Управление проверкой прав доступа для каталога бизнес-данных.
Служба Business Data Catalog может использоваться для интеграции данных бизнеса с Microsoft Office SharePoint Server 2007. Она включает базу данных для хранения метаданных бизнес-приложений в едином формате и соответствующих API-интерфейсов для извлечения данных из приложений и для подключения клиентов к базе данных.
К клиентам Business Data Catalog относятся в том числе профили бизнес-данных, веб-детали, списки SharePoint и профили пользователей. При каждой попытке клиента получить доступ к бизнес-данным происходит аутентификация текущей учетной записи и предоставляется доступ к данным в зависимости от параметров аутентификации. Если учетная запись обладает необходимыми правами, данные извлекаются из базы данных среднего уровня и передаются клиенту.
Доступ к бизнес-приложениям, таким как базы данных и веб-службы, может предоставляться приложением на служебном сервере. При использовании модели аутентификации Trusted Subsystem доступ может предоставляться клиентам через права служб Business Data Catalog. Подробное описание различных моделей аутентификации содержится в статье Управление проверкой подлинности для каталога бизнес-данных..
Содержание этой статьи:
Авторизация на служебном уровне
Авторизация на среднем уровне
Авторизация на служебном уровне
В фоновой модели авторизации фоновый сервер приложения отвечает за предоставление доступа к данным на сервере и выполняет аутентификацию каждого пользователя согласно правил, принятых внутри приложения. В некоторых ситуациях это имеет ряд преимуществ для контроля за транзакциями бизнес-данных, но требует дополнительных усилий по конфигурированию на фоновом сервере. Бизнес-приложения, использующие фоновую модель авторизации, предоставляют доступ пользователям в зависимости от их авторизации на фоновом сервере. Данные из этих приложений становятся доступными для клиентских приложений в зависимости от авторизации каждого пользователя. При использовании фоновой модели авторизации нельзя пользоваться правами служб в каталоге бизнес-данных для более детального контроля доступа.
Авторизация на среднем уровне
В модели авторизации на среднем уровне используется единая идентификация для всех пользователей на фоновом сервере. Для более детального контроля за пользователями конфигурируются разрешения служб в каталоге бизнес-данных. Это обеспечивает единую модель авторизации для всех приложений, использование очереди подключений к базе данных и поддержку сценариев, в которых фоновая авторизация невозможна.
Разрешения служб для каталога бизнес-данных позволяют пользователям получать доступ к бизнес-данным из бизнес-приложений, импортированных в каталог бизнес-данных. Эти разрешения не являются частью системы обеспечения безопасности и модели Windows SharePoint Services 3.0, поэтому управление ими осуществляется со специальной страницы прав общих служб на сайте администрирования общих служб.
По умолчанию учетная запись, используемая для создания сайта администрирования общих служб для поставщика общих служб (SSP), обладает всеми разрешениями служб в каталоге бизнес-данных. Разрешения служб не предоставляются автоматически никаким другим учетным записям, включая учетные записи администраторов сайта администрирования общих служб.
Любой учетной записи, имеющей по меньшей мере разрешение только на просмотр на сайте администрирования общих служб, может быть предоставлено одно или несколько разрешений служб.
Для каталога бизнес-данных предоставляются следующие разрешения:
Разрешения на предоставляение разрешений
Позволяет менеджерам разрешений каталога бизнес-данных предоставлять разрешения другим пользователям, включая разрешение на предоставление разрешений.
Разрешение на изменение
Позволяет администраторам определений приложений импортировать, обновлять и удалять определения бизнес-приложений.
Разрешение на выбор в клиентах
Позволяет пользователям, работающим с информацией, таким как администраторы или владельцы сайтов SharePoint, показывающих данные из бизнес-приложений, выбирать данные из веб-части, колонки в списках SharePoint и других клиентов, обладающих доступом к каталогу бизнес-данных. Пользователям с этим разрешением не требуется доступ к сайту администрирования общих служб. Использование бизнес-данных в клиентах, таких как списки SharePoint и веб-части, описано в статьях Business data in sites, lists, and libraries (https://go.microsoft.com/fwlink/?linkid=107616&clcid=0x419) и Work with business data in SharePoint lists (https://go.microsoft.com/fwlink/?linkid=107617&clcid=0x419).
Разрешение на выполнение
Позволяет разработчикам выполнять экземпляры методов для элементов бизнес-данных. Пользователям с этим разрешением не требуется доступ к сайту администрирования общих служб. Выполнение экземпляров методов для элементов бизнес-данных описано в статье SharePoint Server 2007 SDK: Software Development Kit.
Эти разрешения могут устанавливаться как списки контроля доступа (ACL) на пяти уровнях иерархии, соответствующих именам объектов в XML-файлах определения приложений для бизнес-приложений в каталоге бизнес-данных:
Каталог бизнес-данных (верхний уровень или реестр приложений в этой схеме)
Приложение (LobSystem в этой схеме)
Тип элемента или бизнес-данных (Entity в этой схеме)
Метод
Экземпляр метода (MethodInstance в этой схеме)
Пример файла определения приложений содержится в статье Sample: AdventureWorks2000 PassThrough Metadata (https://go.microsoft.com/fwlink/?linkid=124631&clcid=0x419).
Разрешения на каждом уровне устанавливаются отдельно. Например, пользователь с разрешением на изменение на уровне каталога бизнес-данных может импортировать новые определения приложений, но может изменять только существующие определения приложений, если у них есть разрешение на изменение на уровне приложений. Просмотр и управление разрешениями осуществляется из страницы "Управление разрешениями" на сайте администрирования общих служб для трех верхних уровней. Разрешения на методы и экземпляры методов могут просматриваться только в файлах определения соответствующих приложений.
Менеджеры разрешений на одном уровне могут копировать разрешения своего уровня на все нижестоящие уровни. Например, пользователи с доступом к каталогу бизнес-данных могут получить одинаковые разрешения на все существующие приложения и их элементы, а пользователи с доступом к приложению могут получить разрешение на все элементы этого приложения.
При начальном конфигурировании каталога бизнес-данных бывает полезно сначала сконфигурировать разрешения по всему каталогу и выбрать пользователей, которым нужны разрешения для каждой службы на этом уровне, а затем переносить разрешений на конкретные приложения. Затем, после того, как разрешения добавлены пользователям каждого приложения, конфигурируются разрешения для каждого элемента данных, метода или его экземпляра. В процессе эксплуатации менеджеры определений приложений могут добавлять или удалять разрешения для приложений или элементов данных в зависимости от изменений в потребностях бизнеса.
Разрешения на каталог бизнес-данных верхнего уровня
Учетная запись, используемая для создания сайта администрирования общих служб по умолчанию обладает всеми разрешениями служб на верхнем уровне каталога бизнес-данных. Сюда входит разрешение на предоставление разрешений. Как менеджер разрешений, этот пользователь обычно добавляет разрешения служб ограниченному кругу пользователей на верхнем уровне каталога бизнес-данных. К этим пользователям относятся администраторы каталога бизнес-данных, выполняющие роль менеджеров разрешений и администраторов определений приложений или обе эти роли.
Администраторы определений приложений взаимодействуют с конструкторами или разработчиками, которые являются авторами определений для каждого бизнес-приложения. Определения приложений включают списки контроля доступа для всех импортированных элементов, методов и их экземпляров. Эти разрешения могут добавляться на более детальном уровне при создании определения приложения, или можно сначала добавить минимальное количество пользователей, а затем изменить определение приложения после его импорта.
Администраторы определений приложений верхнего уровня обычно добавляют разрешения другим пользователям, которые ограничены только конкретным приложением. Таким образом можно возложить на разных пользователей ответственность за управление разрешениями бизнес-данных каждого приложения, не давая разрешение на множество приложений множеству пользователей.
При добавлении разрешений на каждом уровне полезно предоставлять каждому пользователю только те разрешения, которые ему необходимы для работы с соответствующими бизнес-данными.
Администраторы приложений обладают всеми разрешениями на уровне приложения. Обычно существует ограниченный круг администраторов приложений, и это пользователи, получившие разрешение на предоставление разрешений и на изменение на уровне приложения.
Работники, обрабатывающие информацию, имеют только разрешение на выбор клиента.
Разработчики и контрукторы имеют только разрешение на выполнение для разрабатываемых ими приложений и их элементов.
Начальные разрешения на уровне приложения и элементов данных конфигурируются создателем определения приложения. Создатель определения приложения может также сконфигурировать разрешения для пользователей приложения и их групп и также для одного или нескольких элементов этого приложения. Когда администратор определений приложений импортирует определение приложения в каталог бизнес-данных, эти пользователи добавляются в список контроля доступа и получают право на просмотр соответствующего приложения и его элементов. Изменения, вносимые на каждом уровне разрешений, влияют на поведение XML в определении приложения.
Требования к задаче
Для выполнения этой задачи требуется следующее:
- Администраторы должны иметь доступ к сайту администрирования общих служб и разрешение на предоставление разрешений для каталога бизнес-данных. Этим разрешением обладает учетная запись, используемая для создания сайта администрирования общих служб, и она позволяет предоставлять разрешения другим пользователям.
Для управления разрешениями на каталог бизнес-данных можно выполнить следующие процедуры: