Делегирование удостоверений для служб Business Connectivity Services (SharePoint Server 2010)

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этом сценарии приложение-служба подключения к бизнес-данным (BCS) настраивается для использования ограниченного делегирования Kerberos с целью проверки подлинности с помощью SQL Server. После этой настройки создается новый тип внешнего контента и внешний список для тестирования проверки подлинности и операций чтения в пределах сайта SharePoint.

В этом сценарии серверная ферма SharePoint и источник данных BCS находятся в одном домене. Следовательно, ограниченное делегирование Kerberos настраивается, чтобы разрешить делегирование удостоверений серверному источнику данных. Если требуется проверить подлинность, используя источники данных в других доменах этого же леса, нужно настроить базовое (неограниченное) делегирование Kerberos. Помните, что BCS не использует C2WTS, следовательно, можно использовать базовое делегирование.

Зависимости сценариев

Для выполнения этого сценария необходимо выполнить следующие сценарии:

• Сценарий 1. Базовая конфигурация

• Сценарий 2. Проверка подлинности Kerberos для SQL OLTP

Контрольный список конфигурации

Сведения о среде сценария

Пошаговые инструкции по настройке

Конфигурация Active Directory

Создание учетной записи приложения-службы BCS

Рекомендуется запускать службу BCS от имени ее собственного удостоверения в домене. Чтобы настроить приложение BCS, необходимо создать учетную запись Active Directory. В этом примере были созданы следующие учетные записи:

Проверка имен участников службы

Внешние типы контента BCS работают в рамках контекста пула приложений IIS, используя внешний тип контента, когда данные BCS используются в сайтах SharePoint. Чтобы служба BCS могла подключаться и проверять подлинность на внешних источниках данных, используя проверку подлинности Kerberos, для учетной записи службы пула приложений IIS и учетной записи службы для внешнего источника данных должны быть настроены имена участников службы. См. сценарии 1 и 2 в этом документе, чтобы настроить и проверить необходимые имена участников службы для учетных записей веб-приложений и служб SQL Server.

Настройка делегирования

Чтобы позволить BCS делегировать удостоверение клиента, необходимо настроить делегирование Kerberos. Хотя ограниченное делегирование технически необязательно как для служб Excel, для BCS можно использовать неограниченное делегирование, рекомендуется ограничить область делегирования, чтобы позволить службе работать. Следовательно, в этом примере будет настроено ограниченное делегирование.

Чтобы разрешить делегирование серверным службам, необходимо настроить учетную запись службы пула приложений IIS, относящуюся к сайту, на котором задействован внешний тип контента.

В нашем примере нужны следующие пути делегирования:

Действия для настройки ограниченного делегирования

1. Откройте свойства объекта Active Directory в оснастке "Active Directory - пользователи и компьютеры".

2. Выберите вкладку Делегирование.

   SP2010 Kerberos Guide228.gif

3. Выберите Доверять этому пользователю делегирование указанных служб.

   Примечание

   Если нужно, чтобы служба BCS выполняла проверку подлинности с помощью источников данных, находящихся в том же лесу, но вне домена, в котором находится SharePoint Server, понадобится выбрать Доверять компьютеру делегирование любых служб, чтобы настроить базовое делегирование вместо ограниченного делегирования. Внешний тип контента BCS будет выполняться в рабочем процессе IIS веб-приложения и не использует C2WTS. Помните, что делегирование Kerberos между лесами невозможно.

4. Нажмите кнопку Добавить, чтобы выбрать участника службы, разрешенного для делегирования.

5. Выберите Пользователь и компьютеры.

6. Выберите учетную запись, от имени которой будет работать служба, которой нужно выполнить делегирование. В этом примере это учетная запись для службы SQL Server.

   Примечание

   Выбранной учетной записи должно быть назначено имя участника службы. В нашем примере имя участника службы для этой учетной записи было настроено в предыдущем сценарии.

7. Нажмите кнопку ОК.

8. Выберите имена участников служб, для которых нужно выполнить делегирование, а затем нажмите кнопку ОК.

9. Выберите службы для кластера SQL Server и нажмите кнопку ОК.

   Теперь выбранные имена участников служб должны появиться в списке служб, которым эта учетная запись может предоставить делегированные учетные данные.

10. Повторите эти шаги для каждого пути делегирования, определенного раньше в этом разделе.

Проверка имени участника службы MSSQLSVC для учетной записи службы, выполняющей службу на SQL Server (выполнено в сценарии 2)

Проверьте существование имени участника службы для учетной записи службы Analysis Services (vmlab\svcSQL), используя следующую команду SetSPN:

SetSPN -L vmlab\svcSQL

На экране должно появиться следующее:

MSSQLSVC/MySqlCluster

MSSQLSVC/MySqlCluster.vmlab.local:1433

Конфигурация SharePoint Server

Запуск экземпляра службы BCS

Перед созданием приложения-службы BCS запустите службу BCS на предназначенных для этого серверах фермы.

1. Откройте центр администрирования.

2. В разделе "Службы" выберите Управление службами на сервере.

3. В поле "Выбор сервера" в правом верхнем углу выберите сервер (серверы), на которых работают службы Excel. В данном примере это VMSP10APP01.

4. Запустите службу Служба подключения к бизнес-данным.

Создание приложения-службы BCS

Затем настройте новое приложение-службу BDC и прокси приложения, чтобы позволить веб-приложениям использовать службы BDC:

1. Откройте центр администрирования.

2. Выберите Управление приложениями-службами в разделе Управление приложениями.

3. Выберите Создать, затем выберите Служба подключения к бизнес-данным.

4. Настройте новое приложение-службу. Не забудьте выбрать правильную учетную запись службы (создайте новую управляемую учетную запись, если учетной записи BDC нет в списке).

Проверка

Создание внешнего типа контента BCS

Для доступа к внешним данным с помощью BDC необходимо создать внешний тип контента BDC. В этом примере для создания внешнего типа контента в веб-приложении портала (http://portal) будет использоваться SharePoint Designer 2010:

1. Откройте SharePoint Designer 2010.

2. Откройте тестовое семейство веб-сайтов на http://portal.

3. В левой области переходов щелкните Внешние типы контента.

4. Выберите Внешний тип контента в разделе Создать ленты в верхнем левом углу страницы.

5. Назначьте внешнему типу контента отображаемое имя.

6. Затем выберите Щелкните, чтобы обнаружить внешние источники данных и определить операции.

7. Щелкните Добавить подключение.

8. Выберите SQL Server в раскрывающемся списке Тип источника данных и добавьте сведения для подключения к тестовой базе данных. Обязательно выберите Подключиться с удостоверением пользователя для проверки делегирования.

9. Разверните новое подключение. Щелкните правой кнопкой мыши тестовую таблицу (Sales) и выберите Создать все операции.

10. Должна появиться ошибка, объясняющая, что отсутствует уникальный идентификатор. Выберите столбец идентификаторов и установите флажок Сопоставить идентификатору. Нажмите кнопку Готово, чтобы принять параметры по умолчанию и создать операции с внешним типом контента.

11. Нажмите кнопку "Сохранить" (CTRL+S). При этом внешний тип контента будет опубликован в хранилище метаданных приложения-службы BDC.

Настройка безопасности BCS

Прежде чем клиенты смогут использовать внешний тип контента BCS в веб-приложении портала, необходимо настроить разрешения BCS. BCS поддерживает фрагментарную модель разрешений, но для целей этой демонстрации безопасность будет настроена на уровне хранилища метаданных и изменения безопасности будут распространены на все объекты в хранилище.

1. Откройте центр администрирования.

2. Выберите Управление приложениями-службами в разделе Управление приложениями.

3. Щелкните ссылку нового приложения-службы (Business Data Services в данном примере).

4. Выберите Задание разрешений хранилища метаданных.

5. В нашем примере были настроены "Администраторы предприятия" со всеми разрешениями и "Все пользователи, подлинность которых подтверждена" со всеми разрешениями, кроме разрешения Задание разрешений.

6. Убедитесь, что флажок Распространить разрешения установлен, и нажмите кнопку ОК, чтобы сохранить внесенные изменения.

Создание внешнего списка BCS

Чтобы проверить внешний тип контента, настроим внешний список, отображающий внешние данные в приложении портала.

1. Откройте SharePoint Designer 2010.

2. Откройте тестовое семейство веб-сайтов на http://portal.

3. Выберите слева Внешние типы контента.

4. Щелкните ранее созданный тип контента.

5. На ленте щелкните Создать списки и форму.

6. Если предлагается сохранить внешний тип контента, нажмите кнопку Да.

7. В диалоговом окне Создание списка и формы введите имя списка в текстовом поле Имя списка, а затем нажмите кнопку ОК.

Открытие внешнего списка в браузере

1. Откройте SharePoint Designer 2010.

2. Откройте тестовое семейство веб-сайтов на http://portal.

3. Выберите в левой области переходов "Списки и библиотеки".

4. Выберите внешний список в нижней части списка Список и библиотеки.

5. Нажмите кнопку Просмотр в браузере.

   В открывающемся окне Internet Explorer отображается выбранный сайт и внешний список.

6. Убедитесь, что внешние данные отображаются правильно. Чтобы затем проверить подключение, измените источник данных в среде SQL Server Management Studio и обновите страницу браузера. Внесенные изменения должны отобразиться в браузере.