Планирование решения Business Connectivity Services в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
Решения Microsoft Business Connectivity Services глубоко интегрируют внешние данные в SharePoint Server и Office. Каждое решение Business Connectivity Services настраивается с помощью Visual Studio. Готовых конфигураций или шаблонов служб Business Connectivity Services, которые можно использовать, не существует.
В этой статье рассматриваются пять вопросов, на которые необходимо ответить, прежде чем вы сможете разработать решение Business Connectivity Services. Обязательно соберите все эти данные и представьте их основным заинтересованным лицам для проверки и утверждения. Когда вы сделаете это, вы поможете убедиться, что все участники имеют одинаковое представление о потребностях проекта и о том, как будет работать решение.
Расположение данных
Первым шагом в планировании решения Business Connectivity Services является понимание расположения нужных внешних данных. Определение расположения данных выполняется с учетом трех аспектов.
Необходимо знать, кто несет ежедневную административную ответственность за внешний источник данных. Это группа, с которыми вам потребуется работать, чтобы настроить подключение к внешним данным. Они смогут рассказать вам, как данные предоставляются для внешнего потребления, как они защищены и т. д. Они могут потребоваться для создания учетных данных во внешней системе для использования. Будьте готовы ответить на их вопросы о влиянии решения Business Connectivity Services на данные и внешнюю систему.
Сеть
Кроме того, необходимо учитывать, где внешний источник данных находится по отношению к сети, в которой будут находиться службы Business Connectivity Services и ваши пользователи. Для этого составьте схему трех компонентов сети и посмотрите, где они находятся. Например, вы можете увидеть, все ли они в вашей внутренней сети и в брандмауэре. Вы также можете увидеть, что инфраструктура Business Connectivity Services и внешний источник данных разделены брандмауэром или пограничной сетью и находятся в полностью отдельных сетях. Вот несколько основных правил, которые можно использовать при разработке проекта:
Если внешний источник данных находится за пределами сети, например в Интернете, Business Connectivity Services придется связываться с ним через брандмауэр организации, и этот трафик следует учитывать при планировании.
Посмотрите, откуда пользователи будут получать доступ к решению Business Connectivity Services. Обязательно подумайте, требуется ли шифрование обмена данными между клиентом и решением Business Connectivity Services, и может ли базовая сетевая инфраструктура поддерживать дополнительную нагрузку. Кроме того, убедитесь, что браузеры и клиенты Office поддерживают функциональность, которую предоставляет решение.
Способы предоставления данных
Решения Business Connectivity Services могут подключаться к внешнему источнику данных с помощью OData, SQL Server, службы Windows Communication Foundation (WCF) и сборок .NET. Необходимо узнать, как данные предоставляются для внешнего использования (это можно узнать у администраторов внешней системы). Способ отображения внешних данных определяет, какие средства разработки будут использоваться для создания внешнего типа контента. В следующей таблице показаны возможные варианты инструментов в зависимости от внешнего источника данных.
Способы защиты данных
Службы Business Connectivity Services обрабатывают все проверки подлинности для обмена данными между собой и внешней системой. В основном службы Business Connectivity Services предоставляют внешней системе информацию, которая позволяет внешней системе проверять подлинность запроса (определить, кем вы себя говорите), а затем авторизовать доступ к данным во внешней системе. Службы Business Connectivity Services поддерживают множество типов проверки подлинности.
Для проектирования решения Business Connectivity Services необходимо знать, какой механизм проверки подлинности требуется внешней системе. Таким образом, вы узнаете, как настроить Business Connectivity Services, чтобы они отображали сведения о проверке подлинности в том порядке, в который требуется внешней системе. Службы Business Connectivity Services поддерживают три модели проверки подлинности:
Проверка подлинности на основе учетных данных В моделях проверки подлинности на основе учетных данных учетные данные передаются из служб Business Connectivity Services во внешнюю систему. Учетные данные — это имя пользователя и пароль. Служба Business Connectivity Services может сделать это разными способами, включая передачу учетных данных пользователя, выполнившего вход, передачу учетных данных службы, выполняющей запрос, или сопоставление учетных данных пользователя, выполнившего вход, с другим набором учетных данных, распознаваемого внешней системой.
Проверка подлинности на основе утверждений В некоторых сценариях проверки подлинности внешняя система не будет принимать учетные данные напрямую из служб Business Connectivity Services. Однако внешняя система будет принимать их от сторонней службы проверки подлинности, которая доверяет ей. Сторонняя служба проверки подлинности (поставщик маркеров безопасности) принимает группирование сведений (известных как утверждения) о инициаторе запроса. Вся группировка называется утверждением, и утверждение может содержать больше сведений о инициаторе запроса, чем просто имя пользователя и пароль. Например, утверждение может содержать метаданные о инициаторе запроса, такие как адрес электронной почты инициатора запроса или группы безопасности, к которым принадлежит запрашивающий. Сторонняя служба проверки подлинности выполняет проверку подлинности запрашивающего на основе утверждений в утверждении и создает маркер безопасности для запрашивающего. Затем инициатор запроса (службы Business Connectivity Services) представляет маркер безопасности внешней системе, и внешняя система проверяет, к каким данным авторизован доступ инициатору запроса.
Пользовательская проверка подлинности Если внешняя система, с которым вы работаете, не поддерживает проверку подлинности на основе учетных данных или утверждений, вам потребуется разработать, протестировать и реализовать пользовательское решение, которое принимает учетные данные, которые могут создавать службы Business Connectivity Services, и преобразует их в формат, который будет приниматься внешней системой. Можно внедрить настраиваемое решение проверки подлинности для локальных источников данных OData, защита которых обеспечивается с помощью OAuth или настраиваемого HTTP-модуля ASP.NET.
Способы использования данных
В рамках сбора требований вам необходимо выяснить у заинтересованных лиц вашего бизнеса, что им нужно решение и как им нужно, чтобы пользователи взаимодействовали с ним. Им может потребоваться, чтобы пользователи взаимодействовали с данными в SharePoint Server, через внешние списки, внешние веб-части и приложения Office. Кроме того, им может потребоваться решение для обработки данных в приложениях Office и SharePoint. Дополнительные сведения о приложениях для Office и SharePoint см. в статье Обзор приложений для SharePoint 2016 (OLD). Кроме того, для решения может потребоваться другое сочетание доступа браузера, клиента и приложения к внешним данным.
Способ доступа пользователей к данным влияет на область внешнего типа контента, используемого Службами Business Connectivity Services для доступа к внешним данным. Если для решения Business Connectivity Services требуется приложение для Office и SharePoint, внешний тип контента должен быть ограничен этим приложением. Если ваше решение Business Connectivity Services не будет использовать приложения для Office и SharePoint для доступа к внешним данным, внешний тип контента должен быть ограничен приложением службы подключения к бизнес-данным.
Внешние типы контента уровня Business Connectivity Services хранятся централизованно в хранилище метаданных BDC, а администратор фермы управляет их безопасностью. Вы можете совместно использовать эти внешние типы контента с несколькими веб-приложениями Business Connectivity Services.
Приложения для Office и внешних типов контента с областью действия SharePoint хранятся в виде XML-файла в приложении для Office и самом приложении SharePoint. Они не могут использоваться другими приложениями для Office и SharePoint.
Объекты параметров подключения можно использовать только с источниками данных OData. Они содержат сведения о подключении, такие как адрес службы, которая предоставляет внешние данные, тип используемой проверки подлинности, URL-адрес для подключения к Интернету и имена всех необходимых сертификатов. Объекты параметров подключения являются отдельными объектами внешнего типа контента. Когда решение Business Connectivity Services должно подключиться к внешней системе, оно использует сведения в объекте параметров подключения. Обычно необходимо определить сведения о подключении отдельно от внешнего типа контента, если разработчик внешнего типа контента не знает или не имеет доступа к необходимым сведениям о подключении при разработке внешнего типа контента. Как внешние типы контента на уровне приложения, так и внешние типы контента уровня службы могут использовать объекты параметров подключения. Объекты параметров подключения могут использоваться несколькими решениями Business Connectivity Services. Каждому решению должны быть предоставлены разрешения на использование объекта параметров подключения.
Способы назначения разрешений для решения
В каждом решении Business Connectivity Services необходимо спланировать, кто будет иметь разрешения для каких объектов. Это способ ограничения и предоставления доступа к решению соответствующим пользователям. Для настройки разрешений вам придется работать с внешним системным администратором и администраторами фермы SharePoint Server, администраторами семейства веб-сайтов и администраторами сайтов. На самом фундаментальном уровне, однако, вот что необходимо учитывать при планировании.
Существует три базовые роли, используемые в каждом из решений Business Connectivity Services:
Административные роли Эти роли отвечают за управление разрешениями во внешней системе, создание приложения службы подключения к бизнес-данным и управление ими, импорт моделей подключения к бизнес-данным (BDC) в хранилище метаданных BDC, а также управление разрешениями для хранилища метаданных BDC и всех объектов в нем. Если приложения для SharePoint используют службы Business Connectivity Services, администраторы фермы SharePoint Server также будут участвовать в публикации приложения, создании объектов подключения и управлении ими. Как правило, эти обязанности выполняются администраторами фермы SharePoint Server, администраторами внешней системы и всеми, кто делегировал права администратора.
Роли разработчика или конструктора Эти роли отвечают за создание внешних типов контента, моделей BDC и приложений для SharePoint, использующих службы Business Connectivity Services. Именно они изначально отвечают за определение всех бизнес-задач, которые должны выполняться решением.
Роли пользователей Люди с этими ролями используют внешние данные и управляют ими в решении Business Connectivity Services. В рамках одного решения возможно использование нескольких ролей пользователя, для каждой из которых устанавливается свой уровень разрешений. Например, в сценарии системы отправки запросов в службу поддержки, которая использует службы Business Connectivity Services для интеграции внешней информации в решение, техническим специалистам службы технической поддержки уровня I может быть предоставлена только возможность чтения и запуска рабочих процессов по запросу, в то время как технические специалисты уровня II и III имеют возможность обновлять запросы.
Есть также четыре основных аспекта для каждого решения Business Connectivity Services, для которого вы будете управлять разрешениями:
Внешняя система Каждая внешняя система будет иметь метод для проверки подлинности и авторизации. (Дополнительные сведения см. в разделе Как защищены данные? ранее в этой статье.) Необходимо поработать с внешним системным администратором, чтобы определить, как предоставить доступ пользователям решения в соответствии с принципом минимальных привилегий. Как правило, вы сопоставляете группу пользователей со стороны Business Connectivity Services с одной учетной записью на стороне внешней системы и используете одну внешнюю системную учетную запись для ограничения доступа. Кроме того, можно сопоставить отдельные учетные записи в каждой системе. В любом случае, если внешняя система не может напрямую принимать учетные данные, с помощью которых пользователь проходит проверку подлинности в SharePoint Server, вам потребуется использовать службу Secure Store. Дополнительные сведения о моделях проверки подлинности, поддерживаемых Business Connectivity Services, см. в статье Общие сведения о безопасности Business Connectivity Services (SharePoint 2010).
Центральная инфраструктура Business Connectivity Services В центре администрирования вы управляете назначением разрешений для хранилища метаданных BDC. В нем вы управляете моделями подключения к бизнес-данным, внешними системами и внешними типами контента. Необходимо назначить разрешения на выполнение для внешнего типа контента всем пользователям, которые будут использовать решение Business Connectivity Services. В таблицах ниже представлено сопоставление возможностей, разрешений и объектов.
Хранилище метаданных службы подключения к бизнес-данным Это база данных SQL Server, в которой хранятся определения модели, внешние типы контента и определения внешней системы.
Таблица: сопоставление разрешений для хранилища метаданных службы подключения к бизнес-данным
| Чтобы разрешить пользователю или группе... | Предоставьте им следующие разрешения... | На... |
|---|---|---|
| Устанавливать разрешения для любых объектов, содержащихся в хранилище метаданных службы подключения к бизнес-данным посредством распространения | SetPermissions | Хранилище метаданных службы подключения к бизнес-данным |
Модель Модель — это XML-файл, содержащий наборы описаний одного или нескольких внешних типов контента, связанных внешних систем и сведений, относящихся к среде, например свойств проверки подлинности.
Таблица: сопоставление разрешений для модели
| Чтобы разрешить пользователю или группе... | Предоставьте им следующие разрешения... | На... |
|---|---|---|
| Создавать новые модели | Вносить изменения | Хранилище метаданных службы подключения к бизнес-данным |
| Изменять модель | Вносить изменения | Модель |
| Назначать разрешения для модели | SetPermissions | Модель |
| Импортировать модель | Вносить изменения | Хранилище метаданных службы подключения к бизнес-данным |
| Экспортировать модель | Вносить изменения | Модель и все внешние системы в модели |
Внешняя система в хранилище метаданных BDC Внешняя система — это определение метаданных поддерживаемого источника данных, который можно моделировать, например базу данных, веб-службу или сборку подключения .NET.
Таблица: сопоставление разрешений для внешней системы в хранилище метаданных службы подключения к бизнес-данным
| Чтобы разрешить пользователю или группе... | Предоставьте им следующие разрешения... | На... |
|---|---|---|
| Создание новых внешних систем | Вносить изменения | Хранилище метаданных службы подключения к бизнес-данным |
| Изменение внешней системы | Вносить изменения | Объект внешней системы |
| Устанавливать разрешения для внешней системы | SetPermissions | Объект внешней системы |
Внешний тип контента Внешний тип контента — это многоразовая коллекция метаданных, которая определяет набор данных из одной или нескольких внешних систем, операции, доступные для этих данных, и сведения о подключении, связанные с ними.
Таблица: сопоставление разрешений для внешнего типа контента
| Чтобы разрешить пользователю или группе ... | Предоставьте им следующие разрешения ... | На... |
|---|---|---|
| Создавать новые внешние типы контента | Вносить изменения | Внешняя система |
| Выполнять операции для внешнего типа контента | Выполнение | Внешний тип контента (экземпляры метода операции) |
| Создавать списки внешнего типа контента | Выбирается в клиентах | Внешний тип контента |
| Устанавливать разрешения для внешнего типа контента | SetPermissions | Внешний тип контента |
Метод Метод подключения к бизнес-данным — это xml-определение того, как службы Business Connectivity Services могут взаимодействовать с внешним источником данных.
Таблица: сопоставление разрешений для метода
| Чтобы разрешить пользователю или группе ... | Предоставьте им следующие разрешения ... | На... |
|---|---|---|
| Редактировать метод | Вносить изменения | Метод |
| Устанавливать разрешения для метода | SetPermissions | Метод |
Экземпляр метода. Экземпляр метода описывает использование конкретного метода при помощи определенного набора значений по умолчанию.
Таблица: сопоставление разрешений для экземпляра метода
| Чтобы разрешить пользователю или группе... | Предоставьте им следующие разрешения... | На... |
|---|---|---|
| Редактировать экземпляр метода | Вносить изменения | Экземпляр метода |
| Выполнять экземпляр метода | Выполнение | Экземпляр метода |
| Устанавливать разрешения для экземпляра метода | SetPermissions | Экземпляр метода |
Среда разработки При разработке решения Business Connectivity Services, включая внешний тип контента, а также любые приложения для SharePoint и объекты параметров подключения, рекомендуется использовать среду разработки, отдельную от рабочей среды. В среде разработки можно предоставить разработчикам более высокий уровень разрешений, чем обычно в рабочей среде.
Пользовательская среда Доступ ко всем внешним данным будет осуществляться через внешние списки, столбцы внешних данных, веб-части бизнес-данных, приложения для SharePoint или Office. Для приложений для SharePoint можно разрешить приложению для Office и SharePoint принудительно применять разрешения. В этом случае, если пользователи могут получить доступ к приложению для Office и SharePoint, они могут получить доступ ко всем внешним данным, которые отображаются в приложении для Office и SharePoint. Вам придется работать с администраторами сайтов и семейств веб-сайтов, чтобы спланировать и реализовать разрешения для внешних данных в решении.
См. также
Понятия
Общие сведения о Business Connectivity Services в SharePoint