Практическое руководство. Подключение к внешней системе с использованием службы безопасного хранения

  • Статья

Дата последнего изменения: 24 сентября 2010 г.

Применимо к: SharePoint Server 2010

В этой статье
Типы конечных приложений
Сведения учетной записи для входа пользователей
Сведения об учетной записи для конечного приложения

Решения Microsoft Business Connectivity Services (BCS) очень часто приходится выполняться проверку подлинности во внешней системе, в которой текущий пользователь зарегистрирован под другим именем или под другой учетной записью. В таких случаях для хранения и сопоставления учетных данных пользователя, необходимых внешней системе, можно использовать Secure Store. Secure Store также можно настроить таким образом, чтобы несколько пользователей могли получать доступ к внешней системе, используя один набор учетных данных.

Например, если пользователь по имени Федор использует одну учетную запись на сервере с SharePoint Server, а другую — в CRM-приложении, механизм Secure Store позволяет ему хранить учетные данные для CRM в базе данных Secure Store на сервере SharePoint Server. В результате, когда пользователю требуется получить данные из CRM-приложения в решении Business Connectivity Services, Business Connectivity Services выполняет поиск в базе данных Secure Store на сервере и предоставляет CRM-приложению необходимые учетные данные. Таким образом, Федор автоматически входит в CRM-приложение, не вводя отдельно свои учетные данные.

Secure Store также полезно использовать для устранения проблемы "двойного прыжка" при подключении к внешней системе. Эта проблема возникает в том случае, если SharePoint Server и внешняя система, к которой выполняется подключение, установлены на разных компьютерах. В подобных случаях можно либо выбрать в качестве механизма проверки подлинности механизм RevertToSelf, при котором сетевой учетной записи для службы Business Connectivity Services предоставляются разрешения во внешней системе, либо воспользоваться Secure Store и сопоставить учетной записи пользователя соответствующие учетные данные.

Чтобы обеспечить аналогичную функциональность в клиентских приложениях Microsoft Office, Business Connectivity Services предоставляет поставщик Secure Store, использующий хранилище учетных данных Windows.

В среде Secure Store внешние системы рассматриваются как конечные приложения. Для каждой внешней системы, к которой подключается решение Business Connectivity Services, необходимо настроить в Secure Store соответствующее конечное приложение с помощью центра администрирования SharePoint Server.

Предупреждающая заметкаВнимание!

Также можно создать собственный поставщик Secure Store для хранения и сопоставления учетных данных пользователей, необходимых внешней системе, реализовав интерфейс ISecureStoreProvider, доступный в Microsoft SharePoint 2010. Обратите внимание, что Microsoft SharePoint Designer 2010 не поддерживает создание внешних типов контента, в которых используется пользовательская реализация поставщика Secure Store.

Типы конечных приложений

Существует несколько типов конечных приложений. Их можно разделить на две обширные категории: индивидуальные конечные приложения и групповые конечные приложения. Тип конечных приложений соответствует типу учетной записи, используемой для сопоставления учетных данных пользователя. Если каждому пользователю соответствует учетная запись в конечном приложении, выберите индивидуальный тип. Если в конечном приложении используется одна учетная запись для всех пользователей, выберите групповой тип. Остальные типы конечных приложений основаны на этих двух основных типах. В следующей таблице представлены описания всех доступных типов конечных приложений Secure Store. В таблице 1 описаны типы конечных приложений.

Таблица 1. Типы конечных приложений

Тип конечного приложения

Описание

Индивидуальные конечные приложения

Individual

Используется для сопоставления каждому пользователю уникального набора учетных данных во внешней системе.

IndividualWithTicketing

Используется для сопоставления каждому пользователю уникального набора учетных данных во внешней системе и может выдавать билеты, которые позднее можно восстановить, чтобы получить учетные данные от другой учетной записи, как правило от учетной записи службы. Учетная запись, которая восстанавливает билет, должна иметь разрешения для восстановления билетов в конечном приложении. Дополнительные сведения о получении и восстановлении билетов см. в описании методов IssueTicket() и GetCredentialsUsingTicket(String, String) класса SecureStoreProvider.

RestrictedIndividual

Используется для сопоставления каждому пользователю уникального набора учетных данных во внешней системе с ограниченным доступом к вызывающему контексту. Для получения этих учетных данных должен быть вызван метод GetRestrictedCredentials(String). Поставщик Secure Store разрешает вызывать метод GetRestrictedCredentials только из полностью доверенного кода.

Групповые конечные приложения

Group

Используется для сопоставления всем участникам одной или нескольких групп единого набора учетных данных во внешней системе.

GroupWithTicketing

Используется для сопоставления всем участникам одной или нескольких групп единого набора учетных данных во внешней системе и может выдавать билеты, которые позднее можно восстановить, чтобы получить учетные данные от другой учетной записи, как правило от учетной записи службы. Учетная запись, которая восстанавливает билет, должна иметь разрешения для восстановления билетов в конечном приложении. Дополнительные сведения о получении и восстановлении билетов см. в описании методов IssueTicket() и GetCredentialsUsingTicket(String, String) класса SecureStoreProvider.

RestrictedGroup

Используется для сопоставления всем участникам одной или нескольких групп единого набора учетных данных во внешней системе с ограниченным доступом к вызывающему контексту. Для получения этих учетных данных должен быть вызван метод GetRestrictedCredentials(String). Поставщик Secure Store разрешает вызывать метод GetRestrictedCredentials только из полностью доверенного кода.

Сведения учетной записи для входа пользователей

Как правило, требуются только имя пользователя и пароль. В средах с повышенной безопасностью могут использоваться дополнительные средства идентификации пользователей. Некоторые системы также требуют от пользователей дополнительные сведения для идентификации приложения. Например, для доступа к Oracle пользователи должны ввести сведения, указанные в таблице 2.

Таблица 2. Сведения, которые должны ввести пользователи для доступа к Oracle

В этом поле

Введите следующие данные

Поле 1

Имя пользователя Oracle

Поле 2

Пароль пользователя Oracle (выберите для параметра "Маска" значение Да)

Поле 3

Имя базы данных Oracle

Для доступа к CRM-приложению пользователи должны ввести сведения, указанные в таблице 3.

Таблица 3. Сведения, которые должны ввести пользователи для доступа к CRM-приложению

В этом поле

Введите следующие данные

Поле 1

Имя пользователя в CRM-приложении

Поле 2

Пароль для CRM-приложения (выберите для параметра "Маска" значение Да)

Поле 3

Системный номер CRM

Поле 4

Номер клиента CRM

Поле 5

Язык

Сведения об учетной записи для конечного приложения

Если для подключения к корпоративному приложению используется учетная запись группы, необходимо предоставить соответствующие учетные данные. После добавления конечного приложения администратор Secure Store или член группы администраторов конечного приложения указывает имя учетной записи и пароль, необходимые для подключения к внешней системе, через интерфейс администрирования службы Secure Store в центре администрирования SharePoint.

Администратор, который вводит сведения об учетной записи для внешней системы в службе Secure Store на сайте центра администрирования SharePoint, также должен знать пароль для учетной записи группы.

Сведения о создании конечных приложений и настройке учетных данных в Secure Store см. в статье, посвященной настройке службы Secure Store (SharePoint Server 2010).

См. также

Задачи

Использование учетных данных из службы безопасного хранения для подключения к внешней системе