Gestire le autorizzazioni per il Catalogo dati business.
Il Catalogo dati business è un servizio che è possibile utilizzare per integrare i dati line-of-business con Microsoft Office SharePoint Server 2007. Include un database per l'archiviazione di metadati per le applicazioni line-of-business in un formato coerente e le API corrispondenti per l'estrazione di dati dalle applicazioni e la connessione di client al database.
I client per il Catalogo dati business includono, tra l'altro, profili dati business, Web part, elenchi SharePoint e profili utente. Ogni volta che un client tenta di accedere ai dati business, viene eseguita l'autenticazione dell'account corrente e l'accesso viene concesso in base alle impostazioni di autorizzazione dell'account autenticato. Se l'account dispone delle autorizzazioni corrette, i dati vengono recuperati dal database di livello intermedio e restituiti al client.
L'accesso ai dati di applicazioni line-of-business, ad esempio database o servizi Web, può essere autorizzato dall'applicazione nel server back-end. Se si utilizza il modello di autenticazione Sottosistema attendibile, è possibile autorizzare l'accesso per i client utilizzando le autorizzazioni dei servizi del Catalogo dati business. Per ulteriori informazioni sui modelli di autenticazione, vedere Gestire l'autenticazione per il Catalogo dati business.
Contenuto dell'articolo:
Autorizzazione back-end
Autorizzazione di livello intermedio
Autorizzazione back-end
Nell'autorizzazione back-end il server back-end per l'applicazione è responsabile della concessione dell'accesso ai dati nel server ed esegue l'identificazione e l'autorizzazione dei singoli utenti in base alle autorizzazioni definite dall'applicazione. Questo metodo offre alcuni vantaggi per il controllo delle transazioni di dati business in alcuni scenari ma richiede attività di configurazione aggiuntive nel server back-end. Le applicazioni line-of-business che utilizzano l'autorizzazione back-end concedono il controllo dell'accesso agli utenti in base all'autorizzazione da parte del server back-end. I dati di tali applicazioni sono rese disponibili per le applicazioni client in base all'autorizzazione di ogni utente. Se si utilizza l'autorizzazione back-end, non è possibile utilizzare le autorizzazioni servizi per il Catalogo dati business per attivare un controllo dell'accesso più specifico.
Autorizzazione di livello intermedio
Per l'autorizzazione di livello intermedio viene utilizzata un'unica identità per autorizzare tutti gli utenti nel server back-end. Le autorizzazioni servizi del Catalogo dati business vengono configurate per attivare un controllo dell'accesso più specifico per i singoli utenti. In tale modo è disponibile un unico modello di autorizzazione per tutte le applicazioni, che consente di attivare un pool di connessioni al database e di supportare scenari in cui l'autorizzazione back-end non è possibile.
Le autorizzazioni servizi per il Catalogo dati business consentono agli utenti di accedere ai dati business da applicazioni line-of-business importate nel Catalogo dati business. Tali autorizzazioni non fanno parte della protezione e del modello di autorizzazioni di Microsoft Windows SharePoint Services 3.0 e vengono gestite da una pagina speciale relativa ai diritti dei servizi condivisi nel sito di amministrazione dei servizi condivisi.
Per impostazione predefinita, l'account utilizzato per creare il sito Amministrazione servizi condivisi di un provider di servizi condivisi dispone di tutte le autorizzazioni servizi del Catalogo dati business. A nessun altro account, compresi gli account aggiunti come amministratori del sito Amministrazione servizi condivisi, vengono concesse automaticamente le autorizzazioni servizi.
A qualsiasi account che disponga almeno dell'autorizzazione Solo visualizzazione per il sito Amministrazione servizi condivisi è possibile concedere una o più autorizzazioni servizi.
Le autorizzazioni servizi per il Catalogo dati business sono:
Autorizzazione Impostazione autorizzazioni
Consente ai responsabili delle autorizzazioni per il Catalogo dati business di gestire le autorizzazioni servizi per gli utenti, inclusa l'autorizzazione Impostazione autorizzazioni.
Autorizzazione Modifica
Consente agli amministratori delle definizioni delle applicazioni di importare, aggiornare ed eliminare le definizioni di applicazioni per le applicazioni line-of-business.
Autorizzazione Selezione in client
Consente agli Information Worker, di solito amministratori di siti o proprietari di siti di SharePoint in cui sono visualizzati dati business da applicazioni line-of-business, di selezionare dati business in Web part, colonne in elenchi SharePoint e altri client con accesso ai dati dal Catalogo dati business. Gli utenti a cui viene concessa questa autorizzazione non richiedono l'accesso al sito di amministrazione servizi condivisi. Per ulteriori informazioni sull'utilizzo di dati business in client quali elenchi SharePoint e Web Part, vedere Dati business in siti, elenchi e raccolte (https://go.microsoft.com/fwlink/?linkid=107616&clcid=0x410) e Utilizzare dati business in elenchi SharePoint (https://go.microsoft.com/fwlink/?linkid=107617&clcid=0x410).
Autorizzazione Esecuzione
Consente agli sviluppatori di eseguire istanze di metodi per entità di dati business. Gli utenti a cui viene concessa questa autorizzazione non richiedono l'accesso al sito di amministrazione servizi condivisi. Per ulteriori informazioni sull'esecuzione di istanze di metodi per entità di dati business, vedere SharePoint Server 2007 SDK (Software Development Kit)(informazioni in lingua inglese).
È possibile impostare queste autorizzazioni come elenchi di controllo di accesso (ACL, Access Control List) a cinque livelli gerarchici corrispondenti a nomi di oggetti utilizzati nei file XML di definizione di applicazioni per applicazioni line-of-business nel Catalogo dati business:
Catalogo dati business (il livello più alto, denominato Registro di sistema dell'applicazione nello schema)
Applicazione (LobSystem nello schema)
Entità o tipo dati business (Entity nello schema)
Metodo
Istanza di metodo (MethodInstance nello schema)
Per un esempio di un file di definizione dell'applicazione, vedere Esempio: metadati pass-through AdventureWorks2000 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=124631&clcid=0x410).
Le autorizzazioni vengono impostate separatamente a ogni livello. Ad esempio, un utente con autorizzazione Modifica a livello di Catalogo dati business può importare nuove definizioni di applicazioni ma può solo modificare o eliminare definizioni di applicazioni esistenti se dispone di autorizzazione Modifica a livello di applicazione. Per i tre livelli superiori è possibile visualizzare e gestire le autorizzazioni dalle pagine Gestisci autorizzazioni nel sito di amministrazione servizi condivisi. Le autorizzazioni relative a metodi e istanze di metodi sono visualizzabili solo nei file di definizione di applicazioni pertinenti.
I responsabili delle autorizzazioni per un livello possono copiare autorizzazioni allo stesso livello per tutti i discendenti. Ad esempio, agli utenti con accesso al Catalogo dati business è possibile concedere le stesse autorizzazioni per tutte le applicazioni e le entità esistenti oppure agli utenti con accesso a un'applicazione è possibile concedere autorizzazioni a tutte le entità relative a tale applicazione.
Durante la configurazione iniziale del Catalogo dati business è consigliabile configurare le autorizzazioni all'interno del Catalogo dati business e considerare per quali utenti è necessaria ogni autorizzazione servizi a tale livello prima di passare alle autorizzazioni per le singole applicazioni. Dopo aver aggiunto le autorizzazioni per gli utenti a ogni applicazione è possibile configurare le autorizzazioni per ogni entità, metodo o istanza di metodo. Durante le normali attività, i responsabili delle definizioni delle applicazioni possono aggiungere o rimuovere autorizzazioni alle applicazioni e alle entità, man mano che le esigenze e le procedure aziendali cambiano.
Autorizzazioni Catalogo dati business di livello superiore
Per impostazione predefinita, l'account utilizzato per creare il sito di amministrazione servizi condivisi dispone di tutte le autorizzazioni servizi al livello superiore del Catalogo dati business, compresa l'autorizzazione Impostazione autorizzazioni. Come responsabile delle autorizzazioni, in genere questo utente aggiunge autorizzazioni servizi per un numero ridotto di utenti al livello superiore del Catalogo dati business. Tali utenti corrispondono agli amministratori del Catalogo dati business. Questi sono responsabili delle autorizzazioni, amministratori delle definizioni delle applicazioni o rivestono entrambi i ruoli.
Gli amministratori delle definizioni delle applicazioni collaborano con un progettista o con uno sviluppatore che crea la definizione di ogni applicazione line-of-business. Le definizioni delle applicazioni includono ACL per tutte le entità, i metodi e le istanze di metodi importati. È possibile aggiungere dettagliatamente queste autorizzazioni al momento della creazione della definizione dell'applicazione. In alternativa, è possibile aggiungere un numero minimo di utenti e modificare quindi la definizione dell'applicazione dopo l'importazione.
Gli amministratori delle definizioni delle applicazioni di livello superiore in genere aggiungono autorizzazioni a un numero limitato di altri utenti per ogni applicazione. In tale modo, è possibile incaricare utenti diversi della gestione delle autorizzazioni per i dati business per ogni applicazione, evitando di concedere autorizzazioni su più applicazioni a un gran numero di utenti.
Quando si aggiungono autorizzazioni a qualsiasi livello, è consigliabile concedere a ogni utente le autorizzazioni minime necessarie per utilizzare i dati business pertinenti.
Gli amministratori delle applicazioni dispongono di tutte le autorizzazioni a livello di applicazione. In genere è presente un numero ridotto di amministratori delle applicazioni, che sono gli unici utenti a disporre delle autorizzazioni Impostazione autorizzazioni e Modifica a livello di applicazione.
Gli Information Worker dispongono solo dell'autorizzazione Selezione in client e non dispongono di altre autorizzazioni.
Gli sviluppatori e i progettisti dispongono delle autorizzazioni Esecuzione per le applicazioni e le entità che stanno sviluppando e progettando e non dispongono di altre autorizzazioni.
Le autorizzazioni iniziali a livello di applicazione ed entità vengono configurate dall'autore della definizione dell'applicazione interessata. L'autore della definizione dell'applicazione può inoltre configurare le autorizzazioni per utenti e gruppi per l'applicazione e, facoltativamente, per una o più entità per l'applicazione. Quando l'amministratore delle definizioni delle applicazioni importa la definizione dell'applicazione nel Catalogo dati business, tali utenti vengono aggiunti agli ACL e vengono autorizzati a visualizzare i dati relativi all'applicazione e alle entità pertinenti. Le modifiche apportate alle autorizzazioni a ogni livello influiscono sul codice XML sottostante nella definizione dell'applicazione.
Requisiti per l'attività
Per eseguire le procedure per questa attività:
- Gli amministratori devono disporre dell'accesso al sito di amministrazione servizi condivisi e dell'autorizzazione Impostazione autorizzazioni per il Catalogo dati business. L'account utilizzato per creare il sito di amministrazione servizi condivisi dispone di questa autorizzazione e può concederla ad altri utenti.
Per gestire le autorizzazioni per il Catalogo dati business, è possibile eseguire le procedure seguenti: