Visão geral das tarefas de segurança dos Serviços Corporativos de Conectividade no SharePoint Server

  • Artigo

APLICA-SE A:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O fornecimento de segurança para os dados com os quais você trabalha por meio do Microsoft Serviços Corporativos de Conectividade (BCS) é uma parte crítica de toda solução BCS. Ao contrário dos dados do SharePoint regulares, que são armazenados em um banco de dados de conteúdo do SharePoint, os dados que as soluções BCS tornam visíveis fora do SharePoint em sistemas externos. As soluções BCS fornecem o canal que o SharePoint usa para chegar aos dados externos. Além de trabalhar dentro dos controles de segurança habituais do SharePoint Server, tais como permissões de acesso ao site e permissões de lista, as soluções BCS têm de lidar com a comunicação adicional e camadas de segurança. Por exemplo, o sistema externo pode usar um mecanismo de autenticação ou provedor diferente e exigir credenciais diferentes das que os seus usuários usam para acessar o SharePoint Server. Como há mais camadas de segurança em uma solução BCS, há mais tarefas de configuração de segurança envolvidas.

As tarefas de segurança do Serviços Corporativos de Conectividade estão em três funções diferentes: os profissionais de IT, o administrador do conjunto de sites ou proprietário do site e desenvolvedor. Os seguintes exemplos descrevem pelo que cada função é responsável.

  • Os profissionais de IT têm a responsabilidade de gerenciar a segurança no Repositório de Metadados e o conteúdo deles. Eles também lidam com a administração de contas e grupos e o mapeamento de credenciais no Serviço de Repositório Seguro.

  • Os administradores do conjunto de sites ou os proprietários do site e desenvolvedor são responsáveis por compreender o tipo de segurança que o sistema externo usa e como configurar tipos de conteúdo externos, sem códigos ou declarativos para estabelecer comunicação com ele. Eles também são responsáveis pelo planejamento e aplicação de segurança a listas externas e Web Parts de dados corporativos.

  • Os desenvolvedores de solução BCS são responsáveis por entender o tipo de segurança que o sistema externo usa e como configurar o modelo BDC model para estabelecer comunicação com ele, e a segurança com relação ao desenvolvimento e implantação do aplicativos para Office e SharePoint.

Segurança dos Serviços Corporativos de Conectividade

Delegação de administração para o serviço **Business Data Connectivity

A primeira tarefa que o administrador de farm deve executar após a criação de uma instância do Serviço de Conectividade de Dados Corporativos é delegar a administração do serviço para uma conta diferente, preferivelmente uma sem direitos de administrador de farm. Essa prática recomendada segue o princípio de menos privilégios. A conta delegada receberá as permissões necessárias para abrir o site da Administração Central do SharePoint e acessar o aplicativo de serviço do Serviço de Conectividade de Dados Corporativos. Essa deve ser a conta primária que será utilizada para administrar o serviço. A única permissão que poderá ser concedida ou revogada é Controle Total .

Gerenciamento de permissões no Repositório de Metadados e o conteúdo dele

O Repositório de Metadados mantém o tipo de conteúdo externo, o sistema externo e as definições do modelo BDC que o aplicativo de Serviço Corporativo de Conectividade de Dados usa. Uma das principais funções do administrador dos Serviços BCS é gerenciar a segurança do Repositório de Metadados e todos os itens que ele contém. Os itens no Repositório de Metadados obtêm permissões em dois dias. Primeiro, você pode aplicar diretamente as permissões ao Repositório de Metadados, aos modelos BDC, aos sistemas externos ou aos tipos de conteúdo externo. A segunda maneira é as herdando de um item de nível superior. Ambos os métodos são exibidos na figura a seguir.

Figura: Permissões do Repositório de Metadados

Diagrama das permissões do repositório de metadados

  • Herança A herança ocorre de duas formas. Primeiro, quando qualquer item é adicionado ao Repositório de Metadados, ele herda a configuração de permissões do próprio Repositório de Metadados. Segundo, o Repositório de Metadados, o sistema externo e os itens do tipo de conteúdo externo podem forçadamente substituir as permissões dos itens que estejam abaixo deles na hierarquia. Isso acontece quando você seleciona as permissões Propagar para todos... e clique em OK quando estiver definindo permissões no item pai.

  • Aplicativo Direto Se as permissões de um item não atenderem às suas necessidades, ajuste-as manualmente.

Você pode aplicar diretamente quatro permissões:

  • Editar Isso permite que o usuário ou grupo edite o item

  • Executar Permite que o usuário ou grupo execute as operações (criar, ler, atualizar, excluir, consultar) dos tipos de conteúdo externos no Repositório de Metadados. Todos os usuários de uma solução BCS devem executar a permissão no tipo de conteúdo externo associado.

  • Selecionável em clientes Isso permite que o usuário ou grupo use o tipo de conteúdo externo para listas externas e o aplicativos para SharePoint o tornando disponível no seletor de item externo

  • Definir permissões Isso permite que o usuário ou grupo defina as permissões no item. Todo item deve ter pelo menos um usuário ou grupo que possua a permissão Definir permissões.

Recomendações para gerenciar as permissões do Repositório de Metadados

  1. Escolha uma conta, provavelmente a conta do administrador do seu Serviços Corporativos de Conectividade e conceda a ela as permissões Definir permissões no nível do Repositório de Metadados. Isso atenderá aos requisitos para que todo item possua um usuário ou grupo que tenha a permissão Definir Permissões com uma conta administrativa segura. Se você não definir a conta explicitamente, a conta do farm será usada por padrão. Não selecione a opção Propagar permissões para todos. Não é necessário selecionar a opção Propagar permissões para todos, pois todo item herdará essa configuração quando for adicionado ao Repositório de Metadados. Isso também evitará que contas desnecessárias obtenham acesso a quaisquer sistemas externos, modelos BDC ou tipos de conteúdo externos que eles devem possuir.

  2. Use o método de aplicativo direto, configure as permissões nos itens individuais, novamente não selecione a opção Propagar permissões para todos. Isso permitirá que você mantenha configurações de permissões exclusivas em cada objeto.

  3. Periodicamente, como parte dos planejamentos de manutenção e operação, analise as configurações de permissão iniciando pelo nível de Repositório de Metadados e descendo pela hierarquia para garantir que cada item possua a configuração de permissões correta. Se a configuração de permissões tiverem sido desviadas do que deveriam ser, você deve reconfigurá-las manualmente.

  4. Você deve usar a opção Propagar todas as permissões somente quando for necessário redefinir completamente todas as permissões no item pai e em todos os filhos dele. Observe que isso é um processo destrutivo e todas as permissões nos itens filhos serão perdidas. Essa ação pode romper as solução BCS para usuários ou grupos que perderam suas permissões.

Mapeando contas e grupos no Serviço de Repositório Seguro**

O BCS não pode passar as credenciais de um usuário fora do farm do SharePoint Server para o sistema externo no qual os dados residem, a menos que você configure a Delegação Restrita de Kerberos. Pode ser um desafio configurar e manter a Delegação Restrita de Kerberos. Como alternativa, use o Serviço de Repositório Seguro. Com o Repositório Seguro, você pode mapear um grupo de usuários para um conjunto de credenciais, as quais o BCS pode usar para acessar o sistema externo.

Existem duas formas de configurar seus mapeamentos:

  • Mapeamento de Grupos No aplicativo de destino de mapeamento de grupos, você adiciona as contas de usuários do AD DS e os grupos de segurança ao Repositório Seguro, em seguida, os mapeia para um conjunto único de credenciais para o sistema externo. Essa é a maneira mais fácil de gerenciar o acesso a uma solução BCS.

  • Mapeamento Individual No aplicativo de destino de mapeamento individual somente é possível mapear uma única conta de usuário do AD DS para um único conjunto de credenciais para o sistema externo. Basicamente, esse é um mapeamento 1:1. Você geralmente fará isso se tiver poucas contas para gerenciar ou se quiser rastrear o acesso e as atividades no sistema externo.

Gerenciar permissões no Aplicativo de Serviço de Conectividade de Dados Corporativos

Por padrão, todos os aplicativos da Web no seu farm receberam o acesso ao Aplicativo de Serviço de Conectividade de Dados Corporativos por meio da conta de farm dos servidores. Se você quiser restringir o acesso a apenas determinados aplicativos da Web, você pode mudar isso removendo a conta do farm do servidor e, em seguida, adicionando a conta de identidade do pool de aplicativo ao aplicativo da Web desejado. Ao fazer isso, você controlar quais aplicativos da Web terão acesso ao Aplicativo de Serviço de Conectividade de Dados Corporativos. Para saber mais, veja Definir permissões para aplicativos de serviço publicados no SharePoint Server.

Se você estiver publicando o Aplicativo de Serviço de Conectividade de Dados Corporativos em outros farms, você tem que adicionar as IDs de farm de consumo. Para saber mais, veja Compartilhar aplicativos de serviço entre farms no SharePoint Server.

Confira também

Conceitos

Visão geral dos serviços corporativos de conectividade no SharePoint Server