Использование учетных данных из службы безопасного хранения для подключения к внешней системе

  • Статья

Дата последнего изменения: 16 июля 2010 г.

Применимо к: SharePoint Server 2010

При создании внешнего типа контента необходимо задать режим проверки подлинности, который пользователи будут использовать для подключения к внешнему источнику данных, на котором основан внешний тип контента. В разделе Создание внешних типов контента использовалась проверка подлинности Pass-Through, которую проще всего настроить. При использовании этой проверки подлинности проверяется подлинность удостоверения конечного пользователя. Однако, как было показано в разделе Практическое руководство. Подключение к внешней системе с использованием службы безопасного хранения, может понадобиться использование учетных данных из Secure Store для проверки подлинности внешнего источника данных. В этом разделе описывается порядок использования учетных данных из Secure Store для подключения к внешнему источнику данных при создании внешнего типа контента в Microsoft SharePoint Designer.

При использовании Secure Store с Microsoft Business Connectivity Services (BCS) доступны режимы проверки подлинности трех типов:

  1. Учетные данные Windows (подключение с олицетворенным удостоверением Windows): Microsoft SharePoint Server 2010 проверяет подлинность с помощью учетных данных Windows из заданного по умолчанию Secure Store. Пример: внутренний сервер предоставляет доступ только учетной записи группы Windows с именем domain\stusers, и все члены этой группы могут подключиться к серверу с помощью учетных данных domain\stusers.

  2. Учетные данные (подключение с олицетворенным настраиваемым удостоверением): в режиме учетных данных для внешних систем типа базы данных SharePoint Server 2010 проверяет подлинность с помощью учетных данных базы данных из заданного по умолчанию Secure Store. SharePoint Server 2010 добавляет учетные данные базы данных к строке подключения и передает их на сервер базы данных. Пример: база данных предоставляет доступ только учетной записи с именем stdbuser (которая не является учетной записью Windows), и все пользователи должны использовать учетные данные stdbuser при подключении к этому серверу.

    В режиме учетных данных для веб-служб и конечных точек WCF SharePoint Server 2010 проверяет подлинность веб-служб и конечных точек WCF с помощью учетных данных, отличных от учетных данных Windows, из заданного по умолчанию Secure Store. Эти учетные данные используются для обычной проверки подлинности или дайджест-проверки, в зависимости от конфигурации сервера веб-служб. Так как обычная или дайджест-проверка подлинности не защищает учетные данные должным образом, следует использовать протоколы SSL или IPSec (либо оба), чтобы обеспечить безопасность связи между сервером веб-служб и сервером, на котором выполняется подключения к бизнес-данным (BDC).

Необходимые компоненты

  • Целевое приложение для базы данных Northwind в Secure Store.

  • Учетная запись группы Windows с именем stusers.

Создание нового внешнего типа контента с помощью учетных данных из Secure Store

  • Выполните действия, описанные в статье Инструкции. Создание внешнего типа контента на основе таблицы SQL Server, чтобы создать внешний тип контента "клиент" из базы данных Northwind, за исключением добавления подключения к внешнему источнику данных, и выполните следующие дополнительные действия:

    1. Выберите существующее подключение к базе данных Northwind в обозревателе источника данных и нажмите кнопку Удалить подключение. Старое подключение будет удалено.

    2. Щелкните Добавить подключение. Введите имя Microsoft SQL Server и имя базы данных.

    3. Затем вместо принятия варианта по умолчанию Подключить с удостоверением пользователя выберите Подключить с олицетворенным удостоверением Windows и введите целевое приложение для базы данных Northwind в поле Идентификатор приложения безопасного хранения, как показано ниже. Нажмите кнопку ОК. Отображается запрос на предоставление учетных данных группы domain\stusers. Business Connectivity Services сохраняет эти учетные данные в диспетчере учетных данных Windows на компьютере клиента и в будущем при необходимости будет искать их там, не выводя этот запрос повторно.

      Свойства подключения к SQL Server

    4. Выполните остальные действия, описанные в статье Инструкции. Создание внешнего типа контента на основе таблицы SQL Server, чтобы создать внешний тип контента "клиент".

Изменение существующего нового внешнего типа контента для использования учетных данных из области безопасного хранения

  1. Запустите SharePoint Designer и затем откройте сайт SharePoint, который содержит внешний тип контента.

  2. В SharePoint Designer щелкните Внешние типы контента в расположенной слева панели навигации. Отобразятся все внешние типы контента, определенные в хранилище метаданных BDC приложения-службы данного сайта. Выберите внешний тип контента "клиент".

  3. На ленте щелкните Изменить свойства подключения. Откроется диалоговое окно Свойства подключения.

  4. Выберите Олицетворение удостоверения Windows из раскрывающегося списка режимов проверки подлинности и введите идентификатор целевого приложения для базы данных Northwind в поле Идентификатор приложения безопасного хранения. Эти настройки применяются только на сервере. Чтобы использовать Secure Store в клиенте, щелкните вкладку Клиент в диалоговом окне Свойства подключения. Снова выберите Учетные данные Windows из раскрывающегося списка режимов проверки подлинности и введите целевое приложение для базы данных Northwind в поле Идентификатор приложения безопасного хранения. Обратите внимание, что необходимо сделать такие же изменения на вкладке Поиск для поиска внешних данных.

  5. Нажмите кнопку OK, чтобы сохранить изменения. Отображается запрос на предоставление учетных данных группы domain\stusers. Business Connectivity Services сохраняет эти учетные данные в диспетчере учетных данных Windows на компьютере клиента и в будущем при необходимости будет искать их там, не выводя этот запрос повторно.

  6. Обратите внимание, что если внешний источник данных использует учетные данные, отличные от учетных данных Windows, из раскрывающегося списка режимов проверки подлинности следует выбрать вариант RdbCredentials (для баз данных) и Credentials (для WCF и веб-служб). Остальные действия такие же.