Обзор задач по обеспечению безопасности Business Connectivity Services в SharePoint Server
**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-07-27
Сводка: общие сведения о безопасности Microsoft Business Connectivity Services в SharePoint Server 2016 и SharePoint Server 2013.
Обеспечение безопасности данных, с которыми вы работаете в Microsoft Business Connectivity Services (BCS) — это важная часть каждого решения BCS. В отличие от обычных данных SharePoint, которые хранятся в базе данных контента SharePoint, данные, предоставляемые решениями BCS, находятся за пределами SharePoint во внешних системах. BCS предоставляет канал, используемый SharePoint для получения внешних данных. Помимо работы с обычными параметрами безопасности SharePoint Server, такими как права доступа к сайту и разрешения списка, решениям BCS приходится иметь дело с дополнительными уровнями связи и безопасности. Например, внешняя система может использовать другой механизм или другого поставщика аутентификации, а также запрашивать не те учетные данные, которые пользователи используют для доступа к SharePoint Server. Так как в решении BCS больше уровней безопасности, больше и задач по настройке безопасности.
Эти задачи распределяются между ИТ-специалистом, администратором семейства веб-сайтов или владельцем сайта и разработчиком. В примерах ниже описаны обязанности каждой из этих ролей.
ИТ-специалисты отвечают за управление безопасностью в хранилище метаданных и его содержимом. Они также занимаются администрированием учетных записей и групп, а также сопоставление учетных данных в службе Служба Secure Store.
Администраторы семейств веб-сайтов и владельцы сайтов несут ответственность за понимание механизмов безопасности, используемых внешней системой, и настройку декларативных внешних типов контента (без кода), с которыми требуется взаимодействовать. Они также отвечают за планирование и применение механизмов безопасности к внешним спискам и веб-частям бизнес-данных.
Разработчики решений BCS отвечают за определение механизмов безопасности, используемых внешней системой, и способа настройки модели BDC для взаимодействия с ней, а также за обеспечение безопасности разработки и развертывания приложений Приложения для Office и SharePoint.
Безопасность Business Connectivity Services
Делегирование администрирование службе Business Data Connectivity
Первая задача, которую должен выполнить администратор фермы после создания экземпляра службы Служба подключения к бизнес-данным — делегирование администрирование службы другой учетной записи, желательно с правами администратора фермы. Рекомендуется следовать принципу наименьших полномочий. Делегированная учетная запись получает разрешения, необходимые для открытия веб-сайта Веб-сайт центра администрирования SharePoint и доступа к приложению-службе Служба подключения к бизнес-данным. Это должна быть основная учетная запись, используемая для администрирования службы. Единственное разрешение которое можно предоставить или отозвать — это Полный доступ.
Управление разрешениями для хранилища метаданных и его содержимого
Хранилище метаданных содержит определения внешних типов контента, внешних систем и моделей BDC, используемые приложением-службой Business Data Connectivity. Одной из главных задач администратора BCS Services является управление безопасностью хранилища метаданных и всех элементов в нем. Элементы в хранилище метаданных получают разрешения двумя способами. Во-первых, можно напрямую применить разрешения к хранилищу метаданных, моделям BDC, внешним системам или внешним типам контента. Второй способ — наследование разрешений от элемента более высокого уровня. Оба метода показаны на следующем рисунке.
Рисунок. Разрешения для хранилища метаданных
Наследование. Наследование осуществляется двумя способами. Во-первых, при добавлении любого элемента в хранилище метаданных он наследует конфигурацию разрешений самого хранилища. Во-вторых, элементы хранилища метаданных, внешних систем и внешних типов контента могут принудительно заменить разрешения элементов, находящихся ниже них в иерархии. Это происходит, если выбрать параметр Распространить разрешения на всех… и нажать кнопку ОК при установке разрешений для родительского элемента.
Прямое применение. Если разрешения, которые элемент унаследовал от родителя, вам не подходят, их можно настроить вручную.
Напрямую можно применить четыре разрешения:
Изменение. Позволяет пользователю или группе изменять элемент.
Выполнение. Пользователь или группа могут выполнять операции (создание, чтение, обновление, удаление, запрос) с внешними типами контента в хранилище метаданных. Все пользователи решения BCS должны иметь разрешение на выполнение для связанного внешнего типа контента.
Доступно для выбора в клиентах. Позволяет пользователю или группе применять внешний тип контента для внешних списков и приложений приложения для SharePoint, делая их доступными во внешнем средстве выбора элементов.
Установка разрешений. Позволяет пользователю или группе устанавливать разрешения для элемента. У каждого элемента должен быть по крайней мере один пользователь или одна группа с разрешением "Установка разрешений".
Рекомендации по управлению разрешениями хранилища метаданных
Выберите одну учетную запись, например учетную запись администратора Business Connectivity Services, и предоставьте ей разрешения Настройка разрешений на уровне хранилища метаданных. Теперь у каждого элемента будет один пользователь или группа с разрешениями Настройка разрешений в безопасной учетной записи администратора. Если не задать учетную запись, по умолчанию используется учетная запись фермы. Не выбирайте параметр Распространить разрешения на всех, так как все элементы унаследует эту конфигурацию при добавлении в хранилище метаданных. Учетные записи не смогут получить доступ к внешним системам, моделям BDC и внешним типам контента без разрешения.
Используйте метод прямого применения, настройте разрешения для отдельных элементов, не выбрав параметр Распространить разрешения на всех. Это позволит сохранить уникальную конфигурацию разрешений для каждого объекта.
Периодически в соответствии с планами обслуживания и эксплуатации анализируйте конфигурацию разрешений начиная с уровня хранилища метаданных и перемещаясь вниз по иерархии, чтобы убедиться, что для каждого элемента задана правильная конфигурация разрешений. Если же конфигурация отличается от необходимой, ее необходимо скорректировать вручную.
Параметр Распространить разрешения на всех следует использовать, только если требуется сбросить все разрешения в родительском элементе и всех его потомках. Учтите, что это деструктивный процесс, все настраиваемые разрешения в дочерних элементах будут утеряны. Это действие может нарушить работу решений BCS для пользователей или групп, которые потеряют свои решения.
Сопоставление учетных записей и групп в службе Служба Secure Store
BCS не может передать учетные данные пользователя из фермы SharePoint Server во внешнюю систему, если вы не настроили ограниченное делегирование Kerberos. Настроить и обслуживать ограниченное делегирование Kerberos часто бывает непросто. Вместо него можно использовать службу Secure Store. В Служба Secure Store можно сопоставить группу пользователей с набором учетных данных, который BCS может использовать для доступа к внешней системе.
Настроить сопоставления можно двумя способами:
Сопоставление группы. При сопоставлении группы вы добавляете учетные записи пользователей и группы безопасности AD DS в Служба Secure Store, а затем сопоставляете их с одним набором учетных данных для внешней системы. Это самый простой способ управления доступом к решению BCS.
Отдельное сопоставление. При отдельном сопоставлении вы можете сопоставить только одну учетную запись пользователя AD DS с одним набором учетных данных для внешней системы. Этот способ удобен, если вы управляете небольшим количеством учетных записей или хотите отслеживать доступ и активность во внешней системе.
Управление разрешениями в приложении службы подключения к бизнес-данным
По умолчанию всем веб-приложениям в ферме предоставлен доступ к приложению службы подключения к бизнес-данным через учетную запись фермы серверов. Если вы хотите предоставить доступ только отдельным веб-приложениям, можно удалить учетную запись фермы серверов и добавить учетную запись удостоверения пула приложений. Тогда вы сможете контролировать, у каких веб-приложений есть доступ к приложению службы подключения к бизнес-данным. Дополнительные сведения см. в статье Настройка разрешений для опубликованных приложений службы в SharePoint Server.
Если вы публикуете приложение службы подключения к бизнес-данным в других фермах, необходимо добавить идентификаторы подключающихся ферм. Дополнительные сведения см. в статье Совместное использование приложений службы в разных фермах SharePoint Server.
See also
Общие сведения о Business Connectivity Services в SharePoint