Información general sobre las tareas de seguridad de los Servicios de conectividad empresarial en SharePoint Server
SE APLICA A:
2013 2016 2019 Subscription Edition 
SharePoint en Microsoft 365
Una parte fundamental de cualquier solución BCS consiste en proporcionar seguridad para los datos con los que trabaja en los Servicios de conectividad empresarial de Microsoft (BCS). A diferencia de los datos normales de SharePoint, que se almacenan en una base de datos de contenido de SharePoint, los datos que las soluciones BCS hacen visibles residen fuera de SharePoint, en sistemas externos. BCS proporciona el canal que SharePoint usa para acceder a los datos externos. Además de trabajar con los controles de seguridad de SharePoint Server habituales, como los permisos de acceso a sitios y los permisos de lista, las soluciones BCS tienen que trabajar con niveles de comunicación y seguridad adicionales. Por ejemplo, el sistema externo podría usar un mecanismo o un proveedor de autenticación diferente, y requerir credenciales distintas de las que los usuarios usan para acceder con SharePoint Server. Debido a que una solución BCS cuenta con más niveles de seguridad, hay implicadas más tareas de configuración de la seguridad.
Las tareas de seguridad de Servicios de conectividad empresarial recaen en tres roles diferentes: profesionales de TI; administradores de colecciones de sitios o propietarios de sitios; y desarrolladores. Los ejemplos siguientes describen las responsabilidades de cada rol.
Los profesionales de TI tienen la responsabilidad de administrar la seguridad del Repositorio de metadatos y de su contenido. También se encargan de la administración de cuentas y grupos, y de la asignación de credenciales en el Servicio de almacenamiento seguro.
Los administradores de colecciones de sitios y los propietarios de sitios son responsables de comprender el tipo de seguridad que el sistema externo usa y de cómo configurar los tipos de contenido externo sin código o declarativos para comunicarse con él. También son responsables de planear y aplicar la seguridad a las listas externas y a los elementos web de datos empresariales.
Los desarrolladores de soluciones BCS son responsables de comprender el tipo de seguridad que el sistema externo usa, de cómo configurar el modelo de BDC para comunicarse con él, de la seguridad relativa a la implementación y de la implementación de aplicaciones para Office y SharePoint.
Seguridad de Servicios de conectividad empresarial
Delegación de la administración al **Servicio de conectividad a datos profesionales
La primera tarea que el administrador de la granja de servidores debe realizar después de crear una instancia del Servicio de conectividad a datos empresariales es delegar la administración del servicio a una cuenta diferente, preferiblemente una sin derechos de administrador en la granja de servidores. Este procedimiento recomendado sigue el principio del menor privilegio. La cuenta delegada tendrá los permisos necesarios para abrir el sitio web de Administración central de SharePoint y acceder a la aplicación de servicio del Servicio de conectividad a datos empresariales. Esta será la cuenta principal que se utilice para administrar el servicio. El único permiso que se puede conceder o revocar es Control total.
Administración de permisos en el Repositorio de metadatos y su contenido
El Repositorio de metadatos guarda el tipo de contenido externo, el sistema externo y las definiciones del modelo de BDC que la aplicación de servicio de Conectividad a datos empresariales usa. Una de las principales tareas del administrador de los servicios BCS es administrar la seguridad del Repositorio de metadatos y de todos los elementos que contiene. Los elementos del Repositorio de metadatos obtienen sus permisos de dos maneras. La primera consiste en aplicar directamente los permisos al Repositorio de metadatos, los modelos de BDC, los sistemas externos o los tipos de contenido externo. La segunda manera es heredar de un elemento de nivel superior. Ambos métodos se ilustran en la figura siguiente.
Figura: Permisos del Repositorio de metadatos
Herencia La herencia se produce de dos maneras. En la primera, cuando se agrega un elemento al Repositorio de metadatos, hereda la configuración de los permisos del propio Repositorio de metadatos. En la segunda, los elementos Repositorio de metadatos, sistema externo y tipo de contenido externo pueden sobrescribir obligatoriamente los permisos de los elementos situados debajo de ellos en la jerarquía. Esto sucede cuando se selecciona Propagar permisos a todos... y se hace clic en Aceptar cuando se establecen permisos en el elemento primario.
Aplicación directa Si los permisos de un elemento no satisfacen sus necesidades, puede ajustarlos manualmente.
Puede aplicar directamente cuatro permisos:
Edición Permite al usuario o grupo modificar el elemento
Ejecutar Permite al usuario o grupo ejecutar las operaciones (crear, leer, actualizar, eliminar, consultar) de los tipos de contenido externos en el Repositorio de metadatos. Todos los usuarios de una solución BCS deben tener permiso de ejecución en el tipo de contenido externo asociado.
Seleccionable en clientes Permite al usuario o grupo usar el tipo de contenido externo para listas externas, y las aplicaciones para SharePoint haciendo que estén disponibles en el selector de elementos externos.
Establecer permisos Permite al usuario o grupo establecer permisos en el elemento. Todos los elementos deben tener al menos un usuario o grupo que tenga el permiso Establecer permisos.
Recomendaciones para administrar los permisos del Repositorio de metadatos
Seleccione una cuenta, probablemente su cuenta de administrador de Servicios de conectividad empresarial, y concédale el permiso Establecer permisos en el nivel del Repositorio de metadatos. Esto satisfará el requisito de que todos los elementos tengan un usuario o grupo con el permiso Establecer permisos con una cuenta administrativa administrada de forma segura. Si no establece una cuenta de forma explícita, se usará la cuenta de la granja de servidores de forma predeterminada. No seleccione la opción Propagate permissions to all (Propagar permisos a todos). No tiene que seleccionar la opción Propagate permissions to all (Propagar permisos a todos) porque todos los elementos heredarán esta configuración cuando se agreguen al Repositorio de metadatos. De esta manera también se impide que cuentas innecesarias tengan acceso a sistemas externos, modelos de BDC o tipos de contenido externo que no deberían tener.
Use el método de aplicación directa y configure los permisos en cada uno de los elementos, de nuevo sin seleccionar la opción Propagar permisos a todos. Esto le permitirá mantener una configuración de permisos única en cada objeto.
Como parte de los planes operativos y de mantenimiento, revise periódicamente la configuración de los permisos, comenzando por el nivel del Repositorio de metadatos y bajando por la jerarquía, para asegurarse de que la configuración de los permisos de todos los elementos es correcta. Si la configuración de los permisos no es la que debiera, vuelva a configurarlos manualmente.
Solo debe usar la opción Propagar permisos a todos cuando tenga que restablecer por completo todos los permisos en el elemento primario y en todos sus secundarios. Tenga en cuenta que este es un proceso destructivo y que se perderán todos los permisos personalizados de los elementos secundarios. Esta acción puede producir errores en las soluciones BCS para los usuarios o grupos que pierdan sus permisos.
Asignación de cuentas y grupos en el Servicio de almacenamiento seguro**
BCS no puede pasar las credenciales de un usuario fuera de la granja de servidores de SharePoint Server al sistema externo donde residen los datos, excepto si configuró la delegación limitada de kerberos. Puede resultar complicado configurar y mantener la delegación limitada de kerberos. Como alternativa, puede usar el Servicio de almacenamiento seguro. Con Almacén seguro, puede asignar un grupo de usuarios a un conjunto de credenciales que BCS puede usar para obtener acceso al sistema externo.
Hay dos maneras de configurar las asignaciones:
Asignación en grupo En una aplicación de destino de asignación en grupo, las cuentas de usuario y los grupos de seguridad de AD DS se agregan a Almacén seguro y, después, se asignan a un único conjunto de credenciales del sistema externo. Esta es la manera más fácil de administrar el acceso a la solución BCS.
Asignación individual En una aplicación de destino de asignación individual solo se puede asignar una única cuenta de usuario de AD DS a un único conjunto de credenciales del sistema externo. Básicamente se trata de una asignación 1:1. Por lo general, se usa si tiene muy pocas cuentas que administrar o si quiere realizar el seguimiento del acceso y la actividad en el sistema externo.
Administrar permisos en la aplicación de Servicio de conectividad a datos empresariales
De forma predeterminada, todas las aplicaciones web de la granja de servidores obtienen acceso a la aplicación del Servicio de conectividad a datos empresariales mediante la cuenta de la granja de servidores. Si quiere restringir el acceso a solo algunas aplicaciones web, quite la cuenta de la granja de servidores y, después, agregue la cuenta de la identidad del grupo de aplicaciones de las aplicaciones web que quiera. De esta manera, controlará qué aplicaciones web tienen acceso a la aplicación del Servicio de conectividad a datos empresariales. Para obtener más información, consulte Establecer permisos para aplicaciones de servicio publicadas en SharePoint Server.
Si va a publicar la aplicación del Servicio de conectividad a datos empresariales en otras granjas de servidores, tiene que agregar los identificadores de las granjas de servidores de consumo. Para obtener más información, vea Compartir aplicaciones de servicio entre granjas de servidores en SharePoint Server.
Consulte también
Conceptos
Información general sobre Servicios de conectividad empresarial en SharePoint Server