Business Connectivity Services 的安全性操作 (SharePoint Server 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

本文說明您 Business Data Connectivity Service 應用程式的安全性相關管理工作。

本文內容:

  • 指派 Business Data Connectivity Service 應用程式的管理員

  • 設定中繼資料儲存區的權限

  • RevertToSelf 驗證模式

  • 工作流程及外部清單

  • 設定讓使用中的伺服器陣列產生部署套件的權限

指派 Business Data Connectivity Service 應用程式的管理員

伺服器陣列管理員可以將特定 Business Data Connectivity Service 應用程式的管理委派給服務應用程式管理員。將授與委派的管理員管理中心網站的存取權,且可以執行與 Business Data Connectivity Service 應用程式相關的管理工作。

提示

將不會授與委派的管理員中繼資儲存區的權限。

指派 Business Data Connectivity Service 應用程式的管理員

  1. 確認您具備下列管理認證:

    • 您必須是伺服器陣列管理員。

  2. 在管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  3. 在服務應用程式清單中,按一下包含 Business Data Connectivity Service 應用程式的列。

  4. 在 [服務應用程式] 索引標籤上,按一下 [作業] 區段中的 [管理員]。

  5. 在文字方塊中,輸入或選取使用者帳戶或群組帳戶,然後按一下 [新增]。

  6. 在 [權限] 方塊中,按一下 [完全控制],然後按一下 [確定]。

設定中繼資料儲存區的權限

每個 Business Data Connectivity Service 應用程式的中繼資料儲存區包含所有為此儲存區的目標所定義的模型、外部系統、外部內容類型、方法及方法執行個體。您設定中繼資訊儲存區的權限以指定誰可以編輯中繼資料儲存區中的項目,以及誰可以設定中繼資訊儲存區的權限。

建議您將特定權限授與每一位需要的使用者或群組,如此一來,這些認證即會提供執行所需工作的最低權限。如需設定權限的詳細資訊,請參閱<Business Connectivity Services 的安全性概觀 (SharePoint Server 2010)>中的<Business Connectivity Service 權限概觀>。

設定中繼資料儲存區的權限

  1. 確認您具備下列其中一個管理認證:

    • 您必須是伺服器陣列管理員。

    • 您必須是 Business Data Connectivity Service 應用程式管理員,且必須有中繼資料儲存區的「設定權限」權限。

  2. 在管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  3. 在服務應用程式清單中,按一下包含 Business Data Connectivity Service 應用程式的列。

  4. 在 [服務應用程式] 索引標籤上,按一下 [作業] 區段中的 [管理]。

  5. 在 [編輯] 索引標籤的 [權限] 群組中,按一下 [設定中繼資料儲存區權限]。

  6. 在文字方塊中,輸入要授與權限的使用者帳戶、群組或宣告,然後按一下 [新增]。

    注意

    使用者帳戶、群組或宣告的名稱中不可以使用分隔號 (|)。

  7. 設定帳戶、群組或宣告的權限:

    注意

    中繼資料物件的存取控制清單中,至少必須有一個使用者、群組或宣告具備 [設定權限] 權限。

    • 按一下 [編輯],以允許使用者、群組或宣告建立外部系統及模型,或匯入及匯出模型。

      安全性提示Security Note
      「編輯」權限應該視為高權限。惡意使用者可以透過「編輯」權限竊取認證或損毀伺服器陣列。若要協助確保安全的解決方案,我們建議您使用一個可以自由將「編輯」權限指派給開發人員及解決方案設計者的測試環境。

    • 按一下 [執行] 以允許使用者、群組或宣告於外部內容類型 (建立、讀取、更新、刪除或查詢) 上執行作業。

      提示

      「執行」權限不適用於中繼資料儲存區本身。此設定用於將「執行」權限傳播至中繼資料儲存區中的子物件。

    • 按一下 [可在用戶端選取] 以允許使用者、群組或宣告建立任何外部內容類型的外部清單,並檢視外部項目選擇器中的外部內容類型。

      提示

      「可在用戶端選取」權限不適用於中繼資料儲存區本身。此設定用於將「可在用戶端選取」權限傳播至中繼資料儲存區中的子物件。

    • 按一下 [設定權限],以允許使用者、群組或宣告設定中繼資料儲存區的權限。

      安全性提示Security Note
      「設定權限」權限應該視為高權限。使用者可以使用「設定權限」權限來授與中繼資料儲存區的「編輯」權限。

  8. 若要將權限傳播至中繼資料儲存區的所有項目,請按一下 [將權限傳播到 BDC 中繼資料儲存區中的所有 BDC 模型、外部系統和外部內容類型。這麼做將會覆寫現有權限]。

RevertToSelf 驗證模式

每個外部內容類型都有相關聯的驗證模式。驗證模式提供 Business Connectivity Services 有關處理來自使用者所傳入之驗證要求的資訊,並將要求對應至一組可傳送至外部系統的認證。根據預設,不會啟用 RevertToSelf 驗證模式 (亦稱為 BDC 身分識別驗證模式)。當未啟用 RevertToSelf 驗證模式時,您無法建立或匯入使用 RevertToSelf 的模型。

RevertToSelf 驗證模式使用應用程式集區帳戶,Business Connectivity Services 於該處驗證登入外部系統的使用者。例如:當使用者開啟外部清單時,會使用外部清單所在之前端網頁伺服器的應用程式集區帳戶來進行驗證。應用程式集區帳戶為高權限帳戶。根據預設,應用程式集區帳戶具有伺服器陣列設定資料庫的寫入權限。使用 RevertToSelf 模式,任何可以建立或編輯使用 RevertToSelf 模式之模型的使用者,具有將自己變成 SharePoint 伺服器陣列管理員的能力。

RevertToSelf 驗證模式不建議用於實際執行環境中。建議使用 Secure Store Service。

若您必須在實際執行環境中使用 RevertToSelf 驗證模式,請考慮下列:

  • 任何可以建立或編輯模型的使用者,包括 SharePoint Designer 使用者,從安全性觀點來看,應被視為等同伺服器陣列管理員。您必須如同您一樣信任他們是伺服器陣列管理員。

  • 您應儘可能地鎖定應用程式集合帳戶的使用。如此可助於限制惡意使用者對 SharePoint 伺服器陣列及外部系統造成的損毀。

啟用 RevertToSelf 驗證模式

啟用 RevertToSelf 驗證模式之後,即可建立並匯入使用 RevertToSelf 的新模型。

安全性提示Security Note
建議不要在實際執行環境中使用 RevertToSelf 驗證模式。在啟用 RevertToSelf 驗證模式之前,請確定您已閱讀且瞭解啟用 RevertToSelf 驗證模式的含意。

注意

主控的環境不允許 RevertToSelf。

啟用 RevertToSelf 驗證模式

  1. 請確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    1. 若要建立包含 Business Data Connectivity Service 應用程式物件的變數,請輸入下列命令:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      其中 <服務名稱> 是 Business Data Connectivity Service 應用程式的名稱,也可以是規則運算式 (例如 "BDC")。

      注意

      如果 Business Data Connectivity Service 應用程式是共用服務應用程式,則必須在發佈服務應用程式的伺服器陣列上執行此命令。

    2. 若要啟用 RevertToSelf 驗證模式,請輸入下列命令:

      $bdc.RevertToSelfAllowed = $true

停用 RevertToSelf 驗證模式

當停用 RevertToSelf 時,無法建立或匯入使用 RevertToSelf 的新模型。

注意

若您有使用 RevertToSelf 的現有模型,這些模型將繼續工作。若要從伺服器陣列移除 RevertToSelf 驗證的所有執行個體,必須先刪除現有的模型。

停用 RevertToSelf 驗證模式

  1. 請確認符合下列基本需求:請參閱<Add-SPShellAdmin>。

  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2010 產品]。

  4. 按一下 [SharePoint 2010 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    1. 若要建立包含 Business Data Connectivity Service 應用程式的變數,請輸入下列命令:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      其中 <服務名稱> 是 Business Data Connectivity Service 應用程式的名稱,也可以是規則運算式 (例如 "BDC")。

      注意

      如果 Business Data Connectivity Service 應用程式是共用服務應用程式,則必須在發佈服務應用程式的伺服器陣列上執行此命令。

    2. 若要停用 RevertToSelf 驗證模式,請輸入下列命令:

      $bdc.RevertToSelfAllowed = $false

工作流程及外部清單

當您開發與外部清單互動的工作流程時,需要其他設定。下節說明影響工作流程行為的要求。

注意

工作流程無法與主控環境中的外部清單互動。

工作流程無法直接與外部清單相關聯

因為外部資料未儲存在 SharePoint Server 中,當外部清單中的項目變更時,無法通知工作流程。因此,您可以建立網站工作流程或清單工作流程,然後讓工作流程讀取或更新外部棈單。您亦可以使用外部清單項目做為 SharePoint Designer 中之工作程序的目的地;然而,工作的連結將不會顯示外部清單項目的標題。

工作流程有時執行為服務帳戶

下列案例中的工作流程執行為服務帳戶 (一般為應用程式集區帳戶):

  • Visual Studio 工作流程。

  • 宣告式工作流程與外部清單互動,且會自動啟動。即使您在工作流程中使用模擬步驟亦是如此。

在此情況下,您必須提供與外部清單相關聯之外部內容類型的服務帳戶「執行」權限,並確認服務帳戶具有存取外部系統的必要權限。

工作流程及驗證

若要支援工作流程活動,與外部清單相關聯之外部內容類型必須使用 RevertToSelf 或 Secure Store Service 來進行驗證。

注意

若您是使用 .NET 組件連接器或自訂連接器,則不適用這些驗證模式限制。

  • 使用 RevertToSelf 進行驗證

    RevertToSelf 驗證模式 (亦稱為 BDC 身分識別驗證模式) 使用外部清單所在之前端網頁伺服器的應用程式集區帳戶來驗證外部系統。這表示應用程式集區帳戶必須具有存取外部系統的權限。根據預設,不會啟用 RevertToSelf 驗證。在您建立或匯入使用 RevertToSelf 驗證的模型之前,您必須啟用 RevertToSelf 驗證模式。

    安全性提示Security Note
    RevertToSelf 驗證不建議用於實際執行環境中。

    若需 RevertToSelf 驗證的詳細資訊,請參閱 RevertToSelf 驗證模式。

  • 使用 Secure Store Service 進行驗證

    Secure Store Service 可讓您安全地儲存資料,此資料用於提供連線至外部系統並將這些認證與特定身分識別或身分識別群組產生關聯所需的認證。您必須確認外部內容類型使用其中一種 Secure Store Service 驗證模式。

    安全性提示Security Note
    若工作流程執行為服務帳戶,則建議您將服務帳戶對應至具有較低權限的帳戶。例如:您可以建立一個安全儲存區目標應用程式識別碼,該識別碼將服務帳戶對應至具有最低權限的帳戶,並僅可存取必要的外部系統。

若需驗證模式的詳細資訊,請參閱<Business Connectivity Services 的安全性概觀 (SharePoint Server 2010)>中的<Business Connectivity Service 驗證概觀>。

設定讓使用中的伺服器陣列產生部署套件的權限

Business Data Connectivity Service 應用程式可跨伺服器陣列進行共用。包含 Business Data Connectivity Service 應用程式並發佈 Business Data Connectivity Service 應用程式的伺服器陣列被稱為發佈伺服器陣列。使用中的伺服器陣列為連線至遠端位置以使用Business Data Connectivity Service 應用程式的伺服器陣列。

當使用者讓外部清單處於離線狀態時,由外部清單所在之前端網頁伺服器所使用的應用程式集區帳戶會產生一個部署套件,之後此部署套件安裝於用戶端電腦上。在發佈伺服器陣列上,前端伺服器的應用程式集區帳戶具有中繼資料儲存區的完整權限,因此發佈伺服器陣列可產生部署套件。若您想要使用中的伺服器陣列可以產生部署套件,您必須將中繼資料儲存區的「編輯」與「設定權限」權限提供給使用中伺服器陣列的前端伺服器所使用的應用程式集區帳戶。若您未將這些額外權限提供給應用程式集區帳戶,則位於使用中伺服器陣列上的外部清單無法變成離線。

安全性提示Security Note
提供中繼資料儲存區的「編輯」與「設定權限」權限給使用中伺服器陣列中的應用程式集區帳戶,將使得此帳戶成為發佈伺服器陣列的伺服器陣列管理員。

注意

本節內容僅適用於內部 SharePoint Server 部署。

如需外部清單部署的詳細資訊,請參閱<規劃 Business Connectivity Service 用戶端整合 (SharePoint Server 2010)>。

指派使用中伺服器陣列之應用程式集區帳戶的權限

  1. 確認您具備下列其中一個管理認證:

    • 您必須是發佈伺服器陣列上的伺服器陣列管理員。

    • 您必須是 Business Data Connectivity Service 應用程式的管理員,且具有中繼資料儲存區的「設定權限」權限。

  2. 在發佈伺服器陣列的管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  3. 按一下 Business Data Connectivity Service 應用程式中的執行個體。

  4. 在 [編輯] 索引標籤下的 [權限] 群組中,按一下 [設定中繼資料儲存區權限]。

  5. 在文字方塊中,輸入使用中伺服器陣列的前端網頁伺服器所使用的應用程式集區帳戶,然後按一下 [新增]。

  6. 在 [權限] 方塊中,按一下 [編輯],然後按一下 [設定權限]。

  7. 按一下 [確定]。

如需共用之服務應用程式的詳細資訊,請參閱<共用跨伺服器陣列的服務應用程式 (SharePoint Server 2010)>。

See Also

Concepts

Business Connectivity Services 的安全性概觀 (SharePoint Server 2010)