Vorbereiten der Umgebung für Business Connectivity Services – Hybridszenario
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In diesem Beispiel für das Microsoft Business Connectivity Services-Hybridszenario (BCS) wird gezeigt, wie Sie die standardmäßige Windows-Domänensicherheit zur Steuerung des Zugriffs auf den lokalen OData-Dienstendpunkt verwenden können. Konfigurieren Sie ein Domänenkonto für den Zugriff auf den OData-Dienstendpunkt und eine globale Sicherheitsgruppe für Ihre verbundenen Benutzerkonten. Ordnen Sie die Gruppe dann mithilfe einer Secure Store Service-Zielanwendung dem Konto zu.
So bereiten Sie die lokale Sicherheit für das BCS-Hybridszenario vor
Identifizieren Sie alle Benutzerkonten in der lokalen Domäne, die die BCS-Hybridlösung verwenden müssen, und stellen Sie sicher, dass es sich um Verbundkonten handelt. Später in diesem Verfahren, fügen Sie diese Konten zur globalen Domänensicherheitsgruppe hinzu.
Erstellen Sie ein Dienstkonto in der lokalen Domäne, das auf den Endpunkt des OData-Diensts zugreift. Diese Verfahren verwenden ein Konto namens ODataAccount.
Erstellen Sie eine globale Sicherheitsgruppe in der lokalen Domäne. Diese Verfahren verwenden eine Gruppe namens ODataGroup.
Fügen Sie die Konten, die Sie in Schritt 1 ermittelt haben, in die Gruppe ODataGroup hinzu.
Erstellen und konfigurieren einer Zielanwendung für einmaliges Anmelden
In diesem Verfahren verknüpfen Sie die ODataGroup mit dem ODataAccount mithilfe einer Secure Store-Zielanwendung. Auf diese Weise können Benutzer in der ODataGroup mit nur einem Konto auf den OData-Dienstendpunkt zugreifen: ODataAccount.
In diesem Verfahren erstellen und konfigurieren Sie die lokale Secure Store-Zielanwendung mit dem Namen ODataApp für das BCS-Hybridszenario. (Sie können einen anderen Namen auswählen, wenn Sie möchten.)
So erstellen Sie eine Zielanwendung
Wählen Sie auf der Startseite der Zentraladministration im Abschnitt Anwendungsverwaltung die Option Dienstanwendungen verwalten aus.
Wählen Sie die Dienstanwendung für einmaliges Anmelden aus.
Wählen Sie in der Gruppe Zielanwendungen verwaltendie Option Neu aus.
Geben Sie im Feld Zielanwendungs-ID eine Textzeichenfolge ein. Beispiel: ODataApp.
Geben Sie im Feld Anzeigename einen Namen für die Zielanwendung ein. Beispiel: ODataApp.
Geben Sie im Feld Kontakt-E-Mail eine Kontakt-E-Mail-Adresse ein.
Wählen Sie in der Dropdownliste Zielanwendungstypdie Option Gruppe aus. Dies zeigt die Zuordnung von vielen Benutzeranmeldeinformationen oder einer Sicherheitsgruppe zu einer Anmeldeinformation. In diesem Fall ist die Seiten-URL der Zielanwendung nicht erforderlich, und es wird automatisch Keine festgelegt. Wählen Sie Weiter aus.
Bestätigen Sie auf der Seite Neue Zielanwendung für einmaliges Anmelden erstellen sowohl unter Feldname als auch unter Feldtyp die Standardwerte für Windows-Benutzername und Windows-Kennwort. Wählen Sie Weiter aus.
Fügen Sie im Feld Zielanwendungsadministratoren das Farmadministratorkonto und ein Konto mit Farmadministratorrechten hinzu. Fügen Sie im Feld Mitglieder die Domänensicherheitsgruppe hinzu, die Sie zum Steuern des Zugriffs auf die BCS-Hybridszenariolösung verwenden. Beispiel: ODataGroup.
Wählen Sie OK aus.
Als Nächstes müssen wir die Anmeldeinformationen hinzufügen, die verwendet werden sollen.
So legen Sie Anmeldeinformationen für eine Zielanwendung fest
Zeigen Sie in der Zielanwendungsliste auf die soeben erstellte Zielanwendung, wählen Sie den angezeigten Pfeil aus, und wählen Sie dann im Menü Anmeldeinformationen festlegen aus.
Wenn die Zielanwendung vom Typ Group ist, geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die Felder zum Angeben von Anmeldeinformationen variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.
Wenn die Zielanwendung vom Typ Individual ist, geben Sie den Benutzernamen der Person ein, die diesem Satz von Anmeldeinformationen für die externe Datenquelle zugeordnet werden soll, und geben Sie die Anmeldeinformationen für die externe Datenquelle ein. Die Felder zum Angeben von Anmeldeinformationen variieren abhängig von den Informationen, die für die externe Datenquelle erforderlich sind.
Geben Sie im Feld Windows-Benutzername den Kontonamen für das Konto ein, das Zugriff auf den OData-Dienstendpunkt im Format Domäne\Benutzername haben soll. Beispiel : Adventureworks\ODataAccount.
Geben Sie das Kennwort für dieses Konto ein, bestätigen Sie es, und wählen Sie dann OK aus.
Erstellen und Konfigurieren des OData-Dienstendpunkts
Das BCS-Hybridszenario unterstützt nur die Verbindung mit einer OData-Quelle. Wenn die externen Daten bereits einen OData-Endpunkt haben, können Sie das Erstellen eines OData-Dienstendpunkts in diesem Verfahren überspringen. Dennoch müssen Sie eventuell Berechtigungen auf dem Dienstendpunkt für ODataAccount konfigurieren. Für diese Verfahren verwenden wir die SQL Server Adventureworks-Beispieldatenbank und die AdventureWorks 2012 LT-Beispieldaten als Datenquelle und erstellen einen OData-Dienstendpunkt, um die Daten für die BCS-Hybridlösung verfügbar zu machen. Verwenden Sie Visual Studio 2012 zum Erstellen und Konfigurieren des OData-Dienstendpunkts.
Informationen zum Erstellen und Konfigurieren des OData-Dienstendpunkts finden Sie unter Gewusst wie: Erstellen eines OData-Datendiensts in SharePoint 2013, der Benachrichtigungen an BCS versendet in der MSDN-Bibliothek. Zur Sicherung des Dienstendpunkts in Internetinformationsdienste (IIS) 7.0 benötigen Sie das ODataAccount-Konto.
Vorbereiten der SharePoint-Website und des App-Katalogs in Microsoft 365
Das BCS-Hybridszenario veröffentlicht lokale Daten für ausgewählte Benutzer von SharePoint in Microsoft 365. Sie können die Daten entweder über eine externe SharePoint-Liste in Microsoft 365 oder über eine App für SharePoint in Microsoft 365 präsentieren. In beiden Fällen müssen Sie eine Website in SharePoint in Microsoft 365 identifizieren oder erstellen, über die die Daten angeboten werden. Wenn Sie sich für die Verwendung einer App für SharePoint in Microsoft 365 entscheiden, muss auch ein SharePoint in Microsoft 365 App Catalog konfiguriert sein.
So bereiten Sie die SharePoint-Website und den App-Katalog in Microsoft 365 vor
Identifizieren oder erstellen Sie eine Website in SharePoint in Microsoft 365 für Ihre externe Liste oder App für SharePoint in Microsoft 365. Stellen Sie sicher, dass alle Verbundbenutzer, die die BCS-Hybridlösung verwenden, für den Zugriff auf die Website zur Gruppe Mitglieder hinzugefügt wurden. (Die einfachste Möglichkeit hierzu ist, die ODataGroup als Mitglied hinzufügen.)
Wenn Sie eine App für SharePoint in Microsoft 365 verwenden möchten, müssen Sie den App-Katalog aktivieren.
Hinweis
In diesem Szenario erfahren Sie, wie Sie Ihre App für SharePoint in Microsoft 365 direkt auf der website bereitstellen, die Sie vorbereitet haben. Es ist auch möglich, Ihre App für SharePoint in Microsoft 365 im App-Katalog bereitzustellen.
Festlegen von Berechtigungen für den BDC-Metadatenspeicher in SharePoint in Microsoft 365
Der Business Data Connectivity Service-Metadatenspeicher (BCS) enthält externe Inhaltstypen, externe Systeme und BDC-Modelldefinitionen für die BDC-Dienstanwendung. In dieser Prozedur konfigurieren Sie Administratorberechtigungen für den Metadatenspeicher und sämtliche zugehörige Inhalte. Weiter unten in diesem Szenario verwenden Sie den BDC-Metadatenspeicher beim manuellen Import der externen Inhaltstypmethode. Dieser externe Inhaltstyp ist in SharePoint in Microsoft 365 verfügbar. Wenn Sie nur die automatisierte Bereitstellung einer App für SharePoint in Microsoft 365 verwenden, verwenden Sie nicht den BDC-Metadatenspeicher, und der externe Inhaltstyp ist nur auf die App festgelegt.
So legen Sie Berechtigungen für den BDC-Metadatenspeicher in SharePoint in Microsoft 365 fest
Wechseln Sie zu Weitere Features im SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen in Microsoft 365 verfügt.
Wählen Sie unter BCS die Option Öffnen aus.
Wählen Sie BDC-Modelle und externe Inhaltstypen verwalten aus.
Wählen Sie Metadatenspeicherberechtigungen festlegen aus, und fügen Sie Alle authentifizierten Benutzer mit mindestens Ausführungsberechtigungen hinzu. Dadurch können alle Benutzer, die sich bei Ihrem SharePoint-Mandanten in Microsoft 365 authentifizieren, die im Metadatenspeicher gespeicherten externen Inhaltstypen verwenden.
Aktivieren Sie das Kontrollkästchen Berechtigungen an alle BCS-Modelle, externe Systeme und externe Inhaltstypen im BDC-Metadatenspeicher weitergeben, um vorhandene Berechtigungen zu überschreiben.
Wählen Sie OK aus.
Überprüfen des externen Zugriffs auf die veröffentlichte URL des Reverseproxy
An diesem Punkt bei der Bereitstellung des BCS-Hybridszenarios sollten Sie bestätigen, dass Sie auf Ihre lokale SharePoint Server-Farm zugreifen können, die für den Empfang von Hybridaufrufen von SharePoint in Microsoft 365 konfiguriert wurde. Diese Website wurde bereits in den Verfahren unter Konfigurationsroadmaps für SharePoint Server 2016 Hybrid konfiguriert. Bei der URL handelt es sich um die URL, die Sie über Ihr Reverseproxy veröffentlicht haben.
Bevor Sie mit diesem Verfahren beginnen, sollten Sie sicherstellen, dass Sie über Folgendes verfügen:
Die externe URL, z. B. wenn Ihre lokale Farmwebanwendung mit einer alternativen Zugriffszuordnung von "hybridexternal.sharepoint.com" konfiguriert wurde und Sie "https://hybridexternal.sharepoint.com" über den Reverseproxy verwenden Sie "https://hybridexternal.sharepoint.com" für dieses Verfahren.
Einen Computer im Extranet zum Browsen. Verwenden Sie z. B. einen Computer, der sich nicht in Ihrem Unternehmensnetzwerk befindet und kein Mitglied der Domäne Ihres Unternehmens ist.
Das Zertifikat für den sicheren Kanal, das in der Zielanwendung SharePoint in Microsoft 365 Secure Store Service gespeichert ist. Die Zielanwendung wurde in den Verfahren unter Konfigurationsroadmaps für SharePoint Server 2016 Hybrid konfiguriert. Im Beispiel hieß es SecureChannelTargetApp. Sie benötigen auch das Kennwort für das Zertifikat.
Die Anmeldeinformationen eines Verbundkontos.
So bestätigen Sie den Zugriffs auf eine externe URL
Kopieren Sie das Zertifikat auf Ihren Extranet-Computer, und klicken Sie dann auf das Zertifikat. Sie werden aufgefordert, das Kennwort des Zertifikats einzugeben. Dadurch wird das Zertifikat in Ihren persönlichen Zertifikatspeicher hinzugefügt.
Öffnen Sie einen Webbrowser, und navigieren Sie zu der extern veröffentlichten URL Ihrer lokalen Farm. Sie sollten zur Eingabe von Anmeldeinformationen aufgefordert werden. Wenn dies nicht der Fall ist, überprüfen Sie Ihre Browsereinstellungen, und stellen Sie sicher, dass Ihre Anmeldeinformationen nicht automatisch übergeben werden.
Geben Sie die Anmeldeinformationen des Verbundbenutzers an. Dieser Anmeldevorgang auf muss erfolgreich sein und sollte die veröffentlichte Website anzeigen. Wenn dies nicht funktioniert, wenden Sie sich an die Administratoren, die die Hybridinfrastruktur eingerichtet haben. Fahren Sie nicht mit dem BCS-Hybridszenario fort, bis dieses Problem behoben ist.
Erstellen und Konfigurieren des Verbindungseinstellungsobjekts
Im Gegensatz zu BCS in SharePoint Server erfordert BCS in SharePoint in Microsoft 365, dass Sie ein Verbindungseinstellungsobjekt konfigurieren, das zusätzliche Informationen zum Herstellen der Verbindung mit dem externen System und der OData-Quelle enthält.
Bevor Sie mit diesem Verfahren beginnen, sollten Sie sicherstellen, dass Sie über Folgendes verfügen:
Die URL oder der veröffentlichte Dienstendpunkt des lokalen OData-Diensts, den Sie konfiguriert haben.
Die ID der Secure Store-Zielanwendung, die Sie konfiguriert haben.
Die url mit Internetzugriff, die Microsoft 365 verwendet, um eine Verbindung mit der Dienstadresse herzustellen und die vom Reverseproxy veröffentlicht wurde. Dies ist die Adresse, die Sie verwendet haben, um in der letzten Vorgehensweise zum externen Dienst zu browsen, mit dem Zusatz /_vti_bin/client.svc.
Die ID der Secure Store-Zielanwendung für das Secure Channel-Zertifikat in Microsoft 365.
So konfigurieren Sie das Verbindungseinstellungsobjekt für das BCS-Hybridszenario
Wechseln Sie zu Weitere Features im SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen in Microsoft 365 verfügt.
Wählen Sie unter BCS die Option Öffnen aus.
Wählen Sie Verbindungen mit lokalen Diensten verwalten aus.
Klicken Sie auf Hinzufügen.
Geben Sie dem Verbindungseinstellungsobjekt einen Namen.
Wichtig
Vermerken Sie sich diesen Namen. Sie werden ihn beim Erstellen des externen Inhaltstyps im nächsten Verfahren benötigen.
Geben Sie im Feld Dienstadresse die URL des OData-Dienstendpunkts ein, den Sie erstellt haben.
Wählen Sie für dieses Szenario die Option In SharePoint lokal gespeicherte Anmeldeinformationen als Authentifizierung verwenden aus, und geben Sie dann den Namen der Zielanwendungs-ID ein, die die Zuordnung der Gruppe zum Konto enthält. In diesem Szenario haben Sie ODataApp erstellt.
Wählen Sie in der Dropdownliste Authentifizierungsmodus die Option Identität des Fensters annehmen aus.
Geben Sie im Feld internetseitige URL die externe URL mit der Erweiterung /_vti_bin/client.svc ein. Beispiel:
https://hybridexternal.sharepoint.com/_vti_bin/client.svc
.Geben Sie im Feld Zielanwendungs-ID für den sicheren Speicher die ID der Zielanwendung ein, die das Secure Channel-Zertifikat enthält. Beispiel: SecureChannelTargetApp.
Wählen Sie Erstellen aus.
Erstellen und Konfigurieren des externen Inhaltstyps
In jeder BCS-Lösung definiert der externe Inhaltstyp die externen Daten zu SharePoint Server. Sie enthält Beschreibungen zur Strukturierung und Sicherung der Daten, die bestimmten Teile der externen Daten, mit denen Sie interagieren möchten und die erlaubten Vorgänge. Wenn eine externe Liste oder App für SharePoint in Microsoft 365 oder das Geschäftsdaten-Webpart eine Anforderung für externe Daten sendet, verweist der Business Data Connectivity-Dienst auf den externen Inhaltstyp für die Liste oder App oder das Webpart, um zu verstehen, wie mit der externen Datenquelle kommuniziert wird.
Im BCS-Hybridszenario werden nur OData-Quellen unterstützt, und die bevorzugte Methode zum Erstellen eines externen Inhaltstyps für eine OData-Quelle ist die Verwendung von Visual Studio 2012. Visual Studio 2012 vereinfacht den Prozess zum Erstellen externer Inhaltstypen, indem eine direkte Verbindung mit der OData-Quelle hergestellt, gelesen und der externe Inhaltstyp XML für Sie erstellt wird. Nach der Erstellung müssen Sie einige kleinere Änderungen am XML-Code vornehmen, z. B. das Einfügen des zu verwendenden Verbindungseinstellungsobjekts und das Entfernen eines Teils des Codebausteins, bevor Sie ihn für SharePoint in Microsoft 365 zur Verwendung im BCS-Hybridszenario bereitstellen können.
Bevor Sie beginnen, sollten Sie sicherstellen, dass Sie über Folgendes verfügen:
Visual Studio 2012 auf einem Computer, der sich im Netzwerk Ihres Unternehmens befindet.
Die URL des OData-Dienstendpunkts
Microsoft Office Tools for Visual Studio 2012
Nachdem Sie all dies abgeschlossen haben, führen Sie die Schritte unter How to: Create an external content type from an OData source in SharePoint 2013 (Vorgehensweise: Erstellen eines externen Inhaltstyps aus einer OData-Quelle in SharePoint 2013 ) in der MSDN Library aus.
Wenn Sie die Erstellung des externen Inhaltstyps abgeschlossen haben, stellen Sie das Hybridszenario in einer externen Liste bereit.
Siehe auch
Konzepte
Bereitstellen einer Business Connectivity Services-Hybridlösung in SharePoint in Microsoft 365
Übersicht über Business Connectivity Services-Sicherheitsaufgaben in SharePoint Server