Gerenciar autorização para o Catálogo de Dados Corporativos
Atualizado em: 2008-08-21
O Catálogo de Dados Corporativos é um serviço que pode ser usado para integrar dados de linha de negócios ao Microsoft Office SharePoint Server 2007. Ele inclui um banco de dados para armazenar metadados para aplicativos de linha de negócios em um formato consistente, e as APIs correspondentes para extrair dados de aplicativos e conectar clientes ao banco de dados.
Os clientes do Catálogo de Dados Corporativos incluem, mas não se limitam a perfis de dados corporativos, Web Parts, listas do SharePoint e perfis de usuário. Sempre que um cliente tenta acessar dados corporativos, a conta atual é autenticada e recebe acesso aos dados, dependendo das configurações de autorização da conta autenticada. Se a conta tiver as permissões corretas, os dados serão recuperados do banco de dados de camada intermediária e retornados para o cliente.
O acesso aos dados em aplicativos de linha de negócios, como bancos de dados ou serviços Web, pode ser autorizado pelo aplicativo no servidor back-end. Se o modelo de autenticação Subsistema Confiável for usado, o acesso para clientes poderá ser autorizado com o uso de permissões de serviços do Catálogo de Dados Corporativos. Para obter mais informações sobre modelos de autenticação, consulte Gerenciar autenticação para o Catálogo de Dados Corporativos.
Neste artigo:
Autorização do back-end
Autorização de camada intermediária
Autorização do back-end
Na autorização do back-end, o servidor back-end do aplicativo é responsável por conceder acesso aos dados no servidor, e identifica e autentica individualmente os usuários, de acordo com as permissões definidas pelo aplicativo. Esse processo pode ser vantajoso na auditoria de transações de dados corporativos em algumas situações, mas requer um trabalho de configuração adicional no servidor back-end. Os aplicativos de linha de negócios que utilizam autorização do back-end concedem controle de acesso aos usuários com base na autorização pelo servidor back-end. Os dados desses aplicativos são disponibilizados em aplicativos cliente, dependendo da autorização de cada usuário. Ao utilizar a autorização do back-end, você não pode usar as permissões de serviços do Catálogo de Dados Corporativos para habilitar o controle de acesso mais específico.
Autorização de camada intermediária
A autorização de camada intermediária utiliza uma identidade única para autorizar todos os usuários no servidor back-end. Você configura permissões de serviços do Catálogo de Dados Corporativos para permitir um controle de acesso mais específico aos usuários individuais. Isso fornece um modelo único de autorização em todos os aplicativos, permitindo o pool de conexões de banco de dados e dando suporte a cenários em que a autorização do back-end não é possível.
As permissões de serviço do Catálogo de Dados Corporativos permitem que os usuários acessem dados corporativos de aplicativos de linha de negócios importados para esse catálogo. Essas permissões não fazem parte do modelo de segurança e permissões do Windows SharePoint Services 3.0 e são gerenciadas em uma página especial Direitos de Serviços Compartilhados no site Administração de Serviços Compartilhados.
Por padrão, a conta usada para criar o site Administração de Serviços Compartilhados de um SSP (provedor de serviços compartilhados) tem todas as permissões de serviços para o Catálogo de Dados Corporativos. Nenhuma outra conta, inclusive as contas adicionadas como administradoras do site Administração de Serviços Compartilhados, recebe permissões de serviços automaticamente.
Qualquer conta com pelo menos a permissão Exibir Apenas, no site Administração de Serviços Compartilhados, pode receber uma ou mais permissões de serviços.
As permissões de serviços do Catálogo de Dados Corporativos são:
Permissão Definir permissões
Permite que os gerenciadores de permissões do Catálogo de Dados Corporativos administrem permissões de serviços para outros usuários, inclusive a permissão Definir permissões.
Permissão Editar
Permite que os administradores de definição de aplicativo importem, atualizem e excluam definições de aplicativos de linha de negócios.
Permissão Selecionar em clientes
Permite que os operadores de informações, geralmente administradores ou proprietários de sites do SharePoint que exibem dados corporativos de aplicativos de linha de negócios, selecionem dados corporativos em Web Parts, colunas de listas do SharePoint e outros clientes com acesso aos dados do Catálogo de Dados Corporativos. Os usuários que recebem essa permissão não requerem acesso ao site Administração de Serviços Compartilhados. Para obter mais informações sobre como usar dados corporativos em clientes como listas do SharePoint e Web Parts, consulte Dados corporativos em sites, listas e bibliotecas (https://go.microsoft.com/fwlink/?linkid=107616\&clcid=0x416) e Trabalhar com dados corporativos em listas do SharePoint (https://go.microsoft.com/fwlink/?linkid=107617\&clcid=0x416).
Permissão Executar
Permite que os desenvolvedores executem instâncias do método para entidades de dados corporativos. Os usuários que recebem essa permissão não requerem acesso ao site Administração de Serviços Compartilhados. Para obter mais informações sobre como executar instâncias do método para entidades de dados corporativos, consulte o SharePoint Server 2007 SDK: Software Development Kit (em inglês).
Estas permissões podem ser definidas como ACLs (listas de controle de acesso) em cinco níveis hierárquicos que correspondem a nomes de objetos usados em arquivos XML de definição de aplicativos de linha de negócios no Catálogo de Dados Corporativos:
Catálogo de Dados Corporativos (o nível superior, conhecido como Registro do Aplicativo no esquema)
Aplicativo (LobSystem no esquema)
Entidade ou tipo de dados corporativos (Entity no esquema)
Método
Instância de método (MethodInstance no esquema)
Para obter um exemplo de um arquivo de definição de aplicativo, consulte o artigo sobre Exemplo: metadados de PassThrough do AdventureWorks2000 (https://go.microsoft.com/fwlink/?linkid=124631\&clcid=0x416).
As permissões em cada nível são definidas separadamente. Por exemplo, um usuário com a permissão Editar no nível de Catálogo de Dados Corporativos pode importar novas definições de aplicativo, mas só poderá editar ou excluir definições de aplicativo existentes se tiver a permissão Editar no nível de aplicativo. As permissões podem ser exibidas e gerenciadas nas páginas Gerenciar Permissões, no site Administração de Serviços Compartilhados dos três níveis superiores. As permissões Métodos e instâncias de método só podem ser exibidas nos arquivos de definição de aplicativo relevantes.
Os gerenciadores de permissões de um nível podem copiar permissões desse nível para todos os descendentes. Por exemplo, os usuários que têm acesso ao Catálogo de Dados Corporativos podem receber as mesmas permissões para todos os aplicativos e entidades existentes, ou os usuários com acesso a um aplicativo podem receber permissões para todas as entidades desse aplicativo.
Durante a configuração inicial do Catálogo de Dados Corporativos, convém configurar permissões nesse catálogo e considerar quais usuários precisam de cada permissão de serviços nesse nível, antes de mover para permissões de aplicativos individuais. Em seguida, após ter adicionado permissões para usuários para cada aplicativo, você configura as permissões de cada entidade, método ou instância de método. Durante as operações em andamento, os gerenciadores de definição de aplicativo podem adicionar ou remover permissões para aplicativos e entidades à medida que as necessidades e práticas de negócios se alterarem com o tempo.
Permissões de nível superior do Catálogo de Dados Corporativos
A conta usada para criar o site Administração de Serviços Compartilhados, por padrão, tem todas as permissões de serviços no nível superior do Catálogo de Dados Corporativos. Isso inclui a permissão Definir permissões. Como gerenciador de permissões, esse usuário geralmente adiciona permissões de serviços para um pequeno número de usuários no nível superior do Catálogo de Dados Corporativos. Esses usuários são administradores do Catálogo de Dados Corporativos que são gerenciadores de permissões, administradores de definição de aplicativo, ou ambos.
Os administradores de definição de aplicativo trabalham com um designer ou desenvolvedor que cria a definição para cada aplicativo de linha de negócios. Essas definições incluem ACLs para todas as entidades, métodos e instâncias de método importadas. Essas permissões podem ser adicionadas em detalhe quando a definição de aplicativo for criada, ou você pode adicionar um número mínimo de usuários e, em seguida, editar a definição de aplicativo após ele ser importado.
Os administradores de definição de aplicativo de nível superior geralmente adicionam permissões para outros usuários que são limitadas a cada aplicativo. Dessa maneira, diferentes usuários podem receber responsabilidade pelo gerenciamento de permissões de dados corporativos para cada aplicativo, sem conceder permissões através de aplicativos a um grande número de usuários.
Ao adicionar permissões em qualquer nível, uma boa prática é conceder a cada usuário as permissões mínimas necessárias para trabalhar com dados corporativos relevantes.
Os administradores de aplicativo têm todas as permissões no nível de aplicativo. Em geral, há um pequeno número de administradores de aplicativo e eles são os únicos usuários que recebem a permissão Definir permissões e a permissão Editar, no nível de aplicativo.
Os operadores de informações têm a permissão Selecionar em clientes, e não têm as outras permissões.
Os desenvolvedores e designers têm permissões Executar para os aplicativos e entidades que estão desenvolvendo e criando, e não têm as outras permissões.
As permissões iniciais do nível de aplicativo e entidade são configuradas pelo autor da definição do aplicativo. O autor da definição também pode configurar permissões de usuários e grupos para o aplicativo e, opcionalmente, para uma ou mais entidades do aplicativo. Quando o administrador de definição de aplicativo importa a definição para o Catálogo de Dados Corporativos, esses usuários são adicionados à ACL e são autorizados a exibir dados para o aplicativo e as entidades relevantes. As alterações feitas nas permissões em cada nível afetam o XML subjacente na definição de aplicativo.
Requisitos da tarefa
Os seguintes itens são necessários à execução dos procedimentos desta tarefa:
- Os administradores devem ter acesso ao site Administração de Serviços Compartilhados e devem ter a permissão Definir permissões habilitada para o Catálogo de Dados Corporativos. A conta usada para criar o site Administração de Serviços Compartilhados tem essa permissão e pode conceder a permissão a outros usuários.
Para gerenciar permissões para o Catálogo de Dados Corporativos, você deve executar os seguintes procedimentos: