Operações de segurança dos Serviços Corporativos de Conectividade (SharePoint Server 2010)

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Este artigo descreve tarefas administrativas relacionadas à segurança para o aplicativo do serviço Conectividade de Dados Corporativos.

Neste artigo:

  • Atribuir administradores a um aplicativo do serviço Conectividade de Dados Corporativos

  • Definir permissões em um repositório de metadados

  • Modo de autenticação RevertToSelf

  • Fluxos de trabalho e listas externas

  • Definir permissões para habilitar um farm consumidor a gerar pacotes de implantação

Atribuir administradores a um aplicativo do serviço Conectividade de Dados Corporativos

Administradores de farm podem delegar administração de um aplicativo específico de Serviço de Conectividade de Dados Corporativos a um administrador de aplicativo de serviço. O administrador que receber a atribuição terá acesso ao site da Administração Central e poderá realizar tarefas administrativas relacionadas a esse aplicativo de Serviço de Conectividade de Dados Corporativos.

Dica

O administrador que receber a atribuição não terá permissão para o repositório de metadados.

Para atribuir administradores a um aplicativo do serviço Conectividade de Dados Corporativos

  1. Verifique se você possui as seguintes credenciais administrativas:

    • Você precisa ser um administrador de farm.

  2. No site da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.

  3. Na lista de aplicativos de serviço, clique na linha que contém o aplicativo de Serviço de Conectividade de Dados Corporativos.

  4. Na guia Aplicativos de Serviço, na seção Operações, clique em Administradores.

  5. Na caixa de texto, digite ou selecione uma conta de usuário ou uma conta de grupo, depois clique em Adicionar.

  6. Na caixa Permissões, clique em Controle Total, depois clique em OK.

Definir permissões em um repositório de metadados

Cada aplicativo de Serviço de Conectividade de Dados Corporativos tem um repositório de metadados que inclui todos os modelos, sistemas externos, tipos de conteúdo externo, métodos e instâncias de método que foram definidos para a finalidade desse repositório. Você define permissões em metadados para especificar quem pode editar itens e quem pode definir permissões no repositório de metadados.

É recomendável conceder permissões específicas a cada usuário ou grupo que precise delas, de modo que as credenciais forneçam o privilégio mínimo necessário para executar as tarefas essenciais. Para obter mais informações sobre configuração de permissões, consulte Visão geral das permissões do Serviço Corporativo de Conectividade em "Visão geral sobre a segurança dos Serviços Corporativos de Conectividade (SharePoint Server 2010)".

Definir permissões em um repositório de metadados

  1. Verifique se você tem uma das seguintes credenciais administrativas:

    • Você precisa ser um administrador de farm.

    • Você precisa ser o administrador do aplicativo de Serviço de Conectividade de Dados Corporativos e ter a permissão Definir Permissões para o repositório de metadados.

  2. No site da Administração Central, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.

  3. Na lista de aplicativos de serviço, clique na linha que contém o aplicativo de Serviço de Conectividade de Dados Corporativos.

  4. Na guia Aplicativos de Serviço, na seção Operações, clique em Gerenciar.

  5. Na guia Editar, no grupo Permissões, clique em Definir Permissões do Repositório de Metadados.

  6. Na caixa de texto, digite as contas de usuário, grupos ou declarações para os quais serão concedidas permissões, depois clique em Adicionar.

    Observação

    A conta de usuário, grupo ou declaração não pode ter uma barra vertical (|) no nome.

  7. Defina permissões para a conta, grupo ou declaração:

    Observação

    Pelo menos um usuário, grupo ou declaração da lista de controle de acesso do objeto de metadados deve ter a permissão Definir Permissões.

    • Clique em Editar para permitir que o usuário, grupo ou declaração crie sistemas externos e modelos e importe e exporte modelos.

      Observação de segurançaSecurity Note
      A permissão Editar deve ser considerada altamente privilegiada. Com ela, um usuário mal intencionado pode roubar credenciais ou corromper um farm de servidores. Para ajudar a garantir uma solução segura, recomendamos o uso de um ambiente de teste onde a permissão Editar possa ser livremente atribuída a desenvolvedores e designers de solução. Quando implantar a solução testada em um ambiente de produção, remova as permissões Editar.

    • Clique em Executar para permitir que o usuário, grupo ou declaração execute operações (criar, ler, atualizar, excluir ou consultar) em tipos de conteúdo externo.

      Dica

      A permissão Executar não se aplica ao próprio repositório de metadados. Essa configuração é usada quando você deseja propagar a permissão Executar para objetos filho no repositório de metadados.

    • Clique em Selecionável em clientes para permitir que o usuário, grupo ou declaração crie listas externas de qualquer tipo de conteúdo externo e exiba os tipos de conteúdo externo no seletor de item externo.

      Dica

      A permissão Selecionável em clientes não se aplica ao próprio repositório de metadados. Essa configuração é usada quando você quer propagar a permissão Selecionável em clientes para objetos filho no repositório de metadados.

    • Clique em Definir Permissões para permitir que o usuário, grupo ou declaração defina permissões no repositório de metadados.

      Observação de segurançaSecurity Note
      A permissão Definir Permissões deve ser considerada altamente privilegiada. Com ela, um usuário pode conceder a permissão Editar no repositório de metadados.

  8. Para propagar permissões em todos os itens no repositório de metadados, clique em Propagar permissões para todos os Modelos BDC, Sistemas Externos e Tipos de Conteúdo Externo no Repositório de Metadados BDC. As permissões existentes serão substituídas.

Modo de autenticação RevertToSelf

Cada tipo de conteúdo externo tem um modo de autenticação associado. O modo de autenticação oferece aos Serviços Corporativos de Conectividade informações sobre como processar uma solicitação de autenticação de entrada de um usuário e mapeia essa solicitação para um conjunto de credenciais que podem ser passadas para o sistema externo. Por padrão, o modo de autenticação RevertToSelf (também chamado de modo de autenticação de Identidade BDC) não é habilitado. Não é possível criar ou importar modelos que usem RevertToSelf quando o modo de autenticação RevertToSelf não está habilitado.

O modo de autenticação RevertToSelf usa a conta do pool de aplicativos na qual os Serviços Corporativos de Conectividade estão em execução para autenticar o usuário conectado ao sistema externo. Por exemplo, quando um usuário abre uma lista externa, é usada para autenticação a conta do pool de aplicativos do servidor Web front-end no qual reside a lista externa. A conta do pool de aplicativos é uma conta altamente privilegiada. Por padrão, essa conta tem permissão de gravação no banco de dados de configuração do farm. Usando o modo RevertToSelf, qualquer pessoa que possa criar ou editar um modelo que use o modo RevertToSelf tem poder para se tornar um administrador do farm do SharePoint.

O modo de autenticação RevertToSelf não é recomendado para ambientes de produção. Recomendamos o uso do Serviço de Repositório Seguro.

Se precisar usar o modo de autenticação RevertToSelf em um ambiente de produção, considere o seguinte:

  • Qualquer usuário que possa criar ou editar modelos, incluindo os usuários do SharePoint Designer, deve ser considerado igual a um administrador de farm do ponto de vista da segurança. Você deve ter nele a mesma confiança que tem em um administrador de farm.

  • Bloqueie o uso da conta do pool de aplicativos o máximo possível, pois isso ajuda a limitar o dano que um usuário mal intencionado pode causar ao farm do SharePoint e aos sistemas externos.

Habilitar o modo de autenticação RevertToSelf

Depois de habilitar o modo de autenticação RevertToSelf, podem ser criados e importados novos modelos que usem o RevertToSelf.

Observação de segurançaSecurity Note
Não recomendamos o modo de autenticação RevertToSelf para ambientes de produção. Antes de habilitar o modo de autenticação RevertToSelf, leia e entenda as implicações dessa ação.

Observação

RevertToSelf não é permitido em ambientes hospedados.

Para habilitar o modo de autenticação RevertToSelf

  1. Verifique se você atende a estes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell, digite os seguintes comandos:

    1. Para criar uma variável que contenha o objeto de aplicativo de Serviço de Conectividade de Dados Corporativos, digite o seguinte comando:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Em que <NomedoServiço> é o nome do aplicativo de Serviço de Conectividade de Dados Corporativos. Também pode ser uma expressão regular (por exemplo, "BDC").

      Observação

      Se o aplicativo de Serviço de Conectividade de Dados Corporativos for um aplicativo de serviço compartilhado, este comando deve ser executado no farm onde o aplicativo de serviço foi publicado.

    2. Para habilitar o modo de autenticação RevertToSelf, digite o seguinte comando:

      $bdc.RevertToSelfAllowed = $true

Desabilitar o modo de autenticação RevertToSelf

Quando o modo RevertToSelf é desabilitado, não podem ser criados nem importados novos modelos que usem o RevertToSelf.

Observação

Se você já tiver modelos que usam o RevertToSelf, eles continuarão a funcionar. Você deve excluir os modelos existentes se desejar remover todas as instâncias da autenticação RevertToSelf do seu farm.

Para desabilitar o modo de autenticação RevertToSelf

  1. Verifique se você atende a estes requisitos mínimos: Consulte Add-SPShellAdmin.

  2. No menu Iniciar, clique em Todos os Programas.

  3. Clique em Produtos do Microsoft SharePoint 2010.

  4. Clique em Shell de Gerenciamento do SharePoint 2010.

  5. No prompt de comando do Windows PowerShell, digite os seguintes comandos:

    1. Para criar uma variável que contenha o aplicativo de Serviço de Conectividade de Dados Corporativos, digite o seguinte comando:

      $bdc = Get-SPServiceApplication | where {$_ -match "<ServiceName>"}

      Em que <NomedoServiço> é o nome do aplicativo de Serviço de Conectividade de Dados Corporativos. Também pode ser uma expressão regular (por exemplo, "BDC").

      Observação

      Se o aplicativo de Serviço de Conectividade de Dados Corporativos for um aplicativo de serviço compartilhado, este comando deve ser executado no farm onde o aplicativo de serviço foi publicado.

    2. Para desabilitar o modo de autenticação RevertToSelf, digite o seguinte comando:

      $bdc.RevertToSelfAllowed = $false

Fluxos de trabalho e listas externas

Será necessária uma configuração adicional quando você desejar desenvolver fluxos de trabalho que interajam com listas externas. As seguintes seções descrevem requisitos que podem afetar o comportamento do fluxo de trabalho.

Observação

Fluxos de trabalho não podem interagir com listas externas em um ambiente hospedado.

Fluxos de trabalho não podem ser associados diretamente a uma lista externa

Como os dados externos não são armazenados no SharePoint Server, o fluxo de trabalho não pode ser notificado quando é mudado um item da lista externa. Em vez disso, você pode criar um fluxo de trabalho de site ou de lista e, em seguida, fazer com que o fluxo de trabalho leia ou atualize uma lista externa. Você também pode usar um item da lista externa como destino de um processo de tarefa no SharePoint Designer; contudo, o link para a tarefa não exibirá um título para o item da lista externa.

Fluxos de trabalho às vezes são executados como a conta de serviço

Fluxos de trabalho são executados como a conta de serviço (geralmente, a conta do pool de aplicativos) nos seguintes cenários:

  • Fluxos de trabalho do Visual Studio.

  • Fluxos de trabalho declarativos que interajam com listas externas e sejam iniciados automaticamente. Isso acontece quando você usa uma etapa de representação no seu fluxo de trabalho.

Neste caso, você deve dar a permissão Executar da conta de serviço para o tipo de conteúdo externo ao qual a lista externa está associada e verificar se a conta de serviço tem as permissões necessárias para acessar o sistema externo.

Fluxos de trabalho e autenticação

Para oferecer suporte às atividades de fluxo de trabalho, o tipo de conteúdo externo ao qual a lista externa está associada deve usar RevertToSelf ou Serviço de Repositório Seguro para autenticação.

Observação

Essas restrições do modo de autenticação não se aplicarão se você estiver usando um conector de Assembly .NET ou um conector personalizado.

  • Autenticar usando o RevertToSelf

    O modo de autenticação RevertToSelf (também chamado de modo de autenticação de identidade BDC) faz autenticações no sistema externo usando a conta do pool de aplicativos do servidor Web front-end no qual reside a lista externa. Isso significa que a conta do pool de aplicativos deve ter permissão para acessar o sistema externo. Por padrão, a autenticação RevertToSelf não está habilitada. É preciso habilitar o modo de autenticação RevertToSelf para criar ou importar modelos que usem a autenticação RevertToSelf.

    Observação de segurançaSecurity Note
    A autenticação RevertToSelf não é recomendada para ambientes de produção.

    Para obter mais informações sobre a autenticação RevertToSelf, consulte Modo de autenticação RevertToSelf.

  • Autenticar usando o Serviço de Repositório Seguro

    O Serviço de Repositório Seguro permite que você armazene com segurança dados que fornecem credenciais necessárias para conexão com sistemas externos e associação dessas credenciais a uma identidade ou grupo de identidades específico. Verifique se o tipo de conteúdo externo usa um dos modos de autenticação do Serviço de Repositório Seguro.

    Observação de segurançaSecurity Note
    Se o fluxo de trabalho estiver em execução como a conta do serviço, recomendamos que você mapeie a conta de serviço para uma conta que tenha menos privilégios. Por exemplo, você pode criar uma ID do aplicativo de destino do repositório seguro que mapeie a conta de serviço para uma conta com permissões mínimas, que possa acessar somente o sistema externo necessário.

Para obter mais informações sobre modos de autenticação, consulte Visão geral das permissões do Serviço Corporativo de Conectividade em "Visão geral sobre a segurança dos Serviços Corporativos de Conectividade (SharePoint Server 2010)".

Definir permissões para habilitar um farm consumidor a gerar pacotes de implantação

O aplicativo de Serviço de Conectividade de Dados Corporativos pode ser compartilhado em farms de servidores. O farm que contém o aplicativo de Serviço de Conectividade de Dados Corporativos e publica o aplicativo de Serviço de Conectividade de Dados Corporativos é conhecido como farm de publicação. O farm consumidor é o que se conecta a um local remoto para usar o aplicativo de Serviço de Conectividade de Dados Corporativos.

Quando um usuário coloca uma lista externa offline, a conta do pool de aplicativos que é usada pelo servidor Web front-end no qual reside a lista externa gera um pacote de implantação, que é instalado no computador cliente. No farm de publicação, a conta do pool de aplicativos do servidor front-end tem permissões completas para o repositório de metadados, de forma que ela possa gerar o pacote de implantação. Se você desejar que o farm consumidor possa gerar pacotes de implantação, precisará conceder as permissões Editar e Definir Permissões no repositório de metadados para a conta do pool de aplicativos usada pelo servidor front-end no farm consumidor. Se você não conceder essas permissões adicionais à conta do pool de aplicativos, as listas externas que residem no farm consumidor não poderão ser colocadas offline.

Observação de segurançaSecurity Note
Conceder à conta do pool de aplicativos do farm consumidor as permissões Editar e Definir Permissões no repositório de metadados torna essa conta um administrador de farm no farm de publicação.

Observação

Esta seção só se aplica às implantações do SharePoint Server no local.

Para obter mais informações sobre implantações de listas externas, consulte Planejar a integração do cliente de Serviços Corporativos de Conectividade (SharePoint Server 2010).

Para atribuir permissões à conta do pool de aplicativos do farm consumidor

  1. Verifique se você tem uma das seguintes credenciais administrativas:

    • Você deve ser um administrador de farm no farm de publicação.

    • Você precisa ser o administrador do aplicativo de Serviço de Conectividade de Dados Corporativos e ter a permissão Definir Permissões para o repositório de metadados.

  2. No site da Administração Central do farm de publicação, na seção Gerenciamento de Aplicativos, clique em Gerenciar aplicativos de serviço.

  3. Clique em uma instância de um aplicativo de Serviço de Conectividade de Dados Corporativos.

  4. Na guia Editar, no grupo Permissões, clique em Definir Permissões do Repositório de Metadados.

  5. Na caixa de texto, digite a conta do pool de aplicativos usada pelo servidor Web front-end no farm consumidor, depois clique em Adicionar.

  6. Na caixa Permissões, clique em Editar, depois clique em Definir Permissões.

  7. Clique em OK.

Para obter mais informações sobre os aplicativos de serviço compartilhados, consulteShare service applications across farms (SharePoint Server 2010).

See Also

Concepts

Visão geral da segurança dos Serviços Corporativos de Conectividade (SharePoint Server 2010)