Поделиться через

Обзор задач по обеспечению безопасности Business Connectivity Services в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Обеспечение безопасности данных, с которыми вы работаете в Microsoft Business Connectivity Services (BCS) — это важная часть каждого решения BCS. В отличие от обычных данных SharePoint, которые хранятся в базе данных контента SharePoint, данные, предоставляемые решениями BCS, находятся за пределами SharePoint во внешних системах. BCS предоставляет канал, используемый SharePoint для получения внешних данных. Помимо работы с обычными параметрами безопасности SharePoint Server, такими как права доступа к сайту и разрешения списка, решениям BCS приходится иметь дело с дополнительными уровнями связи и безопасности. Например, внешняя система может использовать другой механизм или другого поставщика аутентификации, а также запрашивать не те учетные данные, которые пользователи используют для доступа к SharePoint Server. Так как в решении BCS больше уровней безопасности, больше и задач по настройке безопасности.

Эти задачи распределяются между ИТ-специалистом, администратором семейства веб-сайтов или владельцем сайта и разработчиком. В примерах ниже описаны обязанности каждой из этих ролей.

  • ИТ-специалисты отвечают за управление безопасностью в хранилище метаданных и его содержимом. Они также занимаются администрированием учетных записей и групп, а также сопоставление учетных данных в службе Служба Secure Store.

  • Администраторы семейств веб-сайтов и владельцы сайтов несут ответственность за понимание механизмов безопасности, используемых внешней системой, и настройку декларативных внешних типов контента (без кода), с которыми требуется взаимодействовать. Они также отвечают за планирование и применение механизмов безопасности к внешним спискам и веб-частям бизнес-данных.

  • Разработчики решений BCS отвечают за определение механизмов безопасности, используемых внешней системой, и способа настройки модели BDC для взаимодействия с ней, а также за обеспечение безопасности разработки и развертывания приложений Приложения для Office и SharePoint.

Безопасность Business Connectivity Services

Делегирование администрирования службе подключения к бизнес-данным

Первая задача, которую должен выполнить администратор фермы после создания экземпляра службы Служба подключения к бизнес-данным — делегирование администрирование службы другой учетной записи, желательно с правами администратора фермы. Рекомендуется следовать принципу наименьших полномочий. Делегированная учетная запись получает разрешения, необходимые для открытия веб-сайта Веб-сайт центра администрирования SharePoint и доступа к приложению-службе Служба подключения к бизнес-данным. Это должна быть основная учетная запись, используемая для администрирования службы. Единственное разрешение которое можно предоставить или отозвать — это Полный доступ.

Управление разрешениями для хранилища метаданных и его содержимого

Хранилище метаданных содержит определения внешних типов контента, внешних систем и моделей BDC, используемые приложением-службой Business Data Connectivity. Одной из главных задач администратора BCS Services является управление безопасностью хранилища метаданных и всех элементов в нем. Элементы в хранилище метаданных получают разрешения двумя способами. Во-первых, можно напрямую применить разрешения к хранилищу метаданных, моделям BDC, внешним системам или внешним типам контента. Второй способ — наследование разрешений от элемента более высокого уровня. Оба метода показаны на следующем рисунке.

Рисунок. Разрешения для хранилища метаданных

Схема разрешений хранилища метаданных

  • Наследование. Наследование осуществляется двумя способами. Во-первых, при добавлении любого элемента в хранилище метаданных он наследует конфигурацию разрешений самого хранилища. Это происходит при выборе параметра Распространение разрешений для всех... и нажатии кнопки ОК при настройке разрешений для родительского элемента.

  • Прямое применение. Если разрешения, которые элемент унаследовал от родителя, вам не подходят, их можно настроить вручную.

Напрямую можно применить четыре разрешения:

  • Изменение. Позволяет пользователю или группе изменять элемент.

  • Выполнить Это позволяет пользователю или группе выполнять операции (создание, чтение, обновление, удаление, запрос) внешних типов контента в хранилище метаданных. Все пользователи решения BCS должны иметь разрешение на выполнение для связанного внешнего типа контента.

  • Доступно для выбора в клиентах. Позволяет пользователю или группе применять внешний тип контента для внешних списков и приложений приложения для SharePoint, делая их доступными во внешнем средстве выбора элементов.

  • Настройка разрешений Это позволяет пользователю или группе задавать разрешения для элемента. У каждого элемента должен быть по крайней мере один пользователь или одна группа с разрешением "Установка разрешений".

Рекомендации по управлению разрешениями хранилища метаданных

  1. Pick one account, probably your Business Connectivity Services administrator account, and grant it Set Permissions permissions at the Metadata Store level. This will satisfy the requirement that every item has one user or group that has Set Permissions permissions with a securely managed administrative account. If you don't explicitly set an account, the farm account is used by default. Do not select the Propagate permissions to all option. You don't have to select the Propagate permissions to all option because every item will inherit this configuration when it is added to the Metadata Store. This also prevents unnecessary accounts from gaining access to any external systems, BDC models, or external content types that they shouldn't have.

  2. Используйте метод прямого применения, настройте разрешения для отдельных элементов, не выбрав параметр Распространить разрешения на всех. Это позволит сохранить уникальную конфигурацию разрешений для каждого объекта.

  3. Периодически в соответствии с планами обслуживания и эксплуатации анализируйте конфигурацию разрешений начиная с уровня хранилища метаданных и перемещаясь вниз по иерархии, чтобы убедиться, что для каждого элемента задана правильная конфигурация разрешений. Если же конфигурация отличается от необходимой, ее необходимо скорректировать вручную.

  4. Параметр Распространить разрешения на всех следует использовать, только если требуется сбросить все разрешения в родительском элементе и всех его потомках. Учтите, что это деструктивный процесс, все настраиваемые разрешения в дочерних элементах будут утеряны. Это действие может нарушить работу решений BCS для пользователей или групп, которые потеряют свои решения.

Сопоставление учетных записей и групп в службе Secure Store**

BCS не может передать учетные данные пользователя из фермы SharePoint Server во внешнюю систему, если вы не настроили ограниченное делегирование Kerberos. Настроить и обслуживать ограниченное делегирование Kerberos часто бывает непросто. Вместо него можно использовать службу Secure Store. В Служба Secure Store можно сопоставить группу пользователей с набором учетных данных, который BCS может использовать для доступа к внешней системе.

Настроить сопоставления можно двумя способами:

  • Сопоставление групп В целевом приложении сопоставления групп вы добавляете учетные записи пользователей и группы безопасности AD DS в Secure Store, а затем сопоставляете их с одним набором учетных данных для внешней системы. Это самый простой способ управления доступом к решению BCS.

  • Отдельное сопоставление. При отдельном сопоставлении вы можете сопоставить только одну учетную запись пользователя AD DS с одним набором учетных данных для внешней системы. Этот способ удобен, если вы управляете небольшим количеством учетных записей или хотите отслеживать доступ и активность во внешней системе.

Управление разрешениями в приложении службы подключения к бизнес-данным

По умолчанию всем веб-приложениям в ферме предоставлен доступ к приложению службы подключения к бизнес-данным через учетную запись фермы серверов. Если вы хотите предоставить доступ только отдельным веб-приложениям, можно удалить учетную запись фермы серверов и добавить учетную запись удостоверения пула приложений. Тогда вы сможете контролировать, у каких веб-приложений есть доступ к приложению службы подключения к бизнес-данным. Дополнительные сведения см. в статье Настройка разрешений для опубликованных приложений службы в SharePoint Server.

Если вы публикуете приложение службы подключения к бизнес-данным в других фермах, необходимо добавить идентификаторы подключающихся ферм. Дополнительные сведения см. в статье Совместное использование приложений службы в разных фермах SharePoint Server.

См. также

Понятия

Общие сведения о Business Connectivity Services в SharePoint