Administración de autorizaciones para el Catálogo de datos profesionales

El Catálogo de datos profesionales es un servicio que se puede usar para integrar datos de línea de negocio con Microsoft Office SharePoint Server 2007. Incluye una base de datos para almacenar los metadatos de las aplicaciones de línea de negocio en un formato coherente y las API correspondientes para extraer datos de las aplicaciones y conectar clientes a la base de datos.

Los clientes del Catálogo de datos profesionales incluyen, entre otros, perfiles de datos profesionales, elementos web, listas de SharePoint y perfiles de usuario. Cada vez que un cliente intenta obtener acceso a los datos profesionales, la cuenta actual se autentica y se le concede acceso a los datos según la configuración de autorización de la cuenta autenticada. Si la cuenta tiene los permisos correctos, se recuperan los datos de la base de datos de nivel medio y se devuelven al cliente.

El acceso a los datos de las aplicaciones de línea de negocio, como las bases de datos o los servicios web, puede ser autorizado por la aplicación en el servidor back-end. Si se usa el modelo de autenticación de subsistemas de confianza, se puede autorizar el acceso de los clientes mediante el uso de los permisos de servicios del Catálogo de datos profesionales. Para obtener más información sobre los modelos de autenticación, vea Administración de la autenticación para el Catálogo de datos profesionales.

En este artículo:

• Autorización back-end

• Autorización de nivel medio

Autorización back-end

En la autorización back-end, el servidor back-end de la aplicación es responsable de conceder acceso a los datos del servidor e identifica y autentica individualmente a los usuarios en función de los permisos definidos por la aplicación. Esto podría presentar algunas ventajas para las transacciones de datos profesionales de auditoría en algunos casos, pero requiere tareas de configuración adicionales en el servidor back-end. Las aplicaciones de línea de negocio que usan la autorización back-end conceden el control de acceso a los usuarios en función de la autorización del servidor back-end. Los datos de esas aplicaciones están disponibles en las aplicaciones cliente en función de la autorización de cada usuario. Cuando se usa la autorización back-end, no se puede usar los permisos de servicios del Catálogo de datos profesionales para habilitar un control de acceso más específico.

Autorización de nivel medio

La autorización de nivel medio usa una identidad única para autorizar todos los usuarios en el servidor back-end. Los permisos de servicios del Catálogo de datos profesionales se configuran para permitir un control de acceso más específico a cada uno de los usuarios. Esto permite disponer de un modelo único de autorización en todas las aplicaciones, habilita la agrupación de conexiones de base de datos y admite escenarios en los que la autorización back-end no es posible.

Los permisos de servicios del Catálogo de datos profesionales permiten a los usuarios tener acceso a los datos profesionales de las aplicaciones de línea de negocio importados al Catálogo de datos profesionales. Estos permisos no forman parte del modelo de permisos y seguridad de Windows SharePoint Services 3.0 y se administran desde una página especial de derechos de servicios compartidos en el sitio de Administración de servicios compartidos.

De forma predeterminada, la cuenta usada para crear el sitio de Administración de servicios compartidos para un proveedor de servicios compartidos (SSP) contiene todos los permisos de servicios del Catálogo de datos profesionales. De forma automática, no se conceden permisos de servicios a ninguna otra cuenta, incluidas las agregadas como administradores del sitio para el sitio de Administración de servicios compartidos.

Se pueden conceder uno o varios permisos de servicios a cualquier cuenta con, como mínimo, el permiso Vista sólo para el sitio de administración de servicios compartidos.

Los permisos de servicios del Catálogo de datos profesionales son:

• Permiso Establecer permisos

  Permite a los administradores de permisos del Catálogo de datos profesionales administrar los permisos de servicios de otros usuarios, incluido el permiso Establecer permisos.

• Permiso Editar

  Permite a los administradores de definiciones de aplicación importar, actualizar y eliminar definiciones de aplicación para las aplicaciones de línea de negocio.

• Permiso Seleccionar en clientes

  Permite a los trabajadores de la información, normalmente administradores de sitios o propietarios de sitios de SharePoint que muestran datos profesionales de aplicaciones de línea de negocio, seleccionar los datos profesionales en elementos web, columnas de listas de SharePoint y otros clientes con acceso a los datos del Catálogo de datos profesionales. Los usuarios con este permiso no necesitan acceso al sitio de Administración de servicios compartidos. Para obtener más información acerca del uso de los datos en clientes como listas de SharePoint y elementos web, vea la página que trata sobre los datos profesionales de sitios, listas y bibliotecas (https://go.microsoft.com/fwlink/?linkid=107616&clcid=0xC0A) y la página que trata sobre cómo trabajar con datos profesionales en listas de SharePoint (https://go.microsoft.com/fwlink/?linkid=107617&clcid=0xC0A).

• Permiso Ejecutar

  Permite a los desarrolladores ejecutar instancias de métodos para entidades de datos profesionales. Los usuarios con estos permisos no necesitan acceso al sitio de Administración de servicios compartidos. Para obtener más información acerca de cómo ejecutar instancias de métodos para entidades de datos profesionales, vea el kit de desarrollo de software de SharePoint Server 2007 (en inglés).

Estos permisos se pueden establecer como listas de control de acceso (ACL) en cinco niveles jerárquicos que se corresponden con los nombres de objeto usados en los archivos XML de definición de aplicación de las aplicaciones de línea de negocio en el Catálogo de datos profesionales:

• Catálogo de datos profesionales (nivel superior, conocido como Registro de aplicación en el esquema)

• Aplicación (LobSystem en el esquema)

• Entidad o tipo de datos profesionales (Entity en el esquema)

• Método

• Instancia de método (MethodInstance en el esquema)

Para obtener un ejemplo de archivo de definición de aplicación, vea la página del ejemplo de metadatos PassThrough de AdventureWorks2000 (https://go.microsoft.com/fwlink/?linkid=124631&clcid=0xC0A).

En cada nivel, los permisos se establecen por separado. Por ejemplo, un usuario con permiso Editar en el nivel de Catálogo de datos profesionales puede importar nuevas definiciones de aplicación, pero solo puede modificar o eliminar las definiciones de aplicación existentes si tiene el permiso Editar en el nivel de aplicación. Los permisos se pueden ver y administrar en las páginas de administración de permisos del sitio de Administración de servicios compartidos para los tres niveles superiores. Los permisos de métodos e instancias de métodos solo se pueden ver en los archivos de definición de aplicación correspondientes.

Los administradores de permisos en un nivel pueden copiar los permisos de ese nivel en todos los descendientes. Por ejemplo, a los usuarios con acceso al Catálogo de datos profesionales se les puede conceder los mismos permisos para todas las aplicaciones y entidades existentes, o a los usuarios con acceso a una aplicación se les puede conceder permisos para todas las entidades de esa aplicación.

Durante la configuración inicial del Catálogo de datos profesionales, es recomendable configurar los permisos en el Catálogo de datos profesionales y evaluar qué usuarios necesitan cada permiso de servicios en ese nivel antes de pasar a los permisos de las aplicaciones individuales. A continuación, después de haber agregado los permisos para los usuarios en cada aplicación, configure los permisos para cada entidad, método o instancia de método. Durante las operaciones en curso, los administradores de definiciones de aplicación pueden agregar o quitar permisos para las aplicaciones y entidades a medida que cambien las necesidades y las prácticas de la empresa.

Permisos de nivel superior del Catálogo de datos profesionales

De forma predeterminada, la cuenta usada para crear el sitio de Administración de servicios compartidos tiene todos los permisos de servicios en el nivel superior del Catálogo de datos profesionales. Incluye el permiso Establecer permisos. Como administrador de permisos, este usuario normalmente agrega permisos de servicios para un número reducido de usuarios en el nivel superior del Catálogo de datos profesionales. Estos usuarios son los administradores del Catálogo de datos profesionales que son administradores de permisos, administradores de definiciones de aplicación o ambos.

Los administradores de definiciones de aplicación trabajan con un diseñador o desarrollador que crea la definición de aplicación para cada aplicación de línea de negocio. Las definiciones de aplicación incluyen listas de control de acceso para todas las entidades, métodos e instancias de método importadas. Estos permisos se pueden agregar de forma detallada al crear la definición de aplicación, o puede agregar un número mínimo de usuarios y, a continuación, modificar la definición de aplicación después de importarla.

Los administradores de definiciones de aplicación de nivel superior normalmente agregan permisos para otros usuarios que están limitados a cada aplicación. De esta forma, varios usuarios pueden tener la responsabilidad de administrar los permisos de datos profesionales para cada aplicación sin conceder permisos en las aplicaciones a un gran número de usuarios.

Cuando se agregan permisos en cualquier nivel, es conveniente conceder a cada usuario los permisos mínimos necesarios para trabajar con los datos profesionales relevantes.

• Los administradores de aplicaciones tienen todos los permisos en el nivel de la aplicación. Por lo general, hay un número pequeño de administradores de aplicaciones y son los únicos usuarios a los que se concede el permiso Establecer permisos y permiso Editar en el nivel de aplicación.

• Los trabajadores de la información solo disponen del permiso Seleccionar en clientes.

• Los desarrolladores y diseñadores solo disponen del permiso Ejecutar para las aplicaciones y entidades que están desarrollando y diseñando.

El autor de la definición de aplicación configura los permisos iniciales en el nivel de aplicación y de entidad. El autor de la definición de aplicación también puede configurar los permisos de usuarios y grupos para la aplicación y, opcionalmente, para una o varias entidades de la aplicación. Cuando el administrador de definiciones de aplicación importa la definición de aplicación en el Catálogo de datos profesionales, dichos usuarios se agregan a la lista de control de acceso y están autorizados para ver los datos de la aplicación y entidades correspondientes. Los cambios realizados en los permisos en cada nivel afectan al código XML subyacente de la definición de aplicación.

Requisitos de tareas

Es necesario lo siguiente para realizar los procedimientos de esta tarea:

• Los administradores deben tener acceso al sitio de Administración de servicios compartidos y deben tener habilitado el permiso Establecer permisos para el Catálogo de datos profesionales. La cuenta usada para crear el sitio de Administración de servicios compartidos tiene este permiso y puede concederlo a otros usuarios.

Para administrar los permisos para el Catálogo de datos profesionales, puede realizar los procedimientos siguientes:

• Adición o eliminación de permisos del Catálogo de datos profesionales para un usuario o grupo

• Adición o eliminación de permisos para una aplicación en el Catálogo de datos profesionales

• Asignación o anulación de permisos para una entidad de datos profesionales