Verwalten der Autorisierung für den Geschäftsdatenkatalog

Der Geschäftsdatenkatalog ist ein Dienst, mit dem Branchendaten in Microsoft Office SharePoint Server 2007 integriert werden können. Er enthält eine Datenbank zum Speichern von Metadaten für Branchenanwendungen in einem einheitlichen Format sowie die entsprechenden Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) zum Extrahieren von Daten aus Anwendungen und zum Herstellen einer Verbindung zwischen Clients und Datenbank.

Clients für den Geschäftsdatenkatalog enthalten unter anderem Geschäftsdatenprofile, Webparts, SharePoint-Listen und Benutzerprofile. Bei jedem Zugriffsversuch eines Clients auf Geschäftsdaten wird das aktuelle Konto authentifiziert und kann in Abhängigkeit von den Autorisierungseinstellungen für das authentifizierte Konto auf Daten zugreifen. Wenn das Konto die richtigen Berechtigungen aufweist, werden Daten aus der Middle-Tier-Datenbank abgerufen und an den Client zurückgegeben.

Der Zugriff auf Daten in Branchenanwendungen, wie z. B. Datenbanken oder Webdienste, kann von der Anwendung auf dem Back-End-Server autorisiert werden. Wenn das Authentifizierungsmodell für das vertrauenswürdige Teilsystem verwendet wird, kann der Zugriff für Clients mithilfe der Dienstberechtigungen des Geschäftsdatenkatalogs autorisiert werden. Weitere Informationen zu Authentifizierungsmodellen finden Sie unter Verwalten der Authentifizierung für den Geschäftsdatenkatalog.

Inhalt dieses Artikels:

• Back-End-Autorisierung

• Middle-Tier-Autorisierung

Back-End-Autorisierung

Bei der Back-End-Autorisierung ist der Back-End-Server für die Anwendung dafür verantwortlich, den Zugriff auf Daten auf dem Server zu gewähren, und identifiziert und authentifiziert Benutzer gemäß den von der Anwendung definierten Berechtigungen einzeln. Dies hat zwar gewisse Vorteile für die Überwachung von Geschäftsdatentransaktionen in einigen Szenarien, erfordert aber zusätzliche Konfigurationsschritte auf dem Back-End-Server. Branchenanwendungen, die die Back-End-Autorisierung verwenden, erteilen Benutzern den Zugriff basierend auf der Autorisierung durch den Back-End-Server. Daten aus diesen Anwendungen werden in Clientanwendungen in Abhängigkeit von der Autorisierung jedes Benutzers zur Verfügung gestellt. Bei Verwendung der Back-End-Autorisierung können Sie die Dienstberechtigungen für den Geschäftsdatenkatalog nicht verwenden, um eine detailliertere Zugriffssteuerung zu ermöglichen.

Middle-Tier-Autorisierung

Bei der Middle-Tier-Autorisierung werden mithilfe einer einzelnen Identität alle Benutzer auf dem Back-End-Server autorisiert. Sie konfigurieren Dienstberechtigungen für den Geschäftsdatenkatalog, um eine detailliertere Zugriffssteuerung für einzelne Benutzer zu ermöglichen. Dies bedeutet ein einziges Autorisierungsmodell für alle Anwendungen, die Aktivierung des Datenbankverbindungs-Poolings und die Unterstützung von Szenarien, bei denen die Back-End-Autorisierung nicht möglich ist.

Die Dienstberechtigungen für den Geschäftsdatenkatalog ermöglichen Benutzern den Zugriff auf Geschäftsdaten in Branchenanwendungen, die in den Geschäftsdatenkatalog importiert wurden. Diese Berechtigungen sind nicht Teil des Sicherheits- und Berechtigungsmodells von Windows SharePoint Services 3.0 und werden auf einer speziellen Seite für Rechte der gemeinsamen Dienste auf der Verwaltungssite der gemeinsamen Dienste verwaltet.

Standardmäßig besitzt das Konto, mit dem die Verwaltungssite der gemeinsamen Dienste für einen Anbieter für gemeinsame Dienste (Shared Services Provider, SSP) erstellt wird, alle Dienstberechtigungen für den Geschäftsdatenkatalog. Keinen weiteren Konten, einschließlich Konten, die als Websiteadministratoren für die Verwaltungssite der gemeinsamen Dienste hinzugefügt werden, werden automatisch Dienstberechtigungen erteilt.

Jedem Konto, das mindestens über die Berechtigung zum Anzeigen für die Verwaltungssite der gemeinsamen Dienste verfügt, können Dienstberechtigungen erteilt werden.

Es gibt folgende Dienstberechtigungen für den Geschäftsdatenkatalog:

• Berechtigungen festlegen

  Hiermit kann der Verwalter von Berechtigungen für den Geschäftsdatenkatalog Dienstberechtigungen für andere Benutzer verwalten, einschließlich der Berechtigung Berechtigungen festlegen.

• Bearbeiten

  Hiermit können Anwendungsdefinitionsadministratoren Anwendungsdefinitionen für Branchenanwendungen importieren, aktualisieren und löschen.

• Auswählen in Clients

  Hiermit können Information Worker (in der Regel Websiteadministratoren oder Besitzer von SharePoint-Websites, die Geschäftsdaten aus Branchenanwendungen anzeigen) Geschäftsdaten in Webparts, Spalten in SharePoint-Listen sowie andere Clients mit Zugriff auf Daten aus dem Geschäftsdatenkatalog auswählen. Benutzer, denen diese Berechtigung erteilt wurde, benötigen keinen Zugriff auf die Verwaltungssite der gemeinsamen Dienste. Weitere Informationen zur Verwendung von Geschäftsdaten in Clients wie z. B. SharePoint-Listen und Webparts finden Sie unter Geschäftsdaten in Websites, Listen und Bibliotheken (https://go.microsoft.com/fwlink/?linkid=107616&clcid=0x407) und Arbeiten mit Geschäftsdaten in SharePoint-Listen (https://go.microsoft.com/fwlink/?linkid=107617&clcid=0x407).

• Ausführen

  Hiermit können Entwickler Methodeninstanzen für Geschäftsdatenentitäten ausführen. Benutzer, denen diese Berechtigung erteilt wurde, benötigen keinen Zugriff auf die Verwaltungssite der gemeinsamen Dienste. Weitere Informationen zum Ausführen von Methodeninstanzen für Geschäftsdatenentitäten finden Sie im SharePoint Server 2007 SDK: Software Development Kit (in englischer Sprache).

Diese Berechtigungen können als Zugriffssteuerungslisten (Access Control Lists, ACLs) auf fünf hierarchischen Ebenen festgelegt werden, die Objektnamen entsprechen, welche in XML-Anwendungsdefinitionsdateien für Branchenanwendungen im Geschäftsdatenkatalog verwendet werden:

• Geschäftsdatenkatalog (die oberste Ebene, wird im Schema auch als Anwendungsregistrierung bezeichnet)

• Anwendung (LobSystem im Schema)

• Entität oder Geschäftsdatentyp (Entity im Schema)

• Methode

• Methodeninstanz (MethodInstance im Schema)

Ein Beispiel für eine Anwendungsdefinitionsdatei finden Sie unter Beispiel: AdventureWorks2000 PassThrough-Metadaten (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=124631&clcid=0x407).

Die Berechtigungen auf den verschiedenen Ebenen werden separat festgelegt. Beispielsweise kann ein Benutzer mit der Berechtigung Bearbeiten auf der Ebene des Geschäftsdatenkatalogs neue Anwendungsdefinitionen importieren, kann jedoch vorhandene Anwendungsdefinitionen nur bearbeiten oder löschen, wenn sie die Berechtigung Bearbeiten auf der Anwendungsebene aufweisen. Die Berechtigungen können auf den Seiten Berechtigungen verwalten der Verwaltungssite der gemeinsamen Dienste für die obersten drei Ebenen angezeigt und verwaltet werden. Methoden und Methodeninstanzberechtigungen können nur in den entsprechenden Anwendungsdefinitionsdateien angezeigt werden.

Verwalter von Berechtigungen auf einer Ebene können Berechtigungen auf dieser Ebene in alle untergeordneten Objekte kopieren. Beispielsweise können Benutzern mit Zugriff auf den Geschäftsdatenkatalog dieselben Berechtigungen für alle vorhandenen Anwendungen und Entitäten erteilt werden, oder Benutzern mit Zugriff auf eine Anwendung können Berechtigungen für alle Entitäten für diese Anwendung erteilt werden.

Während der Erstkonfiguration des Geschäftsdatenkatalogs empfiehlt es sich, Berechtigungen für den gesamten Geschäftsdatenkatalog zu konfigurieren und zu berücksichtigen, welche Benutzer die verschiedenen Dienstberechtigungen auf dieser Ebene benötigen, bevor die Berechtigungen für einzelne Anwendungen festgelegt werden. Nachdem Sie den Benutzern Berechtigungen für die verschiedenen Anwendungen hinzugefügt haben, konfigurieren Sie die Berechtigungen für die verschiedenen Entitäten, Methoden oder Methodeninstanzen. Im laufenden Betrieb können Anwendungsdefinitionsadministratoren in Anwendungen und Entitäten Berechtigungen hinzufügen oder entfernen, wenn sich die Unternehmensanforderungen und Unternehmensabläufe im Laufe der Zeit ändern.

Berechtigungen auf der obersten Ebene des Geschäftsdatenkatalogs

Das Konto zum Erstellen der Verwaltungssite der gemeinsamen Dienste weist standardmäßig alle Dienstberechtigungen auf der obersten Ebene des Geschäftsdatenkatalogs auf. Hierzu zählt auch die Berechtigung Berechtigungen festlegen. Als Verwalter von Berechtigungen fügt dieser Benutzer normalerweise Dienstberechtigungen für einige wenige Benutzer auf der obersten Ebene des Geschäftsdatenkatalogs hinzu. Bei diesen Benutzern handelt es sich um Administratoren für den Geschäftsdatenkatalog, die Verwalter von Berechtigungen und/oder Anwendungsdefinitionsadministratoren sind.

Die Anwendungsdefinitionsadministratoren arbeiten mit einem Designer oder Entwickler zusammen, der die Anwendungsdefinition für die Branchenanwendungen erstellt. Anwendungsdefinitionen enthalten Zugriffssteuerungslisten für alle importierten Entitäten, Methoden und Methodeninstanzen. Diese Berechtigungen können detailliert hinzugefügt werden, wenn die Anwendungsdefinition erstellt wird. Sie können aber auch eine geringe Anzahl von Benutzern hinzufügen und dann die Anwendungsdefinition nach dem Importieren bearbeiten.

Die Anwendungsdefinitionsadministratoren der obersten Ebene fügen in der Regel anderen Benutzern Berechtigungen hinzu, die auf die einzelnen Anwendungen beschränkt sind. Auf diese Weise kann unterschiedlichen Benutzern Verantwortung für die Verwaltung von Geschäftsdatenberechtigungen für die einzelnen Anwendungen übertragen werden, ohne dass vielen Benutzern Berechtigungen für alle Anwendungen erteilt werden müssen.

Beim Hinzufügen von Berechtigungen auf einer beliebigen Ebene wird empfohlen, jedem Benutzer die minimal erforderlichen Berechtigungen zum Arbeiten mit den entsprechenden Geschäftsdaten zu erteilen.

• Anwendungsadministratoren haben alle Berechtigungen auf Anwendungsebene. In der Regel gibt es wenige Anwendungsadministratoren, denen als einzigen Benutzern die Berechtigungen Berechtigungen festlegen und Bearbeiten auf Anwendungsebene erteilt werden.

• Information Worker haben nur die Berechtigung Auswählen in Clients.

• Entwickler und Designer haben nur die Berechtigung Ausführen für die Anwendungen und Entitäten, die sie entwickeln und entwerfen.

Die ursprünglichen Berechtigungen für die Anwendungs- und Entitätsebene werden vom Autor der Anwendungsdefinition für die Anwendung konfiguriert. Der Autor der Anwendungsdefinition kann auch Berechtigungen für Benutzer und Gruppen für die Anwendung und optional für eine oder mehrere Entitäten für die Anwendung konfigurieren. Wenn der Anwendungsdefinitionsadministrator die Anwendungsdefinition in den Geschäftsdatenkatalog importiert, werden diese Benutzer der Zugriffssteuerungsliste hinzugefügt und sind berechtigt, Daten für die entsprechende Anwendung und die entsprechenden Entitäten anzuzeigen. Änderungen an Berechtigungen auf den verschiedenen Ebenen haben Auswirkungen auf den zugrunde liegenden XML-Code in der Anwendungsdefinition.

Aufgabenanforderungen

Die folgenden Anforderungen müssen erfüllt sein, um die Vorgänge für diese Aufgabe auszuführen:

• Administratoren benötigen Zugriff auf die Verwaltungssite der gemeinsamen Dienste, und die Berechtigung Berechtigungen verwalten muss für den Geschäftsdatenkatalog aktiviert sein. Das Konto, das zum Erstellen der Verwaltungssite der gemeinsamen Dienste verwendet wird, verfügt über diese Berechtigung, und mit diesem Konto kann diese Berechtigung anderen Benutzern erteilt werden.

Zum Verwalten von Berechtigungen für den Geschäftsdatenkatalog können Sie die folgenden Verfahren ausführen:

• Hinzufügen oder Entfernen von Berechtigungen für den Geschäftsdatenkatalog für einen Benutzer oder eine Gruppe

• Hinzufügen oder Entfernen von Berechtigungen für eine Anwendung im Geschäftsdatenkatalog

• Hinzufügen oder Entfernen von Berechtigungen für eine Geschäftsdatenentität