Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Foundation 2010)

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel wird Folgendes beschrieben: die Sicherheitsarchitektur des Servers und Clients für Microsoft Business Connectivity Services, die unterstützten Sicherheitsumgebungen, die verfügbaren Authentifizierungsmodi für die Verbindung von externen Inhaltstypen mit externen Systemen, die verfügbaren Autorisierungsoptionen für gespeicherte Objekte sowie die allgemeinen Methoden zum Konfigurieren der Sicherheit von Microsoft Business Connectivity Services.

Inhalt dieses Artikels:

  • Zu diesem Artikel

  • Business Connectivity Services-Sicherheitsarchitektur

  • Business Connectivity Services-Authentifizierung (Übersicht)

  • Business Connectivity Services-Berechtigungen (Übersicht)

  • Schützen von Business Connectivity Services

Zu diesem Artikel

Microsoft Business Connectivity Services enthält Sicherheitsfeatures für die Authentifizierung von Benutzern beim Zugriff auf externe Systeme und zum Konfigurieren von Berechtigungen für Daten von externen Systemen. Microsoft Business Connectivity Services ist äußerst flexibel und kann verschiedenen Sicherheitsmethoden aus unterstützten Microsoft Office 2010-Anwendungen und aus dem Webbrowser Rechnung tragen.

Business Connectivity Services-Sicherheitsarchitektur

In diesem Abschnitt wird die Sicherheitsarchitektur von Microsoft Business Connectivity Services beschrieben.

SicherheitshinweisSecurity Note
Es wird empfohlen, Secure Sockets Layer (SSL) auf allen Kanälen zwischen Clientcomputern und Front-End-Servern zu verwenden. Außerdem wird die Verwendung von SSL oder IPsec (Internet Protocol Security, Internetprotokollsicherheit) zwischen Servern mit Microsoft SharePoint Foundation 2010 und externen Systemen empfohlen. Eine Ausnahme besteht darin, dass Sie SSL nicht verwenden können, wenn Nachrichten mithilfe des SOAP 1.1-Protokolls an externe Systeme übertragen werden oder wenn eine Verbindung zu einer SQL Server-Datenbank hergestellt wird. In diesen Fällen können Sie jedoch IPSec zum Schützen des Datenaustauschs verwenden.

Zugreifen auf externe Daten

Wenn ein Benutzer mit einem Webbrowser auf externe Daten zugreift, sind drei Systeme betroffen: der Clientcomputer des angemeldeten Benutzers, die Webserverfarm und das externe System.

BCS-Sicherheitsarchitektur über einen Webbrowser

  1. In Webbrowsern interagieren Benutzer gewöhnlich mit externen Daten in externen Listen oder mithilfe von Webparts.

  2. Vom BDC-Serverlaufzeitprozess auf Front-End-Servern werden Daten vom Business Data Connectivity Service verwendet, um eine Verbindung mit externen Systemen herzustellen und Vorgänge auf diesen auszuführen.

  3. Vom Secure Store Service werden Sätze von Anmeldeinformationen für externe Systeme sicher gespeichert und Einzel- oder Gruppenidentitäten zugeordnet.

    Wichtig

    Secure Store Service ist nicht in SharePoint Foundation 2010 enthalten. Falls Sie Secure Store Service in SharePoint Foundation 2010 benötigen, müssen Sie einen benutzerdefinierten Anbieter für einmaliges Anmelden bereitstellen.

  4. Beim Sicherheitstokendienst handelt es sich um einen Webdienst, der auf Authentifizierungsansprüche durch das Ausstellen von Sicherheitstoken reagiert, die aus Identitätsansprüchen bestehen, die auf Benutzerkontoinformationen basieren.

  5. Microsoft Business Connectivity Services kann Anmeldeinformationen an Datenbanken und Webdienste übergeben, die für die Verwendung der forderungsbasierten Authentifizierung konfiguriert sind. Eine Übersicht über die forderungsbasierte Authentifizierung finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010).

Business Connectivity Services-Authentifizierung (Übersicht)

Microsoft Business Connectivity Services kann für die Übergabe von Authentifizierungsanforderungen an externe Systeme mit folgenden Arten von Methoden konfiguriert werden:

  • Anmeldeinformationen Diese werden üblicherweise im Format Name/Kennwort übergeben. Für einige externe Systeme sind weitere Anmeldeinformationen, beispielsweise eine Geheimzahl (PIN), erforderlich.

  • Ansprüche An Ansprüche unterstützende Dienste, die externe Daten bereitstellen, können SAML-Tickets (Security Assertion Markup Language) übergeben werden.

Konfigurieren von Business Connectivity Services für die Authentifizierung mit Anmeldeinformationen

Von Microsoft Business Connectivity Services können von einem Benutzer angegebene Anmeldeinformationen verwendet werden, um Anforderungen nach externen Daten zu authentifizieren. Zur Angabe von Anmeldeinformationen für den Zugriff auf externe Daten durch Benutzer werden folgende Methoden unterstützt:

  • Windows-Authentifizierung:

    • Windows-Abfrage/Rückmeldung (NTLM)

    • Microsoft Negotiate

  • Andere Authentifizierungsmethoden als Windows

    • Formularbasiert

    • Digest

    • Standard

Beim Konfigurieren von Microsoft Business Connectivity Services für die Übergabe von Anmeldeinformationen fügt der Lösungsdesigner externen Inhaltstypen Informationen zum Authentifizierungsmodus hinzu. Durch den Authentifizierungsmodus erhält Microsoft Business Connectivity Services Informationen zur Verarbeitung einer eingehenden Authentifizierungsanforderung von einem Benutzer. Der Anforderung wird ein Satz von Anmeldeinformationen zugeordnet, die an das externe Inhaltssystem übergeben werden können. Durch den Authentifizierungsmodus kann beispielsweise festgelegt sein, dass die Anmeldeinformationen des Benutzers direkt an das externe Datensystem übergeben werden. Alternativ könnte festgelegt sein, dass den Anmeldeinformationen des Benutzers ein in einem Secure Store Service gespeichertes Konto zugeordnet werden soll, das dann an das externe System übergeben wird.

Sie können einem externen Inhaltstyp auf folgende Arten einen Authentifizierungsmodus zuordnen:

  • Beim Erstellen eines externen Inhaltstyps in Microsoft SharePoint Designer.

  • Handelt es sich bei dem externen System um einen Webdienst, können Sie den Authentifizierungsmodus auf den Verwaltungsseiten von Microsoft Business Connectivity Services angeben.

  • Sie können den Authentifizierungsmodus durch direktes Bearbeiten der XML-Datei angeben, in der der externe Inhaltstyp definiert ist.

In der folgenden Tabelle sind die Authentifizierungsmodi von Microsoft Business Connectivity Services beschrieben:

Authentifizierungsmodus Beschreibung

PassThrough

Übergibt die Anmeldeinformationen des angemeldeten Benutzers an das externe System. Dazu müssen die Anmeldeinformationen des Benutzers dem externen System bekannt sein.

Hinweis

Wenn die Webanwendung nicht für die Authentifizierung mit Windows-Anmeldeinformationen konfiguriert ist, wird anstatt der Anmeldeinformationen des Benutzers das Konto NT Authority/Anonymous Logon an das externe System übergeben.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in SharePoint Designer 2010 als Identität des Benutzers bezeichnet.

RevertToSelf

Wenn der Benutzer von einem Webbrowser aus auf externe Daten zugreift, werden in diesem Modus die Anmeldeinformationen des Benutzers ignoriert, und das Konto für die Anwendungspoolidentität, unter dem die BCS-Laufzeit auf dem Webserver ausgeführt wird, wird an das externe System gesendet. Wenn der Benutzer von einer Office-Clientanwendung aus auf externe Daten zugreift, entspricht dieser Modus dem PassThrough-Modus, da Microsoft Business Connectivity Services auf dem Client unter den Anmeldeinformationen des Benutzers ausgeführt wird.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in SharePoint Designer 2010 als BDC-Identität bezeichnet.

Hinweis

Der Modus RevertToSelf ist standardmäßig nicht aktiviert. Sie müssen den RevertToSelf-Modus mithilfe von Windows PowerShell aktivieren, bevor Sie Modelle erstellen oder importieren können, in denen RevertToSelf verwendet wird. Weitere Informationen finden Sie unter RevertToSelf authentication mode. Der RevertToSelf-Modus wird in gehosteten Umgebungen nicht unterstützt.

WindowsCredentials

Für externe Webdienste oder Datenbanken wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Windows-Anmeldeinformationen für das externe System zuzuordnen.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in SharePoint Designer 2010 als Identitätswechsel für Windows-Identität bezeichnet.

Credentials

Für einen externen Webdienst wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen zuzuordnen, die von einer anderen Quelle als Windows bereitgestellt werden und mit denen auf externe Daten zugegriffen wird. Bei diesem Modus sollte der Webdienst Standard- oder Digestauthentifizierung verwenden.

Wichtig

Aus Sicherheitsgründen sollte in diesem Modus die Verbindung zwischen Microsoft Business Connectivity Services und dem externen System durch SSL (Secure Sockets Layer) oder IPSec (Internet Protocol Security, Internetprotokollsicherheit) gesichert sein.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in Office SharePoint Designer als Identitätswechsel für benutzerdefinierte Identität bezeichnet.

RDBCredentials

Für eine externe Datenbank wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen zuzuordnen, die von einer anderen Quelle als von Windows bereitgestellt werden. Aus Sicherheitsgründen sollte in diesem Modus die Verbindung zwischen Microsoft Business Connectivity Services und dem externen System durch SSL (Secure Sockets Layer) oder IPSec geschützt sein.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in Office SharePoint Designer als Identitätswechsel für benutzerdefinierte Identität bezeichnet.

DigestCredentials

Für einen WCF-Webdienst wird in diesem Modus ein Secure Store Service verwendet, um den Anmeldeinformationen des Benutzers einen Satz von Anmeldeinformationen mit Digestauthentifizierung zuzuordnen.

Dieser Modus wird auf den Verwaltungsseiten von Microsoft Business Connectivity Services und in SharePoint Designer 2010 als Identitätswechsel für benutzerdefinierte Identität – Digest bezeichnet.

Die folgende Abbildung zeigt die Microsoft Business Connectivity Services-Authentifizierungsmodi bei Verwendung von Anmeldeinformationen.

Business Connectivity Services-Authentifizierung

  • Im PassThrough-Modus (A) (Identität des Benutzers) werden die Anmeldeinformationen des angemeldeten Benutzers direkt an das externe System übergeben.

  • Im RevertToSelf-Modus (B) (BDC-Identität) werden die Anmeldeinformationen des Benutzers durch die Anmeldeinformationen des Prozesskontos ersetzt, unter dem Microsoft Business Connectivity Services ausgeführt wird. Diese Anmeldeinformationen werden an das externe System übergeben.

  • In drei Modi wird Secure Store Service verwendet: WindowsCredentials (Identitätswechsel für Windows-Identität), RdbCredentials (Identitätswechsel für benutzerdefinierte Identität) und Credentials. In diesen Modi wird den Anmeldeinformationen des Benutzers ein Satz von Anmeldeinformationen für das externe System zugeordnet, die dann von Microsoft Business Connectivity Services an das externe System übergeben werden. Lösungsadministratoren können entweder den Anmeldeinformationen jedes Benutzers ein eindeutiges Konto auf dem externen System zuordnen oder einem Satz von authentifizierten Benutzern ein einzelnes Gruppenkonto zuordnen.

Konfigurieren von Business Connectivity Services für die anspruchsbasierte Authentifizierung

Microsoft Business Connectivity Services kann Zugriff auf externe Daten basierend auf eingehenden Sicherheitstoken gewähren und Sicherheitstoken an externe Systeme übergeben. Ein Sicherheitstoken besteht aus einem Satz von Identitätsansprüchen bezüglich eines Benutzers, und die Verwendung von Sicherheitstoken zur Authentifizierung wird als "anspruchsbasierte Authentifizierung" bezeichnet. SharePoint Foundation enthält einen Sicherheitstokendienst, der Sicherheitstoken ausstellt.

Die folgende Abbildung zeigt die Zusammenarbeit von Sicherheitstokendienst und Secure Store Service bei der anspruchsbasierten Authentifizierung:

Forderungsauthentifizierung in BCS

  1. Ein Benutzer versucht einen Vorgang für eine externe Liste auszuführen, die für die anspruchsbasierte Authentifizierung konfiguriert ist.

  2. Die Clientanwendung fordert ein Sicherheitstoken vom Sicherheitstokendienst an.

  3. Der Sicherheitstokendienst stellt basierend auf der Identität des anfordernden Benutzers ein Sicherheitstoken aus, das einen Satz von Ansprüchen und eine Zielanwendungs-ID enthält. Der Sicherheitstokendienst gibt das Sicherheitstoken an die Clientanwendung zurück.

  4. Der Client übergibt das Sicherheitstoken an Secure Store Service.

  5. Secure Store Service wertet das Sicherheitstoken aus und gibt mithilfe der Zielanwendungs-ID einen Satz von Anmeldeinformationen für das externe System zurück.

  6. Der Client empfängt die Anmeldeinformationen und übergibt sie an das externe System, sodass ein Vorgang (wie das Abrufen oder Aktualisieren externer Daten) ausgeführt werden kann.

Business Connectivity Services-Berechtigungen (Übersicht)

Durch Berechtigungen in Microsoft Business Connectivity Services werden einem Einzel- bzw. Gruppenkonto oder einem Anspruch eine oder mehrere Berechtigungsstufen für ein Objekt in einem Metadatenspeicher zugeordnet. Durch richtiges Festlegen von Berechtigungen für Objekte in Microsoft Business Connectivity Services können Sie dazu beitragen, externe Daten sicher in Lösungen zu integrieren. Wenn Sie eine Strategie für Berechtigungen planen, sollten Sie einzelnen Benutzern oder Gruppen, die Berechtigungen benötigen, jeweils die niedrigsten Berechtigungen zuweisen, mit denen sie die erforderlichen Aufgaben erfüllen können.

Warnung

Die richtige Festlegung von Berechtigungen in Microsoft Business Connectivity Services ist ein Element einer Sicherheitsgesamtstrategie. Ebenso wichtig ist das Schützen der Daten in externen Systemen. Die Methoden hierzu hängen vom Sicherheitsmodell und den Features des externen Systems ab. Ihre Beschreibung würde den Rahmen dieses Artikels sprengen.

Hinweis

In Business Connectivity Services werden anhand der Berechtigungen für die Metadatenobjekte und der Berechtigungen für das externe System Autorisierungsregeln festgelegt. Beispielsweise kann ein Security Trimmer verhindern, dass externe Daten in den Suchergebnissen für Benutzer angezeigt werden. Wenn die Benutzer jedoch die URL zu den eingeschränkten externen Daten herausfinden, können sie auf diese Daten zugreifen, sofern sie über die notwendigen Berechtigungen für das Metadatenobjekt und das externe System verfügen. Die richtige Vorgehensweise, um zu verhindern, dass Benutzer auf externe Daten zugreifen, ist das Festlegen der geeigneten Berechtigungen sowohl in Business Connectivity Services als auch im externen System.

Wofür können Berechtigungen festgelegt werden?

Jede Instanz des Business Data Connectivity Services (oder, im Fall von Hosting, jede Partition) enthält einen Metadatenspeicher, der alle Modelle, externen Systeme, externen Inhaltstypen, Methoden und Methodeninstanzen umfasst, die für den Zweck dieses Speichers definiert wurden. Die Objekte sind in einer Hierarchie angeordnet, wie in der folgenden Abbildung dargestellt:

Metadenspeicherhierarchie

Hinweis

In der vorherigen Hierarchiegrafik bezeichnen die Etiketten in Klammern die Namen von Objekten, wie sie im Microsoft Business Connectivity Services-Metadatenschema definiert sind. Die Etiketten ohne Klammern entsprechen den Namen der Objekte, wie sie auf der Benutzeroberfläche des Business Data Connectivity Services angezeigt werden. Eine ausführliche Erläuterung des Microsoft Business Connectivity Services-Metadatenschemas sowie exemplarische Vorgehensweisen für viele Entwicklungsaufgaben finden Sie im Microsoft SharePoint 2010 Software Development Kit (https://go.microsoft.com/fwlink/?linkid=166117&clcid=0x407 ).

Die Objekthierarchie in einem Metadatenspeicher bestimmt, welche Objekte ihre Berechtigungen an andere Objekte weitergeben können. In der Abbildung wird jedes Objekt, für das Berechtigungen festgelegt und optional weitergegeben werden können, mit einer durchgezogenen Linie dargestellt. Objekte, deren Berechtigungen vom übergeordneten Objekt übernommen werden, sind mit einer gepunkteten Linie dargestellt. Die Abbildung zeigt beispielsweise, dass ein externes System (LobSystem) durch Zuweisen von Berechtigungen gesichert werden kann, einer Aktion jedoch keine Berechtigungen direkt zugewiesen werden können. Objekte, denen keine Berechtigungen zugewiesen werden können, übernehmen die Berechtigungen vom übergeordneten Objekt. Eine Aktion übernimmt beispielsweise die Berechtigungen des übergeordneten externen Inhaltstyps (Entity).

SicherheitshinweisSecurity Note
Wenn die Berechtigungen für ein Objekt in einem Metadatenspeicher weitergegeben werden, werden die Berechtigungseinstellungen aller untergeordneten Objekts dieses Elements durch die Berechtigungen des weitergebenden Objekts ersetzt. Werden beispielsweise Berechtigungen von einem externen Inhaltstyp weitergegeben, erhalten alle Methoden und Methodeninstanzen des externen Inhaltstyps die neuen Berechtigungen.

Für den Metadatenspeicher und die darin enthaltenen Objekte können vier Berechtigungsstufen festgelegt werden:

  • Bearbeiten

    SicherheitshinweisSecurity Note
    Die Berechtigung "Bearbeiten" sollte als hochgradig privilegiert behandelt werden. Mit der Berechtigung "Bearbeiten" kann ein böswilliger Benutzer Anmeldeinformationen stehlen oder eine Serverfarm beschädigen. Es empfiehlt sich, diese Berechtigung in einem Produktionssystem nur Benutzern zu erteilen, die vertrauenswürdig genug sind, um Berechtigungen auf Administratorebene zu erhalten.
  • Ausführen

  • Auswählbar in Clients

  • Berechtigungen festlegen

In der folgenden Tabelle ist die Bedeutung dieser Berechtigungen für die verschiedenen Objekte definiert, für die sie festgelegt werden können.

Objekt Definition Berechtigung "Bearbeiten" Berechtigung "Ausführen" Berechtigung "Auswählbar in Clients" Berechtigung "Berechtigungen festlegen"

Metadatenspeicher

Die im Business Data Connectivity Service gespeicherte Sammlung von XML-Dateien, die Definitionen von Modellen, externen Inhaltstypen und externen Systemen enthalten.

Der Benutzer kann neue externe Systeme erstellen.

Auch wenn es für den Metadatenspeicher selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Auch wenn es für den Metadatenspeicher selbst keine Berechtigung "Auswählbar in Clients" gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Der Benutzer kann Berechtigungen für jedes Objekt im Metadatenspeicher festlegen, indem er sie im Metadatenspeicher weitergibt.

Modell

Eine XML-Datei, die Beschreibungen für einen oder mehrere externe Inhaltstypen, die zugehörigen externen Systeme und umgebungsspezifische Informationen wie beispielsweise Authentifizierungseigenschaften enthält.

Der Benutzer kann die Modelldatei bearbeiten.

Die Berechtigung "Ausführen" gilt nicht für Modelle.

Die Berechtigung "Auswählbar in Clients" ist nicht für Modelle anwendbar.

Der Benutzer kann Berechtigungen für das Modell festlegen.

Externes System

Die Metadatendefinition einer unterstützten Datenquelle, die modelliert werden kann, z. B. eine Datenbank, ein Webdienst oder eine .NET-Verbindungsassembly.

Der Benutzer kann das externe System bearbeiten. Durch Festlegen dieser Berechtigung werden zudem das externe System und darin enthaltene externe Systeminstanzen in SharePoint Designer sichtbar.

Auch wenn es für ein externes System selbst keine Berechtigung "Ausführen" gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Auch wenn es für das externe System selbst keine Berechtigung "Auswählbar in Clients" gibt, können diese Berechtigungen mit dieser Einstellung an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Der Benutzer kann Berechtigungen für das externe System festlegen.

Externer Inhaltstyp

Eine wieder verwendbare Sammlung von Metadaten, die einen Satz von Daten von einem oder mehreren externen Systemen, die verfügbaren Vorgänge für diese Daten sowie die Konnektivitätsinformationen für diese Daten definieren.

Auch wenn es für einen externen Inhaltstyp selbst keine Bearbeitungsberechtigung gibt, können diese Berechtigungen mit dieser Einstellung an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Der Benutzer kann Vorgänge für den externen Inhaltstyp ausführen.

Der Benutzer kann externe Listen von dem externen Inhaltstyp erstellen.

Der Benutzer kann Berechtigungen für den externen Inhaltstyp festlegen.

Methode

Ein Vorgang bezüglich eines externen Inhaltstyps.

Der Benutzer kann die Methode bearbeiten.

Auch wenn es für eine Methode selbst keine Ausführungsberechtigung gibt, können mit dieser Einstellung Ausführungsberechtigungen an untergeordnete Objekte im Metadatenspeicher weitergegeben werden.

Es gibt keine Berechtigung Auswählbar in Clients für Methoden.

Der Benutzer kann Berechtigungen für die Methode festlegen.

Methodeninstanz

Beschreibt die Verwendung einer bestimmten Methode mit einem bestimmten Satz von Standardwerten.

Der Benutzer kann die Methodeninstanz bearbeiten.

Der Benutzer kann die Methodeninstanz ausführen.

Es gibt keine Berechtigung Auswählbar in Clients für Methodeninstanzen.

Der Benutzer kann Berechtigungen für die Methodeninstanz festlegen.

Spezielle Berechtigungen für den Business Data Connectivity-Dienst

Neben den zuvor beschriebenen allgemeinen Funktionen zum Festlegen von Berechtigungen gibt es einen Satz spezieller Berechtigungen für den Business Data Connectivity Service:

  • Farmadministratoren verfügen über volle Berechtigungen für den Business Data Connectivity Service. Dies ist beispielsweise für die Wartung oder Reparatur einer Instanz des Diensts erforderlich. Beachten Sie jedoch, dass der Farmadministrator nicht über Ausführungsberechtigungen für Objekte im Metadatenspeicher verfügt. Dieses Recht muss ggf. explizit von einem Administrator einer Instanz des Business Data Connectivity Services erteilt werden.

  • Windows PowerShell-Benutzer sind Farmadministratoren und können Befehle für den Business Data Connectivity Service ausführen.

  • Anwendungspoolkonten auf Front-End-Servern verfügen über dieselben Berechtigungen für den Business Data Connectivity Service wie Farmadministratoren. Die Berechtigung ist für das Generieren von auf Microsoft Business Connectivity Services basierenden Bereitstellungspaketen erforderlich.

  • Benutzern von SharePoint Designer sollten in der Regel folgende Berechtigungen für den gesamten Metadatenspeicher erteilt werden: Bearbeiten, Ausführen und Auswählbar in Clients. Benutzern von SharePoint Designer sollte nicht die Berechtigung Berechtigungen festlegen erteilt werden. Gegebenenfalls können Sie die Berechtigungen für den Benutzer von SharePoint Designer auf eine Teilmenge des Metadatenspeichers beschränken.

    Warnung

    Zugunsten der Sicherheit einer Lösung sollten externe Inhaltstypen mit SharePoint Designer in einer Testumgebung erstellt werden, in der Bearbeitungsberechtigungen frei zugewiesen werden können. Beim Bereitstellen der getesteten Lösung in einer Produktionsumgebung sollten Sie dann die Bearbeitungsberechtigungen entfernen, um die Integrität der externen Daten zu schützen.

Allgemeine Aufgaben und zugehörige Berechtigungen

In diesem Abschnitt werden allgemeine Aufgaben für den Business Data Connectivity Service und die dafür erforderlichen Berechtigungen beschrieben.

Aufgabe Berechtigungen

Erstellen eines neuen Objekts im Metadatenspeicher

Zum Erstellen eines neuen Metadatenobjekts benötigt ein Benutzer Bearbeitungsberechtigungen für das übergeordnete Metadatenobjekt. Beispielsweise benötigt ein Benutzer zum Erstellen einer neuen Methode in einem externen Inhaltstyp Berechtigungen für den externen Inhaltstyp. Die Beziehungen zwischen über- und untergeordneten Objekten im Metadatenspeicher sind in der Abbildung weiter oben in diesem Artikel dargestellt.

Löschen eines Objekts aus dem Metadatenspeicher

Zum Löschen eines Metadatenobjekts benötigt ein Benutzer Bearbeitungsberechtigungen für das Objekt. Sollen außer dem Objekt auch alle ihm untergeordneten Objekte gelöscht werden (beispielsweise beim Löschen eines externen Inhaltstyps und aller zugehörigen Methoden), ist auch die Bearbeitungsberechtigung für alle untergeordneten Objekte erforderlich.

Hinzufügen eines externen Inhaltstyps zu einem Modell

Zum Hinzufügen eines externen Inhaltstyps zu einem Modell benötigt ein Benutzer Bearbeitungsberechtigungen für das Modell.

Importieren von Modellen

Zum Importieren eines Modells in den Metadatenspeicher benötigt ein Benutzer Bearbeitungsberechtigungen für den Metadatenspeicher. Wurden für das Modell keine expliziten Berechtigungen zugewiesen, erhält der Benutzer, der das Modell importiert hat, Bearbeitungsberechtigungen für das Modell.

Exportieren von Modellen

Zum Exportieren eines Modells aus dem Metadatenspeicher benötigt ein Benutzer Bearbeitungsberechtigungen für das Modell und für alle darin enthaltenen externen Systeme.

Generieren eines Bereitstellungspakets

Bereitstellungspakete werden vom Anwendungspoolkonto generiert, das vom Front-End-Server verwendet wird. Dieses Konto verfügt über volle Berechtigungen für den Metadatenspeicher, sodass es diese Aufgabe ausführen kann.

Festlegen der ursprünglichen Berechtigungen für den Metadatenspeicher

Direkt nach dem Erstellen einer Instanz des Business Data Connectivity Services ist der zugehörige Metadatenspeicher leer. Der Farmadministrator verfügt über volle Berechtigungen für den Speicher und kann die ursprünglichen Berechtigungen festlegen.

Schützen von Business Connectivity Services

In diesem Abschnitt werden zusätzliche Maßnahmen zum Schützen von Business Connectivity Services beschrieben.

Dienstkonto

Zum Zwecke der Isolation aus Gründen der Sicherheit sollten die Business Data Connectivity Service-Anwendung und der Front-End-Server nicht das gleiche Dienstkonto verwenden.

Kommunikation zwischen Servern

Wenn Sie die Kommunikation zwischen der Business Data Connectivity Service-Anwendung und den externen Systemen schützen, können Sie sicherstellen, dass die Vertraulichkeit von Daten nicht verletzt wird. Sie müssen einen verschlüsselten Kommunikationskanal verwenden, um Daten zu schützen, die zwischen Servern mit SharePoint Foundation 2010 und externen Systemen übertragen werden. IPsec (Internet Protocol Security, Internetprotokollsicherheit) ist eine Methode, die zum Schützen von Kommunikation geeignet ist. Welche Methode Sie am besten verwenden, hängt davon ab, welche Kommunikationskanäle im Einzelnen geschützt werden sollen und welche Vorteile und Nachteile für Ihre Organisation relevant sind.

Anwendungen, die die "FileBackedMetadataCatalog"-Klasse verwenden

Aus Sicherheitsgründen ist der Authentifizierungsmodus "RevertToSelf" in SharePoint Foundation 2010 standardmäßig deaktiviert. Dadurch wird jedoch nicht verhindert, dass Anwendungen, die die FileBackedMetadataCatalog-Klasse verwenden, Modelle importieren und Aufrufe ausführen, für die die "RevertToSelf"-Authentifizierung verwendet wird. Dies kann dazu führen, dass Berechtigungen für Benutzer erhöht werden, indem Berechtigungen für das Anwendungspoolkonto erteilt werden. Stellen Sie in allen Anwendungen sicher, dass weder die FileBackedMetadataCatalog-Klasse noch die "RevertToSelf"-Authentifizierung verwendet wird, bevor Sie sie auf einem Produktionssystem installieren.