Delegação de identidades para Serviços Corporativos de Conectividade (SharePoint Server 2010)
Aplica-se a: SharePoint Server 2010
Tópico modificado em: 2016-11-30
Neste cenário, você configura o aplicativo de serviço Catálogo de Dados Corporativos de forma a usar a delegação restrita de Kerberos para autenticação no SQL Server. Terminada a configuração, você criará um novo tipo de conteúdo externo e uma lista externa para testar operações de autenticação e leitura em um site do SharePoint.
Neste cenário, como o Farm do SharePoint Server e a fonte de dados do BCS estão no mesmo domínio, nós configuramos a delegação restrita de Kerberos de forma a permitir a delegação de identidade à fonte de dados de back-end. Se você precisar fazer a autenticação em fontes de dados de outros domínios na mesma floresta, será necessário configurar a delegação Kerberos (não restrita) básica. Lembre-se de que o BCS não usa o C2WTS e, portanto, você pode usar a delegação básica.
Observação
Se a instalação estiver sendo feita no Windows Server 2008, talvez seja necessário instalar o seguinte hotfix para a autenticação Kerberos:
Uma autenticação Kerberos falha com o código de erro 0X80090302 ou 0x8009030f em um computador que está executando o Windows Server 2008 ou Windows Vista quando o algoritmo AES é usado (https://support.microsoft.com/kb/969083/pt-br)
Dependências do cenário
Para concluir este cenário, é preciso ter concluído o seguinte:
Cenário 1: Configuração principal
Cenário 2: Autenticação Kerberos para SQL OLTP
Lista de verificação para configuração
Área de configuração | Descrição |
---|---|
Configuração do Active Directory |
Criar a conta de serviço do aplicativo BCS Validar nomes de entidade de serviço Configurar a delegação |
Configuração do SharePoint Server |
Iniciar a instância do serviço BCS Criar o aplicativo de serviço BCS |
Verificação |
Criar um tipo de conteúdo externo do BCS Configurar a segurança do BCS Criar uma lista externa do BCS Abrir a lista externa no navegador |
Detalhes do ambiente do cenário
Instruções de configuração passo a passo
Configuração do Active Directory
Criar a conta de serviço do aplicativo BCS
Como prática recomendada, os Serviços Corporativos de Conectividade devem ser executados com a sua própria identidade de domínio. Para configurar o Aplicativo BCS, é necessário criar uma conta do Active Directory. Neste exemplo, as seguintes contas foram criadas:
Serviço do SharePoint Server | Identidade do Pool de Aplicativos do IIS |
---|---|
Serviço Corporativo de Conectividade |
vmlab\svcBDC |
Validar nomes de entidade de serviço
Tipos de conteúdo externo do BCS são executados no contexto do pool de aplicativos do IIS que utiliza o tipo ECT quando os dados do BCS são usados em sites do SharePoint. Para que o BCS se conecte e se autentique em fontes de dados externas usando a autenticação Kerberos, a conta de serviço do pool de aplicativos e a conta de serviço da fonte de dados externa devem ter nomes de entidade de serviço configurados. Consulte os cenários 1 e 2 neste documento para configurar e validar os SPNs necessários nos aplicativos Web e nas contas de serviço do SQL Server.
Configurar a delegação
Para permitir que o BCS delegue a identidade do cliente, a delegação Kerberos deve ser configurada. Embora a delegação restrita tecnicamente não seja exigida como os Serviços do Excel e a delegação não restrita possa ser usada para o BCS, é uma prática recomendada limitar o escopo de delegação que o serviço tem permissão para executar e, portanto, a delegação restrita será configurada neste exemplo.
Cada conta de serviço do pool de aplicativos do IIS que hospeda o site que executa o tipo de conteúdo externo deve ser configurada para permitir delegação aos serviços de back-end.
No nosso exemplo, os seguintes caminhos de delegação são necessários:
Tipo de Entidade de Segurança | Nome da Entidade de Segurança | Delegada ao Serviço |
---|---|---|
Usuário |
svcPortal10App |
MSSQLSVC/MySqlCluster.vmlab.local:1433 |
Usuário |
svcTeams10App |
MSSQLSVC/MySqlCluster.vmlab.local:1433 |
Para configurar a delegação restrita
Abra as propriedades do Objeto do Active Directory em Usuários e Computadores do Active Directory.
Navegue até a guia Delegação.
SP2010 Kerberos Guide228.gif
Selecione Confiar neste usuário para delegação apenas aos serviços especificados.
Observação
Se você precisar do BCS para se autenticar em fontes de dados na mesma floresta, mas fora do domínio em que o SharePoint Server reside, será preciso selecionar Confiar no computador para delegação a qualquer serviço para configurar a delegação básica em vez da delegação restrita. O tipo de conteúdo externo do BCS será executado no processo de trabalho do IIS do aplicativo Web e não utiliza o C2WTS. Lembre-se de que a delegação Kerberos não pode ocorrer entre florestas.
Clique no botão Adicionar para selecionar a entidade de serviço permitida para delegação.
Selecione Usuários e Computadores.
Selecione a conta de serviço que executa o serviço ao qual você deseja fazer a delegação. Neste exemplo, usamos a conta de serviço para o serviço do SQL Server.
Observação
A conta de serviço selecionada deve ter um SPN aplicado. No nosso exemplo, o SPN da conta foi configurado em um cenário anterior.
Clique em OK.
Selecione os SPNs que você deseja delegar e clique em OK.
Selecione os serviços para o cluster do SQL Server e clique em OK.
Agora, você verá os SPNs selecionados na lista Serviços aos quais esta conta pode apresentar credenciais delegadas.
Repita essas etapas para cada caminho de delegação identificado anteriormente nesta seção.
Verificar o SPN MSSQLSVC para a Conta de Serviço que executa o serviço no SQL Server (etapa realizada no Cenário 2)
Verifique a existência do SPN para a conta de serviço do Analysis Services (vmlab\svcSQL) com o seguinte comando SetSPN:
SetSPN -L vmlab\svcSQL
Você verá o seguinte:
MSSQLSVC/MySqlCluster
MSSQLSVC/MySqlCluster.vmlab.local:1433
Configuração do SharePoint Server
Iniciar a instância do serviço BCS
Antes de criar um aplicativo de serviço BCS, inicie o serviço BCS nos servidores designados do farm.
Abra Administração Central.
Em Serviços, selecione Gerenciar serviços no servidor.
Na caixa Seleção de Servidor, no canto superior direito, selecione os servidores que estão executando Serviços do Excel. Neste exemplo, o servidor é VMSP10APP01.
Inicie o serviço Serviço Conectividade de Dados Corporativos .
Criar o aplicativo de serviço BCS
Em seguida, configure um novo aplicativo de serviço BDC e um proxy de aplicativo para permitir que aplicativos Web consumam serviços BDC:
Abra Administração Central.
Selecione Gerenciar Aplicativos de Serviço em Gerenciamento de Aplicativos.
Selecione Novo e depois Serviço Conectividade de Dados Corporativos .
Configure o novo aplicativo de serviço. Selecione a conta de serviço correta (crie um nova conta gerenciada se a conta de serviço do BDC não estiver na lista).
Verificação
Criar um tipo de conteúdo externo do BCS
Para acessar dados externos por meio do BDC, é preciso criar um tipo de conteúdo externo do BDC. Neste exemplo, usaremos o SharePoint Designer 2010 para criar o tipo de conteúdo externo no aplicativo Web de Portal (http:portal):
Abra o SharePoint Designer 2010.
Abra o conjunto de sites de teste em http://portal.
Na navegação do lado esquerdo, clique em Tipos de Conteúdo Externo.
Selecione Tipo de Conteúdo Externo na seção Novo da faixa de opções, localizada no canto superior esquerdo da página.
Dê um nome para exibição ao Tipo de Conteúdo Externo.
Em seguida, selecione Clique aqui para descobrir fontes de dados externas e definir operações.
Clique em Adicionar Conexão.
Selecione SQL Server na lista suspensa Tipo de Fonte de Dados e adicione as informações para se conectar ao banco de dados de teste. Selecione Conectar com a Identidade do Usuário para testar a delegação.
Expanda a nova conexão. Clique com o botão direito do mouse na tabela de teste (Sales) e selecione Criar Todas as Operações.
Você verá um erro explicando que não há um identificador exclusivo definido. Selecione a coluna do identificador e marque a caixa de seleção Mapear para Identificador. Clique em Concluir para aceitar as opções padrão e criar as operações de tipo de conteúdo externo.
Clique em Salvar (CTRL+S). Isso publicará o tipo de conteúdo externo no repositório de metadados do aplicativo de serviço BDC.
Configurar a segurança do BCS
Para que os clientes possam usar o tipo de conteúdo externo do BCS no aplicativo Web de portal, é necessário configurar permissões do BCS. O BCS oferece suporte a um modelo de permissões granular, mas, para esta demonstração, vamos configurar a segurança no nível do repositório de Metadados e propagar alterações de segurança a todos os objetos desse repositório.
Abra Administração Central.
Selecione Gerenciar Aplicativos de Serviço em Gerenciamento de Aplicativos.
Clique no link do novo Aplicativo de Serviço, que é Serviços de Dados Corporativos neste exemplo.
Selecione Definir Permissões de Repositório de Metadados.
No nosso exemplo, configuramos Administradores de Empresa com todas as permissões e Todos os Usuários Autenticados com todas as permissões, exceto a permissão Definir Permissões.
Verifique se a caixa de seleção Propagar permissões está marcada e clique em OK para salvar suas alterações.
Criar uma lista externa do BCS
Para testar o tipo de conteúdo externo, vamos configurar uma lista externa para exibir os dados externos no aplicativo do portal:
Abra o SharePoint Designer 2010.
Abra o conjunto de sites de teste em http://portal.
Selecione Tipos de Conteúdo Externo no lado esquerdo.
Clique no tipo de conteúdo que você criou anteriormente.
Na faixa de opções, clique em Criar Listas e Formulário.
Se for solicitado que você salve o tipo de conteúdo externo, clique em Sim.
Na caixa de diálogo Criar Lista e Formulário, digite um nome de lista na caixa de texto Nome da Lista e clique em OK.
Abrir a lista externa no navegador
Abra o SharePoint Designer 2010.
Abra o conjunto de sites de teste em http://portal.
Clique em "Listas e Bibliotecas", na navegação do lado esquerdo.
Selecione a lista externa na parte inferior da lista Listas e Bibliotecas.
Clique no botão Visualizar no Navegador.
O Internet Explorer será aberto e exibirá o site e a lista externa selecionados.
Verifique se os dados externos são exibidos corretamente. Para validar a conexão, altere os dados de origem no SQL Server Management Studio e atualize a página do navegador. Você verá as alterações de dados refletidas no navegador.