Planen der Business Connectivity Services-Clientintegration (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Microsoft Business Connectivity Services bietet über die Microsoft Office 2010-Clientanwendungen viele Interaktionsmöglichkeiten mit externen Systemen. In diesem Artikel wird erläutert, wie Benutzer Daten für Microsoft Outlook 2010 und Microsoft SharePoint Workspace 2010 offline schalten können.
Wenn ein Benutzer in einer externen Liste auf die Schaltfläche Verbindung mit Outlook herstellen oder Mit SharePoint Workspace synchronisieren klicken, wird ein ClickOnce-Anwendungsbereitstellungspaket auf dem Clientcomputer erstellt und installiert. Auf diese Weise können Benutzer mit externen Daten als systemeigene Outlook-Elementtypen (z. B. Kontakte, Aufgaben und Termine) in Outlook und als Listen in SharePoint-Arbeitsbereich arbeiten. Die Benutzer können in Abhängigkeit von ihren Berechtigungen Lese- und Schreibvorgänge für die externen Daten ausführen, selbst wenn sie offline arbeiten oder wenn die Verbindung des externen Systems langsam, zeitweise unterbrochen oder nicht verfügbar ist. Die externen Daten werden synchronisiert, wenn die Serververbindung verfügbar wird.
Die Möglichkeit, externe Listen offline zu schalten, nutzt die systemeigenen Funktionen von Business Connectivity Services, Microsoft SharePoint Server 2010 und Office 2010-Anwendungen. Sie können erweiterte Business Connectivity Services-Lösungen erstellen, die Anpassungsfeatures oder Code verwenden.
Weitere Informationen zu erweiterten Business Connectivity Services-Lösungen finden Sie unter Erstellen von Lösungen mit Business Connectivity Services (https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x407).
Inhalt dieses Artikels
Voraussetzungen
Installieren von Bereitstellungspaketen
Sicherheitsüberlegungen
Voraussetzungen
Auf dem Server muss Microsoft SharePoint Server 2010 mit einer Lizenz für den Zugriff auf den Enterprise-Client installiert sein. Auf dem Clientcomputer muss Microsoft Office Professional Plus 2010 installiert sein.
In der folgenden Auflistung werden zusätzliche Anforderungen für Clientcomputer beschrieben:
Internet Explorer: Für den Bereitstellungsmechanismus werden ActiveX-Steuerelemente verwendet. Internet Explorer ist der einzige Browser, der ActiveX-Steuerelemente unterstützt, weshalb nur in Internet Explorer externe Listen offline geschaltet werden können. Falls Sie einen anderen Browser wie z. B. Firefox verwenden, sind die Schaltflächen Verbindung mit Outlook herstellen und Mit SharePoint Workspace synchronisieren deaktiviert.
Microsoft .NET Framework 3.5: Microsoft .NET Framework 3.5 oder eine höhere Version muss auf dem Clientcomputer installiert sein.
Business Connectivity Services: Standardmäßig wird das Business Connectivity Services-Feature installiert, wenn Office Professional Plus 2010 installiert ist. Falls .NET Framework 3.5 nicht installiert ist, wenn ein Benutzer Office installiert, wird Business Connectivity Services nicht installiert. Nachdem .NET Framework 3.5 auf dem Clientcomputer installiert wurde, wird das Business Connectivity Services-Feature installiert, wenn der Benutzer eine externe Liste offline schaltet, und anschließend wird das Bereitstellungspaket installiert. Falls das Business Connectivity Services-Feature vom Benutzer deaktiviert wurde, muss der Benutzer die Office-Installation aktualisieren und das Business Connectivity Services-Feature aktivieren. Das Business Connectivity Services-Feature ist in der Gruppe Gemeinsam genutzte Office-Features verfügbar.
Installieren von Bereitstellungspaketen
In den folgenden Abschnitten werden Einstellungen behandelt, die Auswirkungen auf Bereitstellungspaketinstallationen haben können.
ClickOnce-Anwendungen und Vertrauenseingabeaufforderungsverhalten
Bei den Bereitstellungspaketen handelt es sich um ClickOnce-Anwendungen. Alle Regeln, Bestimmungen und Einschränkungen, die für allgemeine ClickOnce-Anwendungen gelten, sind auch für die Bereitstellungspakete gültig. Das ClickOnce-Sicherheitsmodell basiert auf vertrauenswürdigen Herausgebern und Benutzereingabeaufforderungen, um zu bestimmen, ob eine ClickOnce-Anwendung auf dem Clientcomputer installiert wird. ClickOnce-Anwendungen sind mit einem Zertifikat signiert, durch das der Herausgeber identifiziert wird. Die Zertifikate bilden wie folgt die Grundlage, um Entscheidungen zur Vertrauenswürdigkeit zu treffen:
Wenn die ClickOnce-Anwendung von einem vertrauenswürdigen Herausgeber signiert wurde, wird die Anwendung automatisch installiert. Der Benutzer wird nicht aufgefordert.
Wenn die ClickOnce-Anwendung nicht von einem vertrauenswürdigen Herausgeber signiert wurde, vertraut ClickOnce nicht automatisch der Anwendung. Der Benutzer wird aufgefordert, zu bestätigen, dass er die Anwendung installieren möchte.
Hinweis
Standardmäßig verwendet Business Connectivity Services ein selbstsigniertes Zertifikat zum Signieren der Bereitstellungspakete. Da das Zertifikat selbstsigniert ist, stammt es nicht von einer vertrauenswürdigen Zertifizierungsstelle.
Die Vertrauenseingabeaufforderung kann durch andere Einstellungen beeinflusst werden, wie z. B. die Sicherheitszone von Internet Explorer, von der aus die ClickOnce-Anwendung installiert wird. In der folgenden Tabelle werden Beispielpfade und URLs, die entsprechenden Sicherheitszonen sowie das standardmäßige Vertrauenseingabeaufforderungsverhalten aufgelistet.
URL oder Pfad der ClickOnce-Anwendung | Sicherheitszone | Standardmäßiges Vertrauenseingabeaufforderungsverhalten |
---|---|---|
C:\Contoso\Clientsolution\Customer.vsto |
Arbeitsplatz |
Benutzereingabeaufforderung zulassen. |
http://contoso/clientsolution/customer.vsto |
Lokales Intranet |
Benutzereingabeaufforderung zulassen. |
\\contoso\clientsolution\customer.vsto |
Lokales Intranet |
Benutzereingabeaufforderung zulassen. |
http://fabrikam.contoso/clientsolution/customer.vsto |
Internet |
Es ist keine Benutzereingabeaufforderung zulässig, außer die Anwendung wurde mit einem von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikat signiert. |
https://www.contoso.com/clientsolution/customer.vsto |
Internet |
Es ist keine Benutzereingabeaufforderung zulässig, außer die Anwendung wurde mit einem von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikat signiert. |
\\172.16.4.1\clientsolution\customer.vsto |
Internet |
Es ist keine Benutzereingabeaufforderung zulässig, außer die Anwendung wurde mit einem von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten Zertifikat signiert. |
In der folgenden Aufstellung werden Aktionen beschrieben, die ausgeführt werden können, um Bereitstellungsfehler zu verhindern, die durch standardmäßige Vertrauenseingabeaufforderungen verursacht werden.
Signieren des Bereitstellungspakets mit einem vertrauenswürdigen Zertifikat: Standardmäßig verwendet Business Connectivity Services ein selbstsigniertes Zertifikat zum Signieren der Bereitstellungspakete. Deshalb werden die Benutzer entweder aufgefordert, zu bestätigen, dass die Anwendung installiert werden soll, oder das Bereitstellungspaket kann ohne Benutzereingabeaufforderung nicht installiert werden (falls sich die externe Liste in der Sicherheitszone Internet befindet). Zur Behebung dieser Probleme können Sie ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat bereitstellen, mit dem die Bereitstellungspakete signiert werden können. Weitere Informationen zum Bereitstellen eines vertrauenswürdigen Zertifikats finden Sie unter Vorgehensweise: Beseitigen der Warnung "Der Herausgeber kann nicht überprüft werden" beim Offlineschalten von externen Listen (https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x407).
Benutzer können die SharePoint-Website ihrer Liste der vertrauenswürdigen Websites in Internet Explorer hinzufügen: Durch das Hinzufügen einer Website zur Internet Explorer-Liste vertrauenswürdiger Websites wird die Sicherheitszone des Bereitstellungspakets in die Zone Vertrauenswürdig geändert. Die Zone Vertrauenswürdig erlaubt Benutzereingabeaufforderungen. Angenommen, Sie verfügen über ein Bereitstellungspaket, das nicht mit einem vertrauenswürdigen Zertifikat signiert ist und in der Sicherheitszone Internet vorhanden ist. In diesem Fall kann der Benutzer durch das Hinzufügen der Website zur Liste der vertrauenswürdigen Websites entscheiden, ob das Bereitstellungspaket installiert werden soll.
Hinweis
Diese Aktion sollte nur für Websites ausgeführt werden, denen der Benutzer vertraut.
Verstärkte Sicherheitskonfiguration für Internet Explorer: Mit der verstärkten Sicherheitskonfiguration für Internet Explorer wird das Browsen der Benutzer von Internet- und Intranetwebsites eingeschränkt. Dadurch werden Bereitstellungspakete möglicherweise nicht installiert, ohne dass Fehler angezeigt werden. Sie können dieses Problem umgehen, indem Sie eine der folgenden Aktionen ausführen:
Signieren Sie die Bereitstellungspakete mit einem vertrauenswürdigen Zertifikat.
Benutzer können die SharePoint-Website zur Liste der vertrauenswürdigen Websites in Internet Explorer hinzufügen.
Deaktivieren Sie für Benutzer die verstärkte Sicherheitskonfiguration für Internet Explorer.
Weitere Informationen zu ClickOnce-Anwendungen finden Sie unter ClickOnce-Sicherheit und Bereitstellung (https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x407).
Gruppenzuordnungen für Secure Store Service
Secure Store Service-Anwendungs-IDs werden verwendet, um Benutzer Sätzen von Anmeldeinformationen zuzuordnen. Zuordnungen sind für Gruppen oder Personen verfügbar. In einer Gruppenzuordnung werden jedem Benutzer, der Mitglied einer bestimmten Domänengruppe ist, die gleichen Sätze von Anmeldeinformationen zugeordnet. Bei einer Einzelzuordnung wird jedem einzelnen Benutzer ein eindeutiger Satz von Anmeldeinformationen zugeordnet.
Falls der externe Inhaltstyp, der einer externen Liste zugeordnet ist, eine Gruppenzuordnung verwendet, und Benutzer die externe Liste offline zu schalten versuchen, werden sie zur Eingabe der Gruppenanmeldeinformationen aufgefordert. In den meisten Fällen kennen die Benutzer die Gruppenanmeldeinformationen nicht und können deshalb die externe Liste nicht offline schalten.
Führen Sie eine der folgenden Aktionen aus:
Ändern Sie den externen Inhaltstyp, sodass eine Einzelzuordnung verwendet wird.
Ändern Sie den externen Inhaltstyp, um die zu verhindern, dass Benutzer die externe Liste offline zu schalten versuchen. Öffnen Sie den externen Inhaltstyp in SharePoint Designer, und legen Sie das Feld Offlinesynchronisierung für externe Liste auf Deaktiviert fest. Dadurch werden die Schaltflächen Verbindung mit Outlook herstellen und Mit SharePoint Workspace synchronisieren im Menüband für die externe Liste deaktiviert.
Weitere Informationen zu Secure Store Service finden Sie unter Konfigurieren von Secure Store Service (SharePoint Server 2010).
Als anderer Benutzer anmelden
Wenn Sie die Windows-Authentifizierung verwenden, wird das Feature Als anderer Benutzer anmelden nicht zum Installieren von Bereitstellungspaketen unterstützt. Sie können eine externe Liste nicht offline schalten, wenn Sie mit einem bestimmten Benutzerkonto an einem Clientcomputer angemeldet sind und sich dann mit einem anderen Benutzerkonto bei der SharePoint-Website anmelden. Um eine externe Liste offline zu schalten, müssen Sie dasselbe Benutzerkonto zum Anmelden am Clientcomputer und bei der SharePoint-Website verwenden.
Sicherheitsüberlegungen
In den folgenden Abschnitten werden zusätzliche Maßnahmen erörtert, die für die Sicherheit von Business Connectivity Services ergriffen werden können, falls Sie mit Rich Client-Anwendungen arbeiten.
Sichere Kommunikation
Es wird empfohlen, Secure Sockets Layer (SSL) auf allen Kanälen zwischen Clientcomputern und Front-End-Webservern zu verwenden. Dadurch wird sichergestellt, dass die Vertraulichkeit von Daten nicht verletzt wird.
Berechtigungen für externe Listen
Jeder externen Liste wird ein externer Inhaltstyp zugeordnet. Mit den Berechtigungen für den externen Inhaltstyp wird angegeben, wer bestimmte Aktionen für den externen Inhaltstyp ausführen kann. Die Berechtigung Ausführen ist erforderlich, um Vorgänge (z. B. Lesen oder Aktualisieren) für einen externen Inhaltstyp auszuführen sowie um ein Bereitstellungspaket für die externe Liste zu generieren. Nachdem jedoch ein Bereitstellungspaket für eine externe Liste erstellt wurde, kann jeder Benutzer mit Zugriff auf diese externe Liste das Bereitstellungspakt herunterladen und installieren. Das heißt, ein Benutzer ohne die Berechtigung Ausführen für den externen Inhaltstyp, aber mit der Berechtigungsstufe Lesen für die externe Liste sieht die Elemente in der externen Liste nicht, kann aber dennoch die externe Liste offline schalten. Um sicherzustellen, dass sensible Daten nicht weitergegeben werden, sollten Sie sicherstellen, dass die Berechtigungen für eine externe Liste mit den Berechtigungen des zugehörigen externen Inhaltstyps identisch sind.
Outlook Web Access-Webparts
Mit Outlook Web Access-Webparts können Benutzer bestimmte Inhalte aus Ordnern in ihrem Office Outlook-E-Mail-Konto in einer SharePoint-Website anzeigen. Falls Benutzer externe Daten für Outlook offline geschaltet haben, können durch die Verwendung der Outlook Web Access-Webparts sensible Daten freigegeben werden. Die Administratoren sollten die Benutzer dazu anhalten, ihre Outlook-Ordner nur für Personen freizugeben, denen sie vertrauen.
Steuerungsgrenzwerte für Clients
Durch die Festlegung von Steuerungsgrenzwerten auf dem Clientcomputer können Denial-of-Service-Angriffe eingeschränkt werden, die durch einen Benutzer verursacht werden, der Abfragen sendet, von denen große Datenmengen zurückgegeben werden oder sehr viel Verarbeitungszeit beansprucht wird. Zum Festlegen von Steuerungsgrenzwerten auf Clientcomputern können Sie registrierungsbasierte Richtlinienschlüssel verwenden. Für die Verwaltung von registrierungsbasierten Richtlinienschlüsseln wird nur das Anwenden von Registrierungsrichtlinieneinstellungen mithilfe von Gruppenrichtlinien unterstützt.
Die Richtlinieneinstellungen für Business Connectivity Services sind in der Datei Office14.adm enthalten, die von der Webseite Administrative Vorlagendateien (ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) heruntergeladen werden kann.
In der folgenden Tabelle werden die registrierungsbasierten Richtlinienschlüssel für Business Connectivity Services beschrieben, mit denen Steuerungsgrenzwerte festgelegt werden können. Diese Richtlinienschlüssel finden Sie unter HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data.
Hinweis
In der folgenden Tabelle werden nur die wichtigsten Richtlinieneinstellungen aufgelistet, mit denen Steuerungsgrenzwerte für Clients festgelegt werden können. Eine vollständige Aufstellung der verfügbaren Richtlinieneinstellungen für Business Connectivity Services finden Sie in der Datei Office2010GroupPolicyAndOCTSettings_Reference.xls auf der folgenden Downloadseite: Administrative Vorlagendateien (ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407).
Schlüssel | Typ | Werte | Beschreibung |
---|---|---|---|
Synchronization\Query Instances Limit |
REG_ DWORD |
1-32.767 |
Gibt die maximale Anzahl von Elementen an, die dem Cache durch Business Connectivity Services als Ergebnis der Ausführung einer Abfrage hinzugefügt werden können. Manche Abfragen können viele Elemente zurückgeben, die dem Cache hinzugefügt werden müssen. Dadurch nimmt die Größe des Clientcaches zu (wodurch möglicherweise der durch die Microsoft SQL Server Compact Edition-Datenbank auferlegte Grenzwert von 4 GB überschritten wird), der Aufwand zum Synchronisieren des Clientcaches nimmt zu, ebenso wie die Auslastung des externen Systems. Bei Erreichen des Grenzwerts wird die Verarbeitung beendet. Die Abfrage wird als fehlgeschlagen gekennzeichnet und später erneut ausgeführt. Der Standard ist 2.000 Elemente. |
Synchronization\Query Timeout |
REG_ DWORD |
1-360 (Minuten) |
Gibt die Anzahl der Minuten an, die Business Connectivity Services für die Verarbeitung einer einzelnen Abfrage aufwendet. Bei manchen Abfragen kann das Abrufen und Verarbeiten aller Ergebnisse lange Zeit dauern. Währen dieses Zeitraums kann kein anderer Vorgang verarbeitet werden. Wenn dieser Timeout überschritten wird, wird die Verarbeitung beendet. Die Abfrage wird als fehlgeschlagen gekennzeichnet und später erneut ausgeführt. In der Regel liegen die Werte zwischen 3 und 10 Minuten. Der Standard ist 5 Minuten. |
Limits\Database\Items\Max |
REG_ DWORD |
1-2.000.000 |
Gibt die maximale Anzahl von Elementen an, die der Datenbankkonnektor pro Anforderung zurückgeben kann. In der Regel liegen die Werte zwischen 1.000 und 3.000 Elementen. Der Standard ist kein Datenlimit. |
Limits\Database\Timeout\Max |
REG_ DWORD |
1-75.000.000 (Millisekunden) |
Gibt an, wie viele Millisekunden gewartet werden soll, bis eine geöffnete Datenbankverbindung beendet wird. In der Regel liegen die Werte zwischen 5.000 und 180.000 Millisekunden (zwischen 5 Sekunden und 3 Minuten). Der Standard ist kein Timeout. |
Limits\Wcf\Size\Max |
REG_ DWORD |
1-1.000.000.000 (KB) |
Gibt die maximale Datenmenge an, die ein Webdienstkonnektor pro Anforderung zurückgeben kann. In der Regel liegen die Werte zwischen 512 KB und 524.288 KB (512 MB). Der Standard ist kein Datenlimit. |
Limits\Wcf\Timeout\Max |
REG_ DWORD |
1-75.000.000 (Millisekunden) |
Gibt an, wie viele Millisekunden gewartet werden soll, bis eine geöffnete Webdienstverbindung beendet wird. In der Regel liegen die Werte zwischen 5.000 und 180.000 Millisekunden (zwischen 5 Sekunden und 3 Minuten). Der Standard ist kein Timeout. |