本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

SharePoint 2013 的 Business Connectivity Services 安全性工作概觀

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解專為 IT 專業人員、網站和 SharePoint Online 管理員及開發人員提供之 SharePoint 2013 的 Business Connectivity Services (BCS) 安全性。

透過 Microsoft Business Connectivity Services (BCS) 提供客戶使用資料的安全性是每個 BCS 解決方案中重要的一環。不像一般的 SharePoint 資料會儲存在 SharePoint 內容資料庫,BCS 解決方案呈現的資料是位於 SharePoint 之外的外部系統。BCS 會提供管道供 SharePoint 用於取得外部資料。除了在如網站存取權限和清單權限等一般的 SharePoint 產品 安全性控制內運作以外,BCS 解決方案還必須處理其他的通訊和安全性階層。舉例來說,外部系統可能使用不同的驗證機制或提供者,而需要與使用者用於存取 SharePoint 產品 不同的認證。因為 BCS 解決方案中有更多的安全性階層,所以牽涉到更多的安全性設定工作。


Business Connectivity Services 安全性工作將由三種不同角色人員負責:IT 專業人員;SharePoint Online 管理員、網站集合管理員或網站擁有人;以及開發人員。以下範例說明各角色所負責的工作。

  • IT 專業人員負責管理中繼資料存放區及其內容的安全性。他們同時也處理 Secure Store Service 中帳戶和群組管理以及認證對應。

  • SharePoint Online 管理員、網站集合管理員及網站擁有人將負責了解外部系統所使用的安全性類型,以及如何設定無程式碼式 (又稱宣告式) 外部內容類型與其通訊。他們還負責規劃安全性並套用至外部清單和商務資料網頁組件。

  • BCS 解決方案開發人員將負責了解外部系統所使用的安全性類型,以及如何設定 BDC 模型與其通訊,還負責 Office 與 SharePoint 相關應用程式的開發與部署的安全性。

本文內容:

將管理委派給 Business Data Connectivity Service

在建立 Business Data Connectivity Service 的執行個體後,伺服器陣列管理員應執行的第一項工作是將服務的管理委派給其他帳戶,最好是沒有伺服器陣列管理員權限的帳戶。此最佳做法乃遵循最低權限的原則。將授與受委派的帳戶必要的權限,以開啟 SharePoint 管理中心網站及存取 Business Data Connectivity Service 服務應用程式。這應為用於管理服務的主要帳戶。唯一可授與或撤銷的權限是 [完全控制]。

管理中繼資料存放區及其內容的權限

中繼資料存放區儲存了 Business Data Connectivity Service 應用程式所使用的外部內容類型、外部系統及 BDC 模型定義。BCS 服務管理員的一項主要工作是管理中繼資料存放區及其所含之全部項目的安全性。中繼資料存放區的項目取得權限的方式有二種。第一種方式是可以直接將權限套用至中繼資料存放區、BDC 模型、外部系統或外部內容類型。第二種方式是從較高層級項目繼承權限。兩種方式都顯示於下圖中。

圖:中繼資料存放區權限

中繼資料存放區權限的圖表
  • 繼承:繼承產生的方式有兩種。第一種,任何項目加入中繼資料存放區時,會繼承中繼資料存放區本身的權限設定。第二種,中繼資料存放區、外部系統及外部內容類型項目可強制覆寫較低階層項目的權限。您在設定父項目的權限時,若選取 [將權限傳播到所有子代...] 並按一下 [確定],就會發生這種情況。

  • 直接應用:若項目在加入中繼資料存放區或被強制覆寫時,從父項目繼承的權限不符需求,可在項目本身手動調整權限。

可直接套用四種權限:

  • 編輯:這讓使用者或群組可編輯該項目。

  • 執行:這讓使用者或群組可對中繼資料存放區的外部內容類型執行各項操作 (建立、讀取、更新、刪除、查詢)。BCS 解決方案的所有使用者都必須擁有相關外部內容類型的執行權限。

  • 可在用戶端選取:透過使外部清單的外部內容類型,以及 SharePoint 應用程式可在外部項目選擇器中取用,讓使用者或群組可加以使用

  • 設定權限:這讓使用者或群組可設定項目的權限。每個項目都至少必須有一個具備「設定權限」權限的使用者或群組。

管理中繼資料存放區權限的建議

  1. 選擇一個帳戶,可能是 Business Connectivity Services 管理員帳戶或 SharePoint Online 管理員帳戶,然後授與中繼資料存放區層級的「設定權限」。如此,即可滿足每個項目有一個擁有「設定權限」之安全管理帳戶使用者或群組的要求。若未明確設定帳戶,預設會使用伺服器陣列帳戶。請勿選取 [將權限傳播到所有子代] 選項。您無須選取 [將權限傳播到所有子代] 選項,因為每個項目在加入中繼資料存放區時將會繼承此設定。這同時可避免不必要的帳戶獲得對任何不該存取之外部系統、BDC 模型或外部內容類型的存取權。

  2. 使用直接應用方法,設定個別項目的權限,也不要選取 [將權限傳播到所有子代] 選項。這會讓您可在每個物件上維持唯一的權限設定。

  3. 在維護和作業計畫中,定期檢閱權限設定,從中繼資料存放區階層開始,一層一層往下,確保每個項目的權限設定正確。若權限設定偏離正軌,則應手動重新設定。

  4. 使用 [將權限傳播到所有子代] 選項的唯一時機,是當必須完全重設父項目和其所有子項目的所有權限時。請注意,這是破壞性的程序,所有子項目的自訂權限都將會遺失。此動作對於失去權限的使用者或群組而言,可能會中斷 BCS 解決方案。

對應 Secure Store Service 中的帳戶和群組

大多數情況下,使用者帳戶無法直接存取 BCS 解決方案的外部資料。在外部系統未使用 Active Directory 網域服務 (AD DS) 來保護外部資料的情況下,確實是這樣;因為系統是以不同的方式保護外部資料。例如,外部資料可能在 SQL Server,但使用 SQL Server 安全性來保護資料庫。BCS 解決方案解決此問題的方法是,使用 Secure Store Service 將 Active Directory 網域服務 (AD DS) 帳戶或群組對應至外部系統認證。為了確保只有預定的人員可存取外部資料,必須規劃好兩部系統之間認證的對應。Secure Store Service 會將對應儲存在目標應用程式。建立目標應用程式前,您必須知道誰需要使用 AS DS 認證和外部系統認證來存取外部資料;還可選擇目標應用程式的管理員。設定對應的方式有下列兩種:

  • 群組對應:在群組對應目標應用程式中,將 AD DS 使用者帳戶和安全性群組新增至目標應用程式,然後將兩者對應至外部系統的一組認證。這是管理 BCS 解決方案存取最簡便的方法。

  • 個別對應:在個別對應目標應用程式中,只可將單一 AD DS 使用者帳戶對應至外部系統的一組認證。這基本上為 1:1 對應。若只要管理很少數的帳戶,或者要追蹤對外部系統的存取和活動,一般會使用此方式。

如需如何規劃Secure Store Service ,請參閱Plan Secure Store Service in SharePoint Server 2013的詳細資訊。如需關於如何設定Secure Store Service以及如何建立目標應用程式請參閱 <,設定 Secure Store Service 中 SharePoint 2013

管理 BDC Service 應用程式的權限

根據預設,在伺服器陣列中每個 Web 應用程式是存取權授與 BDC 服務應用程式至伺服器陣列帳戶。如果您想要限制只有特定 web 應用程式的存取,您可以變更此設定移除伺服器陣列帳戶並再新增的應用程式集區身分識別帳戶想要的 web 應用程式。依照此您控制哪些 web 應用程式具有存取權的 BDC Service 應用程式。如需詳細資訊,請參閱 <設定權限已發佈的服務應用程式 (SharePoint Server)

如果您發佈 BCS 服務應用程式至其他伺服器陣列,您必須新增使用伺服器陣列的伺服器陣列識別碼。如需詳細資訊,請參閱 < Share service applications 跨伺服器陣列 (SharePoint Server 2010)

SharePoint Online 管理員、網站集合管理員及網站擁有人必須管理網站集合和網站 (以及那些網站的外部清單) 的安全性。若您扮演此角色且要使用 SharePoint Designer 2013 來建立外部內容類型,則必須了解 Business Connectivity Services 所支援的不同驗證模式,包括在 Secure Store 中使用目標應用程式。下表提供管理員之安全性工作的相關資訊。

表:管理員的安全性工作

安全性工作 文章 描述

在無程式碼的外部內容類型中設定驗證模式和認證

  1. Business Connectivity Services 驗證概觀 (英文)

  2. 外部資料簡介

  3. 設定 Secure Store Service In SharePoint 2013

  1. 了解 BCS 適用的支援驗證模式。

  2. Office.com 對外部資料的簡介。

  3. 在 SharePoint Server 2013 伺服器陣列上設定 Secure Store Service 中的授權認證儲存,並包含視訊示範。

管理外部清單權限

  1. 簡介: 使用權限控制使用者存取權限

  2. 何謂受到唯一保護的內容?

  3. 編輯清單、 文件庫或個別項目的權限

  1. 有關了解與管理 SharePoint 產品 (包括 SharePoint Online) 中使用者權限的 Office.com 文章。

  2. 受到唯一保護的內容是指,不使用與包含該內容的網站集合之相同權限設定的任何內容。該內容反而有自己的唯一權限設定。在處理網站上的權限時,您可能會在權限頁面上看到有關受到唯一保護之內容的訊息。

  3. 此主題說明如何針對個別網站、清單、程式庫、資料夾、清單項目或文件指派唯一權限。

管理 SharePoint Online BCS

  1. 專為 IT 專業人員提供的 Business Connectivity Services 安全性

  1. 說明 BCS 中與安全性相關的管理員工作。

管理Office用戶端信任中心

  1. 檢視中的 [信任中心設定選項

  1. 信任中心為 Microsoft Office 程式的安全性和隱私權設定所在。有了 Office 程式上一致的功能區外觀,從每個程式尋找信任中心的步驟都相同。

在 Business Connectivity Services 解決方案之安全性工作所牽涉到的所有角色中,開發人員對於 BCS 安全性架構和如何運用以建立安全的 BCS 解決方案,必須有最深入的了解。下表摘要說明開發人員執行的安全性工作,以及造訪 MSDN Library 中詳細資訊的連結。

表:開發人員的安全性工作

開發人員安全性工作 文章 摘要

設定外部內容類型的驗證模式

  1. 使用 OData 來源與 SharePoint 2013 中 Business Connectivity Services

  2. How to: 從 SharePoint 2013 中的 OData 來源建立外部內容類型

  3. 在 SharePoint 2013 中的外部內容類型

  4. How to: 建立 SQL Server in SharePoint 2013 Preview 的外部內容的類型

  1. 了解如何基於 OData 來源開始建立外部內容類型,並且在 SharePoint 2013 Preview 或 Office 2013 元件中使用該資料。

  2. 了解如何使用 Visual Studio 2012 來探索已發佈的 OData 來源,並建立可重複使用的外部內容類型以用於 SharePoint 2013 Preview 的 Microsoft Business Connectivity Services (BCS)。

  3. 了解使用外部內容類型能夠執行的工作,以及必須具備什麼條件才能開始在 SharePoint 2013 Preview 中建立外部內容類型。

  4. 了解如何在 SharePoint 2013 Preview 中建立 SQL Server 的外部內容類型。在使用外部資料時,建立外部內容類型是一項中樞工作。外部內容類型包含下列相關重要訊息:連線、存取權、操作方法、資料行、篩選條件,及其他用於從外部資料來源擷取資料之中繼資料。

管理 OAuth、權杖交換及建立 Web 要求

  1. 驗證、 授權與 SharePoint 2013 的安全性

  1. 了解 SharePoint 產品 中的驗證與授權、宣告式身分識別與驗證,以及表單型驗證。

管理開發環境安全性

  1. 開始: 設定 SharePoint 2013 的開發環境

  1. 透過安裝 SharePoint 2013 Preview 和 Visual Studio 2012,了解設定 SharePoint 2013 Preview 開發環境的步驟。

管理 Office 與 SharePoint 相關應用程式的安全性

  1. 部署及安裝 SharePoint 應用程式: 方法與選項

  1. 了解發佈、安裝及解除安裝 SharePoint 應用程式的方法。

管理外部系統之事件與警示的安全性

  1. SharePoint 2013 的外部事件與警示

  1. 了解在 SharePoint 2013 Preview 中建立可附加至外部清單,並在清單呈現的外部資料更新時執行之事件接收器背後的概念。

https://technet.microsoft.com/zh-tw/library/ee661740.aspx
顯示: