SharePoint Server 的 Business Connectivity Services 安全性工作概觀
**適用版本:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**上次修改主題的時間:**2017-07-27
**摘要:**了解 SharePoint Server 2016 和 SharePoint Server 2013 中的 Microsoft Business Connectivity Services 安全性。
透過 Microsoft Business Connectivity Services (BCS) 提供您使用資料的安全性是每個 BCS 解決方案中重要的一環。不像一般的 SharePoint 資料會儲存在 SharePoint 內容資料庫,BCS 解決方案呈現的資料是位於 SharePoint 之外的外部系統。BCS 會提供管道供 SharePoint 用於取得外部資料。除了在如網站存取權限和清單權限等一般的 SharePoint Server 安全性控制內運作以外,BCS 解決方案還必須處理其他的通訊和安全性階層。舉例來說,外部系統可能使用不同的驗證機制或提供者,而需要與使用者用於存取 SharePoint Server 不同的認證。因為 BCS 解決方案中有更多的安全性階層,所以牽涉到更多的安全性設定工作。
Business Connectivity Services 安全性工作將由三種不同角色人員負責:IT 專業人員;網站集合管理員或網站擁有者;以及開發人員。以下範例說明各角色所負責的工作。
IT 專業人員負責管理中繼資料存放區及其內容的安全性。他們同時也處理 Secure Store Service 中帳戶和群組管理以及認證對應。
網站集合管理員及網站擁有者將負責了解外部系統所使用的安全性類型,以及如何設定無程式碼式 (又稱宣告式) 外部內容類型與其通訊。他們還負責規劃安全性並套用至外部清單和商務資料網頁組件。
BCS 解決方案開發人員將負責了解外部系統所使用的安全性類型,以及如何設定 BDC 模型與其通訊,還負責 Office 與 SharePoint 相關應用程式的開發與部署的安全性。
Business Connectivity Services 安全性
將管理委派給 Business Data Connectivity Service
在建立 Business Data Connectivity Service 的執行個體後,伺服器陣列管理員應執行的第一項工作是將服務的管理委派給其他帳戶,最好是沒有伺服器陣列管理員權限的帳戶。此最佳做法乃遵循最低權限的原則。將授與受委派的帳戶必要的權限,以開啟 SharePoint 管理中心網站及存取 Business Data Connectivity Service 服務應用程式。這應為用於管理服務的主要帳戶。唯一可授與或撤銷的權限是 [完全控制]。
管理中繼資料存放區及其內容的權限
中繼資料存放區儲存了 Business Data Connectivity Service 應用程式所使用的外部內容類型、外部系統及 BDC 模型定義。BCS 服務管理員的一項主要工作是管理中繼資料存放區及其所含之全部項目的安全性。中繼資料存放區的項目取得權限的方式有二種。第一種方式是可以直接將權限套用至中繼資料存放區、BDC 模型、外部系統或外部內容類型。第二種方式是從較高層級項目繼承權限。兩種方式都顯示於下圖中。
圖:中繼資料存放區權限
.jpg "中繼資料存放區權限的圖表")
**繼承:**繼承產生的方式有兩種。第一種,任何項目加入中繼資料存放區時,會繼承中繼資料存放區本身的權限設定。第二種,中繼資料存放區、外部系統及外部內容類型項目可強制覆寫較低階層項目的權限。您在設定父項目的權限時,若選取 [將權限傳播到所有子代...] 並按一下 [確定],就會發生這種情況。
直接應用 如果項目的權限不符合您的需求,則可以手動進行調整。
可直接套用四種權限:
**編輯:**這讓使用者或群組可編輯該項目。
**執行:**這讓使用者或群組可對中繼資料存放區的外部內容類型執行各項操作 (建立、讀取、更新、刪除、查詢)。BCS 解決方案的所有使用者都必須擁有相關外部內容類型的執行權限。
**可在用戶端選取:**透過使外部清單的外部內容類型,以及 SharePoint 應用程式可在外部項目選擇器中取用,讓使用者或群組可加以使用
**設定權限:**這讓使用者或群組可設定項目的權限。每個項目都至少必須有一個具備「設定權限」權限的使用者或群組。
管理中繼資料存放區權限的建議
選擇一個帳戶,可能是 Business Connectivity Services 管理員帳戶,然後授與中繼資料存放區層級的 [設定權限] 權限。如此,即可滿足每個項目有一個擁有 [設定權限] 權限之安全管理帳戶使用者或群組的要求。若未明確設定帳戶,預設會使用伺服器陣列帳戶。請不要選取 [將權限傳播到所有子代] 選項。您不需要選取 [將權限傳播到所有子代] 選項,因為每個項目在新增至中繼資料存放區時將會繼承此設定。這同時可避免不必要的帳戶獲得對任何不該存取之外部系統、BDC 模型或外部內容類型的存取權。
使用直接應用方法,設定個別項目的權限,也不要選取 [將權限傳播到所有子代] 選項。這會讓您可在每個物件上維持唯一的權限設定。
在維護和作業計畫中,定期檢閱權限設定,從中繼資料存放區階層開始,一層一層往下,確保每個項目的權限設定正確。若權限設定偏離正軌,則應手動重新設定。
使用 [將權限傳播到所有子代] 選項的唯一時機,是當必須完全重設父項目和其所有子項目的所有權限時。請注意,這是破壞性的程序,所有子項目的自訂權限都將會遺失。此動作對於失去權限的使用者或群組而言,可能會中斷 BCS 解決方案。
對應 Secure Store Service 中的帳戶和群組
除非您設定「Kerberos 限制委派」,否則 BCS 無法將 SharePoint Server 伺服器陣列外部的使用者認證傳遞至資料所在的外部系統。Kerberos 限制委派可能不容易設定和維護。您也可以改成使用 Secure Store Service。使用 Secure Store 時,您可以將一群使用者對應到 BCS 可用來存取外部系統的一組認證。
有兩種方式可設定您的對應:
群組對應 在群組對應目標應用程式中,將 AD DS 使用者帳戶和安全性群組新增至 Secure Store,然後將它們對應至外部系統的一組認證。這是管理 BCS 解決方案存取權的最簡單方法。
個別對應 在個別對應目標應用程式中,只可將單一 AD DS 使用者帳戶對應至外部系統的一組認證。這基本上為 1:1 對應。若只要管理很少數的帳戶,或者要追蹤對外部系統的存取和活動,一般會使用此方式。
管理 Business Data Connectivity Service 應用程式的權限
根據預設,系統會授與伺服器陣列中的每個 Web 應用程式透過伺服器陣列帳戶來存取 Business Data Connectivity Service 應用程式的權限。若要限制只有某些 Web 應用程式能夠存取,只要移除伺服器陣列帳戶,然後新增所需 Web 應用程式的應用程式集區身分識別帳戶,即可做此變更。此作法可控制哪些 Web 應用程式可以存取 Business Data Connectivity Service 應用程式。如需詳細資訊,請參閱在 SharePoint Server 中設定已發佈之服務應用程式的權限。
如果您要將 Business Data Connectivity Service 應用程式發佈到其他伺服器陣列,則必須新增使用伺服器陣列的伺服器陣列識別碼。如需詳細資訊,請參閱跨 SharePoint Server 伺服器陣列共用服務應用程式。