本文是SharePoint 2010 中的BCS身份验证模式的续篇。
安全存储服务 (Secure Store Service)
安全存储服务提供了存储各种登录凭据(包括用户名和密码,密钥,PIN码,一般标识字符串等等)的功能。在一个安全服务应用程序(Secure Service Application)内,你可以设计其架构以满足各种验证所需的信息。该架构通常至少包括两个字符串字段——用户名和密码,或者是Windows用户名和Windows密码。
在特定的安全服务应用程序内,你可以在用户级别或组级别进行凭据映射。该凭据将用于该用户或组内所有用户最终连接数据库。使用安全存储服务你可以通过联盟(Federated),委托(Delegated)或权限提升(Impersonated)的验证方式连接到后端数据源。连接企业核心业务系统时,BCS运行时引擎会从安全存储服务中取出所映射的凭据并传递给数据源。
如果你还没有安全存储服务应用程序,那么你需要先创建一个。可以通过管理中心的应用程序管理里面有一个“管理服务应用程序”。进入该页面后,点击功能区中的新建按钮下的Secure Store Service ,就可以进行创建。如下图所示:
[点击图片可查看大图]
安全存储服务存放的都是高度敏感数据,因此必须进行加密处理。在我们开始配置应用前,必须先生成一个密钥,以便使用密钥加密凭据数据库。点击功能区中的密钥管理里的生成新密钥按钮即可。该密钥是基于通行短语生成的。请确保记录下该通行短语并安全保管。
[点击图片可查看大图]
完成后就可以创建安全存储目标应用程序了。在目标应用程序设置一系列步骤中,我们可以设计传递需要到数据源的验证信息的架构。
[点击图片可查看大图]
为安全存储目标应用程序指定凭据字段
[点击图片可查看大图]
指定目标英语程序管理员
[点击图片可查看大图]
完成创建目标应用程序后,我们可以通过该应用程序的下拉菜单,开始设置凭据。也可以点击功能区凭据组中的设置按钮。这里是供管理员为用户输入凭据的界面。凭据也可以由相应的用户自己输入,在后面会提到。
[点击图片可查看大图]
进入凭据数据页面,输入凭据。
[点击图片可查看大图]
最后要做的事就是配置我们的外部内容类型使用该安全存储目标应用程序的ID。
Office客户端应用程序会通过一个名为Credman的应用程序来使用单点登录功能。但是需要在客户端机器上进行配置。该程序允许用户存储他们常用的服务账户密码等凭据。SharePoint Workspace和Outlook最肯能会用的单点登录功能。
当你已经配置好安全存储服务后,在SharePoint Designer里你需要选择“使用模拟Windows标识进行连接”并输入你的安全存储应用程序的ID。
SharePoint Designer使用安全存储服务进行首次连接数据源时可能需要输入用户的凭据进行验证。
如果管理员没有为用户指定凭据,则在SharePoint页面显示时会提示用户数据新凭据。如下图所示:
当用户输入正确的凭据后,就可以获取到数据了。当用户下一次再进这个页面,由于凭据数据库里已经有对应的凭据了,所以BCS会直接将凭据传给数据源,用户就可以直接获取数据了。
[点击图片可查看大图]
支持的其他验证类型还有基于声明的联盟验证(Claims based Federated Authentication)。这种方式允许WCF web服务传递凭据到一个安全密钥服务(Secure Token Service),可以是SharePoint 安全密钥服务也可以是第三方的。然后,你可以基于一个相应标示符的声明进行验证。例如你可能因为年龄是18岁以上(或者是由于你的用户配置文件的某个地方的一个属性值)而被验证通过。然后会自动生成一个SAML密钥传递给后端数据库。有关联盟验证的更多信息会在后面文章中进行论述。
参考资料