверки подлинности RevertToSelf.

  • Проверка подлинности с помощью службы безопасного хранения

    Эта служба обеспечивает безопасное хранение данных об учетных данных, которые используются для подключения к внешним системам и связывания этих учетных данных с конкретными удостоверением или группой удостоверений. Убедитесь, что внешний тип контента использует один и режимов проверки подлинности службы безопасного хранения.

    Заметка о безопасностиSecurity Note
    Если рабочий процесс выполняется как учетная запись службы, рекомендуется сопоставить эту учетную запись с учетной записью с меньшими привилегиями. Например, можно создать идентификатор целевого приложения безопасного хранения, с помощью которого учетная запись службы будет сопоставлена с учетной записью с минимальными разрешениями и правами на доступ только к нужной внешней системе.

Дополнительные сведения о режимах проверки подлинности см. в разделе Обзор проверки подлинности Business Connectivity Service статьи "Обзор системы безопасности служб Business Connectivity Services (SharePoint Server 2010)."

Установка разрешений, позволяющих создавать пакеты развертывания в использующей ферме

Приложение Служба подключения к бизнес-данным может совместно использоваться несколькими фермами серверов. Ферма, которая содержит приложение Служба подключения к бизнес-данным и публикует приложение Служба подключения к бизнес-данным, называется фермой публикации. Использующей фермой называется ферма, которая подключается к удаленному расположению и использует приложение Служба подключения к бизнес-данным.

Если пользователь сохраняет внешний список для работы в автономном режиме, учетная запись пула приложений, используемая интерфейсным веб-сервером, на котором располагается внешний список, создает пакет развертывания, который устанавливается на клиентский компьютер. В ферме публикации учетная запись пула приложений для интерфейсного веб-сервера имеет разрешения на полный доступ к хранилищу метаданных, что позволяет создавать пакет развертывания. Чтобы разрешить создание пакетов развертывания в ферме публикации, необходимо предоставить учетной записи пула приложений, применяемой интерфейсным веб-сервером использующей фермы, разрешение на правку и настройку разрешений. Если эти дополнительные разрешения не предоставлены, работа в автономном режиме с внешними списками, располагающимися в использующей ферме, будет невозможна.

Заметка о безопасностиSecurity Note
Назначение учетной записи пула приложений для использующей фермы разрешения на правку и настройку разрешений в отношении хранилища метаданных дает этой учетной записи права администратора фермы публикации.

Примечание

Сведения, представленные в этом разделе, относятся только к локальным развертываниям SharePoint Server.

Дополнительные сведения о развертываниях внешних списков см. в статье Планирование интеграции клиента Business Connectivity Services (SharePoint Server 2010).

Назначение разрешений учетной записи пула приложений использующей фермы

  1. Проверьте наличие одной из следующих учетных записей администратора:

    • Требуется наличие прав администратора фермы публикации.

    • Требуется наличие прав администратора приложения Служба подключения к бизнес-данным и разрешения на настройку разрешений для хранилища метаданных.

  2. На сайте центра администрирования фермы публикации в разделе Управление приложениями щелкните элемент Управление приложениями-службами.

  3. Щелкните экземпляр приложения Служба подключения к бизнес-данным.

  4. На вкладке Правка в группе Разрешения выберите элемент Задание разрешений хранилища метаданных.

  5. В текстовом поле введите учетную запись пула приложений, которая применяется интерфейсным веб-сервером использующей фермы, и нажмите кнопку Добавить.

  6. В поле Разрешения выберите элементы Правка и Настройка разрешений.

  7. Нажмите кнопку ОК.

Дополнительные сведения об общих приложениях-службах см. в статье Share service applications across farms (SharePoint Server 2010).

See Also

Concepts

Обзор системы безопасности служб Business Connectivity Services (SharePoint Server 2010)