管理商務資料目錄的授權
「商務資料目錄」是一種服務,用來整合商務營運系統資料和 Microsoft Office SharePoint Server 2007。它包含一個資料庫,能夠以一致的格式儲存商務營運系統應用程式的中繼資料,以及對應的 API,可從應用程式擷取資料和連接用戶端至資料庫。
「商務資料目錄」的用戶端包括,但不限於,商務資料設定檔、網頁組件、SharePoint 清單和使用者設定檔。用戶端每次嘗試存取商務資料時,目前帳戶將依據驗證的帳戶的授權設定進行驗證並被授與資料存取權。如果帳戶具有正確的權限,則會從中間層資料庫擷取資料並傳回至用戶端。
存取商務營運系統應用程式中的資料,例如,資料庫或 Web 服務,可以由後端伺服器上的應用程式進行授權。如果使用「信任的子系統」驗證模型,則可以使用「商務資料目錄」服務權限來授與用戶端存取權。如需驗證模型的詳細資訊,請參閱<管理商務資料目錄的驗證>。
本文內容:
後端授權
中間層授權
後端授權
在後端授權,應用程式的後端伺服器負責授與伺服器上的資料存取權,並依據應用程式定義的權限個別地識別與驗證使用者。這在某些案例中可能會對稽核商務資料交易帶來一些好處,但後端伺服器則需要額外的設定工作。使用後端授權的商務營運系統應用程式將根據後端伺服器制定的授權,將存取控制授與使用者。每一個使用者的授權情況將決定用戶端應用程式是否可以使用那些應用程式的資料。當您使用後端授權時,您無法使用「商務資料目錄」的服務權限來啟用更特定的存取控制。
中間層授權
中間層授權使用單一身分識別來對後端伺服器上的所有使用者進行授權。您設定「商務資料目錄」服務權限,來對個別使用者啟用更特定的存取控制。這樣可以在所有應用程式之間提供單一模型的授權,並啟用資料庫連接共用功能以及在不可能實施後端授權的案例中提供支援。
「商務資料目錄」的服務權限可讓使用者從商務營運系統應用程式 (匯入至「商務資料目錄」) 存取商務資料。這些權限不是 Windows SharePoint Services 3.0 安全性和權限模型的一部分,並且是從 [共用服務管理] 網站上特殊的 [共用服務權限] 頁面進行管理。
根據預設,用來建立共用服務提供者 (SSP) 之 [共用服務管理] 網站的帳戶具有所有「商務資料目錄」的服務權限。其他任何帳戶,包括新增為 [共用服務管理] 網站之網站管理員的帳戶在內,都不會被自動授與服務權限。
至少擁有「共用服務管理」網站「僅供檢視」權限的所有帳戶,則可對其授與一或多項服務權限。
「商務資料目錄」的服務權限如下:
「設定權限」權限
可讓「商務資料目錄」的權限管理員管理其他使用者的服務權限,包括「設定權限」權限。
編輯權限
可讓應用程式定義管理員匯入、更新和刪除商務營運系統應用程式的應用程式定義。
在用戶端權限中選取
可讓資訊工作者,通常是網站管理員或顯示商務營運系統應用程式之商務資料的 SharePoint 網站擁有者,選取網頁組件中的商務資料、SharePoint 清單中的欄,以及其他具有從「商務資料目錄」存取資料權限的用戶端。被授與這個權限的使用者不需要存取 [共用服務管理] 網站。如需在用戶端 (例如,SharePoint 清單和網頁組件) 使用商務資料的詳細資訊,請參閱網站、清單及清單庫中的商務資料 (https://go.microsoft.com/fwlink/?linkid=107616&clcid=0x404) 和使用 SharePoint 清單中的商務資料 (https://go.microsoft.com/fwlink/?linkid=107617&clcid=0x404)。
執行權限
可讓開發人員執行商務資料實體的方法執行個體。被授與這個權限的使用者不需要存取 [共用服務管理] 網站。如需執行商務資料實體的方法執行個體的詳細資訊,請參閱SharePoint Server 2007 SDK:Software Development Kit (英文) 。
這些權限可以設為存取控制清單 (ACL) 於五個階層層級,該五個階層層級對應至用於「商務資料目錄」中商務營運系統應用程式的應用程式定義 XML 檔案中。
商務資料目錄 (最上層,在結構描述中又稱為「應用程式登錄」)
應用 (在結構描述中為 LobSystem)
實體或商務資料類型 (在結構描述中為 Entity)
方法
方法執行個體 (在結構描述中為 MethodInstance)
如需應用程式定義檔案的範例,請參閱範例:AdventureWorks2000 PassThrough 中繼資料 (英文) (https://go.microsoft.com/fwlink/?linkid=124631&clcid=0x404) 。
每一個層級的權限為個別設定。例如,具有「商務資料目錄」層級「編輯」權限的使用者可以匯入新應用程式定義,但是,如果具有應用程式層級的「編輯」權限,則僅可編輯或刪除現有應用程式定義。前三個層級的權限可以從 [共用服務管理] 網站的 [管理權限] 頁面檢視和管理。方法和方法執行個體僅可在相關應用程式定義檔案中檢視。
位於某個層級的權限管理員可以將該層級的權限複製至以下所有層級。例如,具有「商務資料目錄」存取權的使用者可以授與所有現有應用程式與實體的相同權限,否則具有應用程式存取權的使用者則可以授與該應用程式所有實體的權限。
在「商務資料目錄」初始設定期間,一個不錯的作法是設定整個「商務資料目錄」的權限,並先考量哪些使用者需要該層級的每一個服務權限,然後再移動至個別應用程式的權限。之後,您對使用者新增每一個應用程式的權限後,您要對每一個實體、方法或方法執行個體設定權限。在作業進行中的期間,應用程式定義管理員可以依業務需求新增或移除應用程式和實體的權限並經常進行變更。
最上層商務資料目錄權限
根據預設,用來建立 [共用服務管理] 網站的帳戶具有商務資料目錄最上層的所有服務權限。其中包含「設定權限」權限。這個使用者作為權限管理員會對位於「商務資料目錄」最上層的少數使用者新增服務權限。這些使用者是「商務資料目錄」管理員同時也是權限管理員、應用程式定義管理員或兩者。
應用程式定義管理員和製作每一個商務營運系統應用程式的應用程式定義的設計者或開發人員一起作業。應用程式定義包括所有已匯入實體、方法和方法執行個體的 ACL。這些權限可以在製作應用程式定義時詳細新增,或者您可以新增最小數目的使用者,然後在匯入應用程式定義後編輯應用程式定義。
最上層應用程式定義管理員通常將權限新增至限定於每一個應用程式的其他使用者。如此一來便可以將每一個應用程式管理商務資料的權限責任交給不同使用者,而不必將應用程式的權限授與大量的使用者。
在任何層級加入權限時,最佳作法是將使用相關商務資料所需的最低權限授與每一個使用者。
應用程式管理員具有應用程式層級的所有權限。通常,在應用程式層級下,只有少數應用程式管理員是唯一被授與「設定權限」權限和「編輯」權限的使用者。
資訊工作者具用戶端權限中的 [選取],而且不具有其他權限。
開發人員和設計者具有他們正在開發和設計之應用程式和實體的「執行」權限,而且不具有其他權限。
應用程式和實體層級的初始權限由應用程式之應用程式定義的作者設定。應用程式定義的作者還可以設定應用程式的使用者和群組權限,以及選擇性地設定應用程式一或多個實體的權限。當應用程式定義管理員將應用程式定義匯入至「商務資料目錄」時,那些使用者將新增至 ACL 並被授與檢視相關應用程式與實體之資料的權限。在每一層次對權限進行的變更將影響應用程式定義中的基準 XML。
工作需求
以下是執行這項工作之程序的必要條件:
- 管理員必須具有 [共用服務管理] 網站存取權,以及對「商務資料目錄」啟用的「設定權限」權限。用來建立 [共用服務管理] 網站的帳戶具有這個權限而且可以將該權限授與其他使用者。
若要管理「商務資料目錄」的管理權限,您可以執行下列程序: