Opérations de sécurité Business Connectivity Services (SharePoint Server 2010)
S’applique à : SharePoint Foundation 2010, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Cet article décrit les tâches administratives liées à la sécurité pour votre application de service Business Data Connectivity.
Dans cet article :
Affecter des administrateurs à une application de service Business Data Connectivity
Définir des autorisations sur un magasin de métadonnées
Mode d’authentification RevertToSelf
Flux de travail et listes externes
Définir des autorisations pour permettre à une batterie de serveurs consommatrice de générer des packages de déploiement
Affecter des administrateurs à une application de service Business Data Connectivity
Les administrateurs de batterie peuvent déléguer l’administration d’une application de Service Business Data Connectivity spécifique à un administrateur d’application de service. L’administrateur délégué obtient l’accès au site Web Administration centrale et peut effectuer des tâches administratives liées à cette application de Service Business Data Connectivity.
Conseil
L’administrateur délégué n’obtient pas d’autorisations sur le magasin de métadonnées.
Pour affecter des administrateurs à une application de service Business Data Connectivity
Vérifiez que vous disposez des informations d’identification administratives suivantes :
- Vous devez être administrateur de batterie.
Sur le site Web Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.
Dans la liste des applications de service, cliquez sur la ligne qui contient l’application de Service Business Data Connectivity.
Sous l’onglet Applications de service, dans la section Opérations, cliquez sur Administrateurs.
Dans la zone de texte, entrez ou sélectionnez un compte d’utilisateur ou de groupe, puis cliquez sur Ajouter.
Dans la zone Autorisations, cliquez sur Contrôle total, puis cliquez sur OK.
Définir des autorisations sur un magasin de métadonnées
Chaque application de Service Business Data Connectivity possède un magasin de métadonnées qui inclut tous les modèles, les systèmes externes, les types de contenu externe, les méthodes et les instances de méthodes qui ont été définis pour les besoins de ce magasin. Vous définissez des autorisations sur un magasin de métadonnées pour spécifier qui peut modifier les éléments qu’il contient et qui peut définir des autorisations sur celui-ci.
Il est recommandé d’accorder des autorisations spécifiques à chaque utilisateur ou groupe qui en a besoin, afin que les informations d’identification comportent les privilèges minimaux nécessaires à la réalisation des tâches requises. Pour plus d’informations sur la définition des autorisations, voir Vue d’ensemble des autorisations du service Business Connectivity dans « Vue d’ensemble de la sécurité de Business Connectivity Services (SharePoint Server 2010) ».
Pour définir des autorisations sur un magasin de métadonnées
Vérifiez que vous disposez d’une des informations d’identification administratives suivantes :
Vous devez être administrateur de batterie.
Vous devez être l’administrateur de l’application de Service Business Data Connectivity et posséder l’autorisation Définir les autorisations sur le magasin de métadonnées.
Sur le site Web Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications de service.
Dans la liste des applications de service, cliquez sur la ligne qui contient l’application de Service Business Data Connectivity.
Sous l’onglet Applications de service, dans la section Opérations, cliquez sur Gérer.
Sous l’onglet Modifier, dans le groupe Autorisations, cliquez sur Définir les autorisations du magasin de métadonnées.
Dans la zone de texte, entrez les comptes d’utilisateur, les groupes ou les revendications auxquels des autorisations seront accordées, puis cliquez sur Ajouter.
Notes
Le nom du compte d’utilisateur, du groupe ou de la revendication ne peut pas comporter de barre verticale (|).
Définissez les autorisations pour le compte, le groupe ou la revendication :
Notes
Au moins un utilisateur, un groupe ou une revendication dans la liste de contrôle d’accès de l’objet de métadonnées doit disposer de l’autorisation Définir les autorisations.
Cliquez sur Modifier pour autoriser l’utilisateur, le groupe ou la revendication à créer des systèmes externes et des modèles, ainsi qu’à importer et à exporter des modèles.
Security Note L’autorisation Modifier doit être considérée comme dotée de privilèges élevés. À l’aide de l’autorisation Modifier, un utilisateur malveillant peut dérober des informations d’identification ou endommager une batterie de serveurs. Pour sécuriser une solution, il est recommandé d’utiliser un environnement de test dans lequel l’autorisation Modifier peut être affectée librement aux développeurs et aux concepteurs de solution. Lorsque vous déployez la solution testée dans un environnement de production, supprimez les autorisations Modifier. Cliquez sur Exécuter pour autoriser l’utilisateur, le groupe ou la revendication à exécuter des opérations (créer, lire, mettre à jour, supprimer ou interroger) sur des types de contenu externe.
Conseil
L’autorisation Exécuter n’est pas applicable au magasin de métadonnées proprement dit. Ce paramètre permet de propager l’autorisation Exécuter aux objets enfants dans le magasin de métadonnées.
Cliquez sur Sélectionnable dans les clients pour autoriser l’utilisateur, le groupe ou la revendication à créer des listes externes de n’importe quels types de contenu externe et à afficher les types de contenu externe dans le sélecteur d’éléments externes.
Conseil
L’autorisation Sélectionnable dans les clients n’est pas applicable au magasin de métadonnées proprement dit. Ce paramètre permet de propager l’autorisation Sélectionnable dans les clients aux objets enfants dans le magasin de métadonnées.
Cliquez sur Définir les autorisations pour autoriser l’utilisateur, le groupe ou la revendication à définir des autorisations sur le magasin de métadonnées.
Security Note L’autorisation Définir les autorisations doit être considérée comme dotée de privilèges élevés. À l’aide de l’autorisation Définir les autorisations, un utilisateur peut accorder l’autorisation Modifier sur le magasin de métadonnées.
Pour propager les autorisations à tous les éléments du magasin de métadonnées, cliquez sur Propager les autorisations à tous les modèles BDC, les systèmes externes et les types de contenu externe dans le magasin de métadonnées BDC. Cette opération remplace les autorisations existantes.
Mode d’authentification RevertToSelf
À chaque type de contenu externe est associé un mode d’authentification. Le mode d’authentification transmet à Business Connectivity Services des informations sur la façon de traiter une demande d’authentification entrante émanant d’un utilisateur et mappe cette demande à un jeu d’informations d’identification pouvant être transmises au système externe. Par défaut, le mode d’authentification RevertToSelf (également appelé mode d’authentification Identité BDC) n’est pas activé. Vous ne pouvez pas créer ou importer de modèles qui utilisent RevertToSelf lorsque le mode d’authentification RevertToSelf n’est pas activé.
Le mode d’authentification RevertToSelf utilise le compte de pool d’applications sous lequel Business Connectivity Services est en cours d’exécution pour authentifier l’utilisateur connecté auprès du système externe. Par exemple, lorsqu’un utilisateur ouvre une liste externe, le compte de pool d’applications du serveur Web frontal qui héberge la liste externe est utilisé pour l’authentification. Le compte de pool d’applications est un compte doté de privilèges élevés. Par défaut, le compte de pool d’applications dispose d’un accès en écriture à la base de données de configuration de la batterie de serveurs. À l’aide du mode RevertToSelf, toute personne pouvant créer ou modifier un modèle qui utilise le mode RevertToSelf est en mesure de s’octroyer le rôle d’administrateur de la batterie de serveurs SharePoint.
Le mode d’authentification RevertToSelf n’est pas recommandé pour les environnements de production. Il est conseillé d’utiliser le service Banque d’informations sécurisé.
Si vous devez utiliser le mode d’authentification RevertToSelf dans un environnement de production, tenez compte des éléments suivants :
Tout utilisateur pouvant créer ou modifier des modèles, y compris les utilisateurs de SharePoint Designer, doit être considéré comme l’égal d’un administrateur de batterie du point de vue de la sécurité. Vous devez pouvoir lui accorder la même confiance que celle que vous accorderiez à un administrateur de batterie.
Dans la mesure du possible, vous devez verrouiller l’utilisation du compte de pool d’applications. Cela permet de limiter les dommages qu’un utilisateur malveillant peut causer à la batterie de serveurs SharePoint et aux systèmes externes.
Activer le mode d’authentification RevertToSelf
Une fois le mode d’authentification RevertToSelf activé, il est possible de créer et d’importer des modèles utilisant RevertToSelf.
Security Note |
---|
Le mode d’authentification RevertToSelf n’est pas recommandé pour les environnements de production. Avant d’activer le mode d’authentification RevertToSelf, vous devez avoir lu et assimilé les incidences de cette opération. |
Notes
RevertToSelf n’est pas autorisé dans les environnements hébergés.
Pour activer le mode d’authentification RevertToSelf
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À l’invite de commandes Windows PowerShell, tapez les commandes suivantes, puis appuyez sur Entrée :
Pour créer une variable qui contient l’objet de l’application de Service Business Data Connectivity, tapez la commande suivante :
$bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
Où <ServiceName> est le nom de l’application de Service Business Data Connectivity. Il peut également s’agir d’une expression régulière (par exemple, « BDC »).
Notes
Si l’application de Service Business Data Connectivity est une application de service partagé, cette commande doit être exécutée sur la batterie de serveurs où l’application de service est publiée.
Pour activer le mode d’authentification RevertToSelf, tapez la commande suivante :
$bdc.RevertToSelfAllowed = $true
Désactiver le mode d’authentification RevertToSelf
Une fois le mode d’authentification désactivé, il est impossible de créer ou d’importer des modèles utilisant RevertToSelf.
Notes
Si des modèles existants utilisent RevertToSelf, ils demeureront opérationnels. Vous devez supprimer les modèles existants si vous souhaitez supprimer toutes les instances d’authentification RevertToSelf de votre batterie de serveurs.
Pour désactiver le mode d’authentification RevertToSelf
Vérifiez que vous disposez de la configuration minimale requise suivante : Voir Add-SPShellAdmin.
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Produits Microsoft SharePoint 2010.
Cliquez sur SharePoint 2010 Management Shell.
À l’invite de commandes Windows PowerShell, tapez les commandes suivantes, puis appuyez sur Entrée :
Pour créer une variable qui contient l’application de Service Business Data Connectivity, tapez la commande suivante :
$bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}
Où <ServiceName> est le nom de l’application de Service Business Data Connectivity. Il peut également s’agir d’une expression régulière (par exemple, « BDC »).
Notes
Si l’application de Service Business Data Connectivity est une application de service partagé, cette commande doit être exécutée sur la batterie de serveurs où l’application de service est publiée.
Pour désactiver le mode d’authentification RevertToSelf, tapez la commande suivante :
$bdc.RevertToSelfAllowed = $false
Flux de travail et listes externes
Une phase de configuration supplémentaire est requise si vous souhaitez développer des flux de travail qui interagissent avec des listes externes. Les sections suivantes décrivent les contraintes susceptibles d’avoir une incidence sur le comportement des flux de travail.
Notes
Les flux de travail ne peuvent pas interagir avec des listes externes dans un environnement hébergé.
Les flux de travail ne peuvent pas être directement associés à une liste externe
Étant donné que les données externes ne sont pas stockées dans SharePoint Server, le flux de travail ne peut pas être informé de la modification d’un élément dans la liste externe. Par contre, vous pouvez créer un flux de travail de site ou un flux de travail de liste, puis le configurer afin qu’il lise ou mette à jour une liste externe. Vous pouvez également utiliser un élément de liste externe comme destination pour un processus de tâche dans SharePoint Designer ; toutefois, le lien vers la tâche n’affichera pas de titre pour l’élément de liste externe.
Parfois, les flux de travail s’exécutent en tant que compte de service
Les flux de travail s’exécutent en tant que compte de service (généralement, le compte de pool d’applications) dans les scénarios suivants :
Flux de travail Visual Studio.
Flux de travail déclaratifs qui interagissent avec des listes externes et qui sont démarrés automatiquement (y compris lorsque les flux de travail comprennent une étape d’emprunt d’identité).
Dans ce cas, vous devez accorder au compte de service l’autorisation Exécuter sur le type de contenu externe auquel est associée la liste externe et vérifier que le compte de service dispose des autorisations nécessaires pour accéder au système externe.
Flux de travail et authentification
Les activités de flux de travail ne peuvent être prises en charge que si le type de contenu externe auquel est associée la liste externe utilise RevertToSelf ou le service Banque d’informations sécurisé pour l’authentification.
Notes
Ces restrictions relatives au mode d’authentification ne s’appliquent pas si vous utilisez un .NET Assembly Connector ou un connecteur personnalisé.
Authentification à l’aide de RevertToSelf
Le mode d’authentification RevertToSelf (également appelé mode d’authentification Identité BDC) procède à l’authentification auprès du système externe en utilisant le compte de pool d’applications du serveur Web frontal qui héberge la liste externe. Cela signifie que le compte de pool d’applications doit être habilité à accéder au système externe. Par défaut, l’authentification RevertToSelf n’est pas activée. Vous devez activer le mode d’authentification RevertToSelf avant de créer ou d’importer des modèles qui utilisent l’authentification RevertToSelf.
Security Note L’authentification RevertToSelf n’est pas recommandée pour les environnements de production. Pour plus d’informations sur l’authentification RevertToSelf, voir Mode d’authentification RevertToSelf.
Authentification à l’aide du service Banque d’informations sécurisé
Le service Banque d’informations sécurisé vous permet de stocker de manière sécurisée des données qui fournissent les informations d’identification nécessaires à la connexion aux systèmes externes et à l’association de ces informations d’identification à une identité ou à un groupe d’identités spécifique. Vous devez vous assurer que le type de contenu externe utilise l’un des modes authentification du service Banque d’informations sécurisé.
Security Note Si le flux de travail s’exécute sous le compte de service, il est recommandé de mapper le compte de service sur un compte doté de privilèges moins élevés. Par exemple, vous pouvez créer un ID d’application cible de Banque d’informations sécurisée qui mappe le compte de service sur un compte disposant d’autorisations minimales et ne pouvant accéder qu’au système externe requis.
Pour plus d’informations sur les modes d’authentification, voir Vue d’ensemble de l’authentification de Business Connectivity Services dans « Vue d’ensemble de la sécurité de Business Connectivity Services (SharePoint Server 2010) ».
Définir des autorisations pour permettre à une batterie de serveurs consommatrice de générer des packages de déploiement
L’application de Service Business Data Connectivity peut être partagée entre plusieurs batteries de serveurs. La batterie de serveurs qui contient l’application de Service Business Data Connectivity et qui publie l’application de Service Business Data Connectivity est appelée batterie de serveurs de publication. La batterie de serveurs consommatrice est la batterie de serveurs qui se connecte à un emplacement distant pour utiliser l’application de Service Business Data Connectivity.
Lorsqu’un utilisateur déconnecte une liste externe, le compte de pool d’applications utilisé par le serveur Web frontal qui héberge la liste externe génère un package de déploiement, qui est ensuite installé sur l’ordinateur client. Sur la batterie de serveurs de publication, le compte de pool d’applications du serveur frontal dispose des autorisations complètes sur le magasin de métadonnées, ce qui lui permet de générer le package de déploiement. Si vous souhaitez que la batterie de serveurs consommatrice puisse générer des packages de déploiement, vous devez accorder les autorisations Modifier et Définir les autorisations sur le magasin de métadonnées au compte de pool d’applications utilisé par le serveur frontal sur la batterie de serveurs consommatrice. Si vous n’accordez pas ces autorisations supplémentaires au compte de pool d’applications, les listes externes qui résident sur la batterie de serveurs consommatrice ne peuvent pas être déconnectées.
Security Note |
---|
Lorsque vous accordez au compte de pool d’applications de la batterie de serveurs consommatrice les autorisations Modifier et Définir les autorisations sur le magasin de métadonnées, ce compte endosse la fonction d’administrateur de batterie sur la batterie de serveurs de publication. |
Notes
Cette section s’applique uniquement aux déploiements SharePoint Server sur site.
Pour plus d’informations sur les déploiements de listes externes, voir Planifier l’intégration cliente de Business Connectivity Services (SharePoint Server 2010).
Pour affecter des autorisations au compte de pool d’applications de la batterie de serveurs consommatrice
Vérifiez que vous disposez d’une des informations d’identification administratives suivantes :
Vous devez être administrateur de batterie sur la batterie de serveurs de publication.
Vous devez être l’administrateur de l’application de Service Business Data Connectivity et posséder l’autorisation Définir les autorisations sur le magasin de métadonnées.
Sur le site Web Administration centrale de la batterie de serveurs de publication, dans la section Gestion des applications, cliquez sur Gérer les applications de service.
Cliquez sur une instance d’une application de Service Business Data Connectivity.
Sous l’onglet Modifier, dans le groupe Autorisations, cliquez sur Définir les autorisations du magasin de métadonnées.
Dans la zone de texte, entrez le compte de pool d’applications utilisé par le serveur Web frontal sur la batterie de serveurs consommatrice, puis cliquez sur Ajouter.
Dans la zone Autorisations, cliquez sur Modifier, puis cliquez sur Définir les autorisations.
Cliquez sur OK.
Pour plus d’informations sur les applications de service partagé, voir Partager des applications de service parmi des batteries (SharePoint Server 2010).
See Also
Concepts
Vue d’ensemble de la sécurité de Business Connectivity Services (SharePoint Server 2010)