SharePoint Server 的 Business Connectivity Services 安全性工作概觀
適用于:
2013 2019 訂閱版本 
Microsoft 365 中的 SharePoint
透過 Microsoft Business Connectivity Services (BCS) 提供您使用資料的安全性是每個 BCS 解決方案中重要的一環。 不像一般的 SharePoint 資料會儲存在 SharePoint 內容資料庫,BCS 解決方案呈現的資料是位於 SharePoint 之外的外部系統。 BCS 會提供管道供 SharePoint 用於取得外部資料。 除了在如網站存取權限和清單權限等一般的 SharePoint Server 安全性控制內運作以外,BCS 解決方案還必須處理其他的通訊和安全性階層。 舉例來說,外部系統可能使用不同的驗證機制或提供者,而需要與使用者用於存取 SharePoint Server 不同的認證。 因為 BCS 解決方案中有更多的安全性階層,所以牽涉到更多的安全性設定工作。
Business Connectivity Services 安全性工作將由三種不同角色人員負責:IT 專業人員;網站集合管理員或網站擁有者;以及開發人員。 以下範例說明各角色所負責的工作。
IT 專業人員負責管理中繼資料存放區及其內容的安全性。 他們同時也處理 Secure Store Service 中帳戶和群組管理以及認證對應。
網站集合管理員及網站擁有者將負責了解外部系統所使用的安全性類型,以及如何設定無程式碼式 (又稱宣告式) 外部內容類型與其通訊。 他們還負責規劃安全性並套用至外部清單和商務資料網頁組件。
BCS 解決方案開發人員將負責了解外部系統所使用的安全性類型,以及如何設定 BDC 模型與其通訊,還負責 Office 與 SharePoint 相關應用程式的開發與部署的安全性。
Business Connectivity Services 安全性
委派管理給 **Business Data Connectivity 服務
The first task that the farm administrator should perform after creating an instance of the Business Data Connectivity service is to delegate administration of the service to a different account, preferably one without farm administrator rights. This best practice follows the principle of least-privilege. The delegated account will be granted the necessary permissions to open the SharePoint Central Administration website and access to the Business Data Connectivity service service application. This should be the primary account that is used to administer the service. The only permission that can be granted or revoked is Full Control.
管理中繼資料存放區及其內容的權限
中繼資料存放區儲存了 Business Data Connectivity Service 應用程式所使用的外部內容類型、外部系統及 BDC 模型定義。 BCS 服務管理員的一項主要工作是管理中繼資料存放區及其所含之全部項目的安全性。 中繼資料存放區的項目取得權限的方式有二種。 第一種方式是可以直接將權限套用至中繼資料存放區、BDC 模型、外部系統或外部內容類型。 第二種方式是從較高層級項目繼承權限。 兩種方式都顯示於下圖中。
圖:中繼資料存放區權限
繼承 繼承有兩種方式。 首先,當任何專案新增至中繼資料存放區時,它會繼承中繼資料存放區本身的許可權設定。 其次,中繼資料存放區、外部系統和外部內容類型專案可以強制覆寫階層中這些專案下方專案的許可權。 當您選取 [ 將許可權傳播至全部... ],並在設定父專案的許可權時按一下 [ 確定 ] 時,就會發生這種情況。
直接應用 如果項目的權限不符合您的需求,則可以手動進行調整。
可直接套用四種權限:
編輯:這讓使用者或群組可編輯該項目。
執行:這讓使用者或群組可對中繼資料存放區的外部內容類型執行各項操作 (建立、讀取、更新、刪除、查詢)。 BCS 解決方案的所有使用者都必須擁有相關外部內容類型的執行權限。
可在用戶端選取:透過使外部清單的外部內容類型,以及 SharePoint 應用程式可在外部項目選擇器中取用,讓使用者或群組可加以使用
設定權限:這讓使用者或群組可設定項目的權限。 每個項目都至少必須有一個具備「設定權限」權限的使用者或群組。
管理中繼資料存放區權限的建議
Pick one account, probably your Business Connectivity Services administrator account, and grant it Set Permissions permissions at the Metadata Store level. This will satisfy the requirement that every item has one user or group that has Set Permissions permissions with a securely managed administrative account. If you don't explicitly set an account, the farm account is used by default. Do not select the Propagate permissions to all option. You don't have to select the Propagate permissions to all option because every item will inherit this configuration when it is added to the Metadata Store. This also prevents unnecessary accounts from gaining access to any external systems, BDC models, or external content types that they shouldn't have.
Use the direct application method, configure the permissions on the individual items, again not selecting the Propagate permissions to all option. This will allow you to maintain unique permissions configuration on each object.
在維護和作業計畫中,定期檢閱權限設定,從中繼資料存放區階層開始,一層一層往下,確保每個項目的權限設定正確。 若權限設定偏離正軌,則應手動重新設定。
You should only use the Propagate all permissions option when you must completely reset all the permissions on the parent item and all its children. Note that this is a destructive process and all custom permissions on child items are lost. This action can break BCS solutions for users or groups that lose their permissions.
對應 Secure Store Service 中的帳戶和群組**
除非您設定「Kerberos 限制委派」,否則 BCS 無法將 SharePoint Server 伺服器陣列外部的使用者認證傳遞至資料所在的外部系統。 Kerberos 限制委派可能不容易設定和維護。 您也可以改成使用 Secure Store Service。 使用 Secure Store 時,您可以將一群使用者對應到 BCS 可用來存取外部系統的一組認證。
有兩種方式可設定您的對應:
群組對應 在群組對應目標應用程式中,將 AD DS 使用者帳戶和安全性群組新增至 Secure Store,然後將它們對應至外部系統的一組認證。 這是管理 BCS 解決方案存取權的最簡單方法。
個別對應 在個別對應目標應用程式中,只可將單一 AD DS 使用者帳戶對應至外部系統的一組認證。 這基本上為 1:1 對應。 若只要管理很少數的帳戶,或者要追蹤對外部系統的存取和活動,一般會使用此方式。
管理 Business Data Connectivity Service 應用程式的權限
根據預設,系統會授與伺服器陣列中的每個 Web 應用程式透過伺服器陣列帳戶來存取 Business Data Connectivity Service 應用程式的權限。 若要限制只有某些 Web 應用程式能夠存取,只要移除伺服器陣列帳戶,然後新增所需 Web 應用程式的應用程式集區身分識別帳戶,即可做此變更。 此作法可控制哪些 Web 應用程式可以存取 Business Data Connectivity Service 應用程式。 如需詳細資訊,請參閱在 SharePoint Server 中設定已發佈之服務應用程式的權限。
如果您要將 Business Data Connectivity Service 應用程式發佈到其他伺服器陣列,則必須新增使用伺服器陣列的伺服器陣列識別碼。 如需詳細資訊,請參閱跨 SharePoint Server 伺服器陣列共用服務應用程式。