Планирование безопасности для Duet Enterprise
Применимо к: Duet Enterprise for Microsoft SharePoint and SAP
Последнее изменение раздела: 2016-11-29
В этой статье описывается планирование безопасного развертывания и операций Duet Enterprise для Microsoft SharePoint и SAP. Здесь также представлены сведения об архитектуре безопасности Duet Enterprise, описаны стратегии конфигурации безопасности для распространенных сценариев Duet Enterprise, порядок настройки разрешений в Duet Enterprise на основе ролей SAP, способы реализации безопасности для различных элементов среды Duet Enterprise, а также роли и учетные записи, необходимые для безопасного управления Duet Enterprise.
Важно!
В этой статье описывается планирование параметров безопасности для Duet Enterprise в ферме серверов Microsoft SharePoint Server. Связанное обсуждение безопасности Duet Enterprise в среде SAP см. в руководстве по безопасности SAP Duet Enterprise на портале поддержки SAP (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=205294&clcid=0x419) (Возможно, на английском языке). В левой области на портале поддержки SAP последовательно разверните узел SAP Business Suite Applications, Duet Enterprise, Duet Enterprise 1.0 и загрузите нужное руководство.
Безопасность Duet Enterprise в SharePoint Server построена на возможностях безопасности SharePoint Server 2010. В добавление к этой статье рекомендуется ознакомиться с описанием планирования и реализации общей безопасности SharePoint Server. Дополнительные сведения см. в центре ресурсов по безопасности и проверке подлинности (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=196792&clcid=0x419) (Возможно, на английском языке). Большая часть обмена данными между SharePoint Server и системой SAP, в том числе проверка подлинности и авторизация Duet Enterprise, реализована с использованием службы Microsoft Business Connectivity Services. Поэтому также рекомендуется ознакомиться с описанием службы Microsoft Business Connectivity Services. Дополнительные сведения о безопасности в службе Microsoft Business Connectivity Services и связанных с ней областях см. в центре ресурсов по Business Connectivity Services (Возможно, на английском языке)(https://go.microsoft.com/fwlink/?linkid=190217&clcid=0x419) (Возможно, на английском языке).
Содержание:
Архитектура безопасности Duet Enterprise
Настройка безопасности для распространенных сценариев проверки подлинности Duet Enterprise
Использование ролей SAP для предоставления пользователям разрешений на доступ к объектам SharePoint
Рекомендации по безопасности SharePoint Server в Duet Enterprise
Архитектура безопасности Duet Enterprise
В Duet Enterprise бизнес-процессы и данные, хранимые в системе SAP, представляются на веб-сайтах SharePoint Server 2010 и в клиентах Microsoft Office 2010, таких как Microsoft Outlook и SharePoint Workspace. Однако учетные записи пользователей, используемые для доступа к клиентам SharePoint Server 2010 и Microsoft Office 2010, не могут использоваться для доступа к данным в SAP напрямую. Архитектура безопасности Duet Enterprise решает эту проблему, настраивая соединитель WCF Microsoft Business Connectivity Services, включенный в SharePoint Server 2010. Соединитель WCF взаимодействует со службой маркеров безопасности в SharePoint Server 2010 и с SAP NetWeaver в системе SAP. Целью этой реализации является сопоставление удостоверений пользователей в SharePoint Server 2010 с учетными записями пользователей в системе SAP, чтобы выполнивший вход на веб-сайт SharePoint Server 2010 пользователь мог получить доступ к внешним данным, хранимым в системе SAP, без повторного входа в систему SAP.
На следующем рисунке показано высокоуровневое представление работы проверки подлинности в Duet Enterprise. Показаны действия, происходящие при обращении пользователя SharePoint к данным SAP из сайта Duet Enterprise в SharePoint Server.
.jpg "Проверка подлинности Duet Enterprise")
Удостоверение пользователя SharePoint (маркер, связанный с пользователем во время входа) отправляется соединителю WCF Microsoft Business Connectivity Services.
Соединитель отправляет удостоверение пользователя SharePoint службе маркеров безопасности SharePoint.
Служба маркеров безопасности SharePoint проверяет подлинность пользователя и изменяет маркер, чтобы идентифицировать пользователя SharePoint для системы SAP. Затем служба маркеров безопасности SharePoint возвращает маркер соединителю WCF.
Измененный маркер отправляется в SAP NetWeaver в пакете запроса SOAP.
Поскольку во время развертывания между SAP NetWeaver и службой маркеров безопасности создается доверенное отношение, SAP NetWeaver может использовать маркер для поиска учетной записи пользователя SAP, сопоставленной с идентифицированным в маркере пользователем.
Учетная запись пользователя SAP, сопоставленная с определенным в маркере пользователем, возвращается в SAP NetWeaver.
SAP NetWeaver использует учетную запись пользователя SAP для запроса доступа к данным в системе SAP. Если учетная запись пользователя авторизована для доступа к этим данным, запрошенные сведения отправляются в SAP NetWeaver.
SAP NetWeaver отправляет запрошенные данные соединителю WCF Microsoft Business Connectivity Services в качестве ответа SOAP.
Соединитель WCF Microsoft Business Connectivity Services передает данные пользователю SharePoint.
Примечание
Авторизация в Duet Enterprise может быть основана на роли SAP. Дополнительные сведения см. в разделе Использование ролей SAP для предоставления пользователям разрешений на доступ к объектам SharePoint.
Учетные записи пользователей в системе SAP сначала сопоставляются с учетными записями в системе SharePoint администратором SAP. Дополнительные сведения об этом процессе см. в руководстве по безопасности Duet Enterprise SAP.
Совет
-
Дополнительные сведения о проверке подлинности на основе утверждений в SharePoint Server 2010 см. в статье Планирование способов проверки подлинности (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=134742&clcid=0x419).
-
Дополнительные сведения о службе профилей пользователей SharePoint Server 2010 см. в статье Обзор службы профилей пользователей (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205678&clcid=0x419).
Распространенные сценарии проверки подлинности Duet Enterprise
В этом разделе описываются два наиболее распространенных сценария Duet Enterprise и рекомендуемые конфигурации проверки подлинности для каждого из них. Эти сценарии отличаются следующими ключевыми факторами:
Будет ли реализовано одно или несколько основанных на Duet Enterprise решений.
Требуется ли протокол SSL для шифрования каналов передачи данных.
Как было описано в предыдущем разделе, безопасность Duet Enterprise охватывает роли и учетные записи в системе SAP и в системе SharePoint Server 2010. Эта интегрированная архитектура проверки подлинности реализована с использованием проверки подлинности на основе утверждений вместе с проверкой подлинности Windows, и эти способы проверки подлинности требуются для обоих сценариев, описанных в этом разделе.
Важно!
Проверка подлинности на основе форм не поддерживается в этой версии Duet Enterprise.
Совет
Большинство описанных в этих сценариях действий по настройке выполняется при создании веб-приложений, которые будут содержать решения Duet Enterprise. Обзор действий по настройке веб-приложения см. в статье Создание веб-приложения (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202008&clcid=0x419).
Сценарий: корпоративная интрасеть, использующая поставщика проверки подлинности Microsoft Windows
Это наиболее типичный сценарий проверки подлинности Duet Enterprise. Например, организация может хранить данные о сотрудниках, такие как сведения о табельном учете, зарплате и премиях, в удаленной системе SAP. Все пользователи получают доступ к этим данным через корпоративный портал интрасети Duet Enterprise. Все сотрудники получают доступ к порталу с помощью одного поставщика доменных служб Active Directory.
Этот сценарий может быть настроен следующим образом:
Число веб-приложений |
Одно |
Зоны |
Одна зона: интрасеть |
Проверка подлинности |
Проверка подлинности на основе утверждений |
Тип проверки подлинности на основе утверждений |
Проверка подлинности Windows |
Используется ли протокол SSL? |
Да |
Сценарий: два решения Duet Enterprise в интрасети
На большом предприятии две рабочие группы могут совместно использовать одну систему SAP, например для взаимодействия с базой данных сведений о продуктах. Каждая рабочая группа будет взаимодействовать с данными через собственное решение Duet Enterprise. На этом предприятии данные в системе SAP не являются конфиденциальными. Поэтому в этом сценарии для повышения производительности сайтов Duet Enterprise протокол SSL не используется.
Этот сценарий может быть настроен следующим образом:
Число веб-приложений |
Два |
Зоны |
Одна зона на каждое веб-приложение: интрасеть |
Проверка подлинности |
Проверка подлинности на основе утверждений |
Тип проверки подлинности на основе утверждений |
Проверка подлинности Windows в обоих веб-приложениях |
Используется ли протокол SSL? |
Нет |
Использование ролей SAP для доступа к объектам SharePoint
Задачи, выполняемые пользователем на предприятии, обычно связаны с ролью этого пользователя. Поэтому фактором, определяющим уровень разрешений пользователя для объекта, часто является сама роль этого пользователя. По этой причине роли являются удобным способом назначения разрешений для таких объектов, как элементы списка, веб-сайты и документы.
В SAP NetWeaver пользователям назначается одна или несколько ролей, например "Торговый представитель", "Руководитель проекта", "Руководитель" или "Специалист по управлению персоналом". Роли SAP могут быть широкими, например "Все менеджеры по продажам", или узкими, например "Менеджеры по продажам в восточном регионе". В Duet Enterprise роли SAP могут использоваться для доступа к объектам в SharePoint Server. Для любого объекта, к которому могут применяться разрешения в SharePoint Server, можно назначить разрешения с помощью ролей SAP. Это относится как к непосредственно связанным с Duet Enterprise объектам, таким как отчеты, внешние списки и действия с внешними типами контента, так и к любым стандартным и защищаемым объектам SharePoint Server, таким как веб-сайты или библиотеки документов. После предоставления роли разрешений для объекта любой пользователь, которому назначена эта роль, будет иметь разрешения для использования этого объекта.
Роли пользователям могут назначаться только в SAP NetWeaver. Duet Enterprise использует функцию задания таймера синхронизации профилей Duet Enterprise для переноса назначений ролей пользователей из системы SAP в SharePoint Server, а поставщик утверждений Duet Enterprise используется для управления разрешениями на основе ролей для защищаемых объектов в SharePoint Server.
Во время синхронизации ролей набор пользователей SAP импортируется в хранилище профилей пользователей SharePoint с помощью службы Microsoft Business Connectivity Services. Все назначенные для пользователя SAP роли SAP перечисляются в хранилище профилей пользователей. Функция синхронизации ролей подключается из SharePoint Server к внешней системе на стороне SAP с именем "SAPUsersService". Эта внешняя система отправляет сопоставления "пользователь-роль" в хранилище профилей пользователей SharePoint. Синхронизация ролей обычно выполняется в виде задания после развертывания с определенными интервалами с помощью задания таймера синхронизации профилей Duet Enterprise. Можно задать частоту синхронизации ролей и количество пользователей, импортируемых за один раз.
После завершения синхронизации ролей пользователи могут назначать разрешения ролей SAP для объектов в SharePoint Server. Роли назначаются для объектов с помощью тех же интерфейсов выбора людей, из которых выбираются группы и отдельные пользователи. Как показано на рисунке, поставщик утверждений Duet Enterprise, использующий Служба подключения к бизнес-данным, обменивается данными с системой SAP (1 и 2) для сбора и внесения в список всех ролей SAP, которые пользователь может выбрать в средстве выбора людей (3). После этого пользователь может назначить эти роли любому объекту, для которого могут быть заданы разрешения (4).
.gif "Использование ролей Duet Enterprise в средстве выбора людей")
Когда роли SAP предоставлены разрешения для объекта, такого как элемент списка или документ, пользователь может авторизоваться для использования этого объекта на основе своей роли. Как показано на рисунке, при первом входе на сайт SharePoint (1) пользователю выдается маркер утверждений SAML (2), в который поставщик утверждений Duet Enterprise после обмена данными с хранилищем профилей пользователей добавляет роли SAP этого пользователя (3 и 4). После этого SharePoint Server может предоставить пользователю доступ к объекту, если одна из ролей пользователя имеет разрешения для этого объекта (5 и 6).
.gif "Разрешения на основе ролей в Duet Enterprise")
Примечание
При изменении роли пользователя в системе SAP может пройти некоторое время, прежде чем это изменение отразится в системе SharePoint. В результате пользователи временно не смогут проходить авторизацию на основании своих новых ролей. Процесс распространения изменения ролей можно ускорить с помощью команды iisreset на каждом интерфейсном сервере в ферме серверов SharePoint. Она очищает кэш данных о ролях и наполняет его обновленными назначениями ролей.
Рекомендации по безопасности SharePoint Server в Duet Enterprise
Duet Enterprise разворачивается в фермах SharePoint Server и в системах SAP NetWeaver. В этом разделе приводятся универсальные рекомендации по настройке общих служб, веб-приложений, клиентских приложений с расширенными возможностями, каналов передачи данных и других элементов в ферме SharePoint для улучшения безопасности в Duet Enterprise.
Служба маркеров безопасности
Служба маркеров безопасности выполняет проверку подлинности пользователей SharePoint и изменяет их маркеры для идентификации в системе SAP (см. раздел Архитектура безопасности Duet Enterprise). Служба также добавляет роли пользователей в маркеры для поддержки авторизации на основе ролей (см. раздел Использование ролей SAP для предоставления пользователям разрешений на доступ к объектам SharePoint).
По соображениям повышения производительности маркеры службы маркеров безопасности кэшируются, а кэш очищается каждые 24 часа. Если маркер удален из кэша, он восстанавливается службой маркеров безопасности в следующий раз, когда он понадобится. Кэш службы маркеров безопасности очищается только один раз в сутки, чтобы предотвратить слишком частое создание маркеров службой, которое может негативно сказаться на производительности системы.
Кэширование маркеров влияет на частоту обновления сведений о роли в маркерах, поскольку сведения о роли добавляются только при создании или восстановлении маркера. Поэтому может пройти до 24 часов после изменения ролей SAP пользователя в системе SAP, прежде чем эти сведения будут отражены в маркере, представляющем пользователя в SharePoint Server. Во время этой задержки пользователю может не предоставляться доступ к некоторым данным, документам или сайтам, разрешения для которых он должен иметь на основе своей роли.
Задачей администраторов и архитекторов решения Duet Enterprise является определение наилучшего компромисса между поддержанием хорошей производительности Duet Enterprise и предоставлением необходимого доступа к объектам посредством сохранения актуальности сопоставлений "пользователь-роль". В общем случае рекомендуется не изменять 24-часовой период кэширования и уведомить пользователей, что распространение изменений ролей в системе SharePoint может занять до двух дней. Однако, если поддержка актуальности сведений о ролях очень важна для решения, интервал кэширования ролей можно настроить с помощью Windows PowerShell.
Служба Secure Store
Служба Secure Store надежно сохраняет сопоставления учетных данных SharePoint с учетными данными, которые требуются внешними системами. В Duet Enterprise служба Secure Store используется только во время развертывания, когда модели Microsoft Business Connectivity Services, представляющие объекты SAP, импортируются в SharePoint Server с помощью служебной программы DuetConfig.exe.
Перед импортом моделей подключения к бизнес-данным администратор службы Secure Store должен инициализировать службу, создав ключ шифрования. Дополнительные сведения о создании ключа шифрования см. в разделе "Создание нового ключа шифрования" статьи Настройка службы безопасного хранения (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205440&clcid=0x419).
Служба подключения к бизнес-данным
В Duet Enterprise службы Microsoft Business Connectivity Services обеспечивают мост для обмена данными между Microsoft SharePoint Server и средой SAP. Это позволяет пользователям подключаться и взаимодействовать с объектами SAP, такими как контракты на продажу, задачи и клиенты. Объекты моделируются в хранилище метаданных Microsoft Business Connectivity Services, а разрешения в Microsoft Business Connectivity Services связывают отдельные учетные записи, учетные записи групп или утверждения с одним или несколькими уровнями разрешений для объекта в хранилище метаданных. Дополнительные сведения о задании разрешений для моделей, внешних систем, внешних типов контента, методов и экземпляров методов в хранилище метаданных см. в статье Обзор системы безопасности служб Business Connectivity Services (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205679&clcid=0x419).
Как описано в разделе Использование ролей SAP для предоставления пользователям разрешений на доступ к объектам SharePoint, Duet Enterprise предоставляет дополнительные функции работы с разрешениями. Роли SAP могут использоваться для предоставления разрешений на доступ к объектам в SharePoint Server, и любой объект, к которому могут применяться разрешения в SharePoint Server, может быть защищен с помощью ролей SAP.
Роли SAP можно использовать для реализации безопасности объектов SAP, которые моделируются в Microsoft Business Connectivity Services. При этом можно гарантировать, что пользователи, у которых нет требуемых ролей, не получат доступ к объектам, не соответствующим их обязанностям. Например, все внешние типы контента, которые определяют клиентов, могут быть настроены как доступные и действующие только для роли SAP_SALES_REP.
Предупреждение
Некоторые включенные в Duet Enterprise модели имеют особые требования к разрешениям и не могут быть защищены с помощью ролей. Например, в модели SAPRoles, используемой в синхронизации ролей Duet Enterprise, специальной группе "Все прошедшие проверку пользователи" должны быть предоставлены разрешения на выполнение для экземпляров методов внешних типов контента в модели SAPRoles.
Служба профилей пользователей
Пользователи Duet Enterprise и их роли синхронизируются с системой SAP и сохраняются в хранилище профилей службы профилей пользователей SharePoint Server. Процесс синхронизации сопоставлений пользователей и ролей между Duet Enterprise и системой SAP запускается в служебной программе DuetConfig. Перед выполнением программы DuetConfig для запуска этой задачи администратору фермы, выполняющему DuetConfig, должны быть предоставлены разрешения полного доступа для службы профилей пользователей.
В некоторых развертываниях Duet Enterprise централизованная служба профилей пользователей в одной ферме SharePoint будет обеспечивать синхронизацию ролей для нескольких других ферм SharePoint, размещающих решения Duet Enterprise. В таких "федеративных" конфигурациях служба маркеров безопасности будет присутствовать в каждой ферме, использующей централизованную службу профилей пользователей. Чтобы синхронизация ролей работала из фермы, использующей централизованную службу профилей пользователей, учетной записи пула приложений службы маркеров безопасности этой фермы должны быть предоставлены разрешения на чтение для централизованной службы профилей пользователей.
Клиентские приложения Office
Для проверки подлинности Duet Enterprise из клиентских приложений Office требуются взаимодействия со службой маркеров безопасности, выполняемой в SharePoint Server. Поэтому обмен данными между клиентскими приложениями Office и SharePoint Server необходим даже при подключении к внешней системе SAP из клиентских приложений Office. Поскольку Duet Enterprise использует проверку подлинности Windows, обмен данными между клиентскими приложениями Office и SharePoint Server может быть безопасно реализован с помощью адресов http://. Адреса https:// не требуются.
Для поддержки автономных функций SharePoint Server также необходим обмен данными между клиентскими приложениями Office и системой SAP. (Эти подключения определяются в моделях, предоставляющих доступ к внешним данным, доступным в системе SAP.) Чтобы гарантировать безопасность в отношении доступа к системе SAP, обмен данными между клиентами Office и системой SAP должен быть реализован с помощью протокола SSL и адресов https://.
Маршрутизация отчетов
Функция отчетов Duet Enterprise сочетает возможности создания отчетов SAP с возможностями управления документами SharePoint Server. Она позволяет пользователям запрашивать отчеты SAP из сайта SharePoint Server. Эти отчеты создаются в системе SAP и направляются в соответствующие библиотеки документов SharePoint Server, где сохраняются, чтобы авторизованные пользователи могли их просмотреть. Основанное на Duet Enterprise решение может интегрировать отчеты в любое количество необходимых сайтов. Все отчеты для сайтов в определенном веб-приложении направляются в соответствующие библиотеки в этом веб-приложении веб-службой OBAFileReceiver, которая подключается к веб-приложению при его настройке для создания отчетов.
Как описано в разделе Настройка отчетов (https://go.microsoft.com/fwlink/?linkid=205681&clcid=0x419), размещающее отчеты веб-приложение необходимо настроить путем его расширения в дополнительную зону, в которой служба может выполняться безопасно. Эта зона должна иметь следующие характеристики:
Использовать протокол SSL
Использовать проверку подлинности на основе утверждений
Использовать проверку подлинности Windows и обычную проверку подлинности
Должна быть связана с сертификатом, которому доверяет система SAP
Разрешения на основе ролей
Как описано в разделе Использование ролей SAP для доступа к объектам SharePoint, Duet Enterprise использует поставщик утверждений Duet Enterprise для управления разрешениями на основе ролей для защищаемых объектов в SharePoint Server. Использование в решении поставщика утверждений увеличивает время, необходимое для выполнения некоторых операций. Чтобы добиться наилучшей производительности поставщика утверждений Duet Enterprise, рекомендуется выполнить следующие действия:
Настроить поставщика утверждений Duet Enterprise так, чтобы он не использовался по умолчанию. Если это сделать, не связанные с Duet Enterprise веб-приложения не будут запрашивать поставщика утверждений Duet Enterprise. Для настройки поставщика утверждений таким образом, чтобы он не использовался по умолчанию, используйте следующий скрипт Windows PowerShell:
$myClaimPrMgr = Get-SPClaimProviderManager $TCP = $myClaimPrMgr.GetClaimProvider("DuetEnterpriseClaimsProvider") $TCP.IsUsedByDefault = False $myClaimPrMgr.Update()Связать поставщика утверждений Duet Enterprise с каждым веб-приложением, которое является частью решения Duet Enterprise. Для этого используйте следующий скрипт Windows PowerShell для каждого веб-приложения, которое является частью решения:
$web = Get-SPWebApplication "http://WebApplication" $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default) $iis.ClaimsProviders.Add("DuetEnterpriseClaimsProvider") $web.Update()В предыдущем примере скрипта замените "http://WebApplication" на URL-адрес веб-приложения.
Для удаления связи веб-приложения с поставщиком утверждений Duet Enterprise используйте следующий скрипт:
$web = Get-SPWebApplication "http://Webapplication" $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default) $iis.ClaimsProviders.Remove("DuetEnterpriseClaimsProvider") $web.Update()В предыдущем примере скрипта замените "http://Webapplication" на URL-адрес веб-приложения.
Важно!
В SAP NetWeaver учетная запись домена задания таймера SharePoint должна быть сопоставлена с пользователем SAP, имеющим разрешения для запроса назначений ролей пользователей.