Архитектура гибридной среды BCS

Обзор гибридной среды SharePoint 2013
Business Connectivity Services
Кристофер Джей Фокс (Christopher J Fox)
Корпорация Майкрософт
Ноябрь 2012 г.
Область применения: SharePoint 2013, SharePoint Online
Аннотация. Гибридная среда SharePoint состоит из развернутой локально фермы
SharePoint 2013 и аренды Microsoft Office 365 SharePoint Online. Интеграция локальной
среды SharePoint 2013 с SharePoint Online позволяет использовать Business Connectivity
Services для безопасной публикации внутренних бизнес-данных в SharePoint Online.
Настоящий документ предоставляется на условиях «как есть». Информация и суждения,
представленные в документе, включая URL-адреса и другие упоминания сайтов в Интернете,
могут быть изменены без предварительного уведомления. Все риски, связанные с использованием
настоящего документа и информации в нем, лежат на вас.
Некоторые из представленных в документе примеров служат только для иллюстрации и
являются вымышленными. Любые совпадения с реальными объектами или людьми следует
рассматривать как случайные.
Настоящий документ не предоставляет вам юридических прав на интеллектуальную
собственность в отношении каких бы то ни было продуктов Майкрософт. Копирование и
использование настоящего документа разрешается исключительно для внутренних справочных
целей. Разрешается изменение настоящего документа для внутренних справочных целей.
© Корпорация Майкрософт (Microsoft Corporation), 2012. Все права защищены.
2
Содержание
Содержание ......................................................................................................................................................3
Бизнес-цели .....................................................................................................................................................4
Что из себя представляет гибридное решение SharePoint Business Connectivity Services? .................................4
Зачем использовать гибридное решение SharePoint BCS? ..............................................................................4
Архитектура гибридной среды BCS .....................................................................................................................5
Office 365 и SharePoint Online ......................................................................................................................5
Локальная среда.........................................................................................................................................5
Поток данных в гибридной среде BCS ................................................................................................................7
Типы сертификатов и учетных данных ...............................................................................................................8
Сертификаты серверов и SharePoint .............................................................................................................8
Учетные данные пользователя .....................................................................................................................9
3
Бизнес-цели
Гибридное решение Business Connectivity Services (BCS) позволяет безопасно публиковать
внутренние бизнес-данные для пользователей в SharePoint Online. Оно представляет собой
способ решения конкретной бизнес-проблемы. Данный раздел содержит описание решения
и указания по его использованию.
Что из себя представляет гибридное решение
SharePoint Business Connectivity Services?
Если в вашей организации есть локальная ферма SharePoint 2013 и аренда SharePoint
Online 2013, можно создать безопасное подключение между двумя этими компонентами в
целях предоставления бизнес-данных приложениям для SharePoint и внешним спискам в
SharePoint Online посредством BCS. Это и называется гибридным решением SharePoint BCS.
SharePoint Online 2013 поддерживает только односторонние подключения из интернетсреды к локальной среде и только подключения к одной локальной ферме. Бизнес-данные
следует публиковать как источник OData.
Зачем использовать гибридное решение
SharePoint BCS?
Гибридное решение SharePoint 2013 BCS предназначено для организаций, которые хотят
воспользоваться возможностями облачной среды SharePoint Online для доступа к локальным
бизнес-данным, при этом осуществляя безопасное хранение таких данных в интрасети
предприятия. Гибридное решение SharePoint BCS не требует открытия портов в
брандмауэре для разрешения прохождения трафика, а также не требует перемещения
бизнес-данных в сеть периметра. Гибридное решение SharePoint BCS использует локальные
службы BCS для подключения к бизнес-данным, а затем через обратный прокси-сервер
безопасно публикует конечную точку в службах BCS в SharePoint Online 2013.
4
Архитектура гибридной среды BCS
Компоненты гибридного решение BCS находятся как в облаке в Office 365, так и в
локальной среде.
Office 365 и SharePoint Online

Office 365 — каждая подписка на Microsoft Office 365 размещает клиент SharePoint
Online. Кроме того, такая подписка Office 365 предоставляет Access Control Service
(ACS) и службы каталогов Microsoft Online Directory Services (MSODS).

SharePoint Online — служит для размещения сайтов, которые предоставляют
локальные бизнес-данные, хранилище метаданных и службу среды выполнения BCS,
а также службу Secure Store.

BCS Runtime Service Online — служба среды выполнения BCS представляет собой
приложение-службу SharePoint, которое управляет всеми функциональными
возможностями BCS (администрирование, безопасность, взаимодействие и т. д.).

Office 365 Microsoft Online Directory Services (MSODS) — предоставляет службы
каталогов в Office 365, которые можно синхронизировать с локальными доменными
службами Active Directory (AD DS). Такая синхронизация осуществляется
посредством синхронизации профилей пользователей и позволяет пользователям
использовать одну учетную запись для проверки подлинности как в локальной
среде, так и в облаке.

Служба Secure Store SharePoint Online — это приложение-служба SharePoint для
сопоставления учетных данных. В гибридном решении SharePoint BCS система
SharePoint Online хранит SSL-сертификат сервера, который обеспечивает проверку
подлинности запроса SharePoint Online на обратном прокси-сервере.

Azure Access Control Service — это служба токенов безопасности Azure, которая
выполняет проверку подлинности и выдает токены безопасности, когда пользователь
входит на сайт SharePoint Online. Она ищет в MSODS учетные данные, которые были
синхронизированы с локальными учетными записями Active Directory. Это позволяет
пользователю использовать один набор учетных данных как для локальной среды,
так и интернет-среды.
Локальная среда

Обратный прокси-сервер — этот сервер отвечает за прием и проверку подлинности
входящего из Интернета трафика, а также публикацию конечной точки, к которой
подключается входящий запрос. Этот компонент находится в сети периметра.

Локальный SharePoint — ферма серверов SharePoint 2013, на которой размещается
служба BCS, сайт, принимающий входящие гибридные запросы, и служба Secure Store.
5

Доменные службы Active Directory — служба Windows Server, осуществляющая
хранение учетных записей пользователей, групп безопасности, групп рассылки и
учетных записей компьютера, а также управление ими.

Хранилище профилей пользователей — база данных SharePoint, используемая для
хранения информации о профилях пользователей. Профили пользователей содержат
подробные сведения о пользователях организации. Профиль пользователя служит
для организации и отображения всех свойств, связанных с конкретным
пользователем, наряду с социальными тегами, документами и другими элементами,
связанными с этим пользователем. В сценарии гибридной среды BCS он используется
для сопоставления учетных данных OAuth ACS пользователей с пользовательскими
учетными данными домена.

Конвейер CSOM — клиентская объектная модель принимает входящие запросы от
обратного прокси-сервера и сопоставляет токен пользователя OAuth из ACS с
пользовательскими учетными данными домена.

Сайт/семейство веб-сайтов — семейство веб-сайтов, созданное специально для
упрощения взаимодействия всех гибридных запросов. Для веб-приложения, в
котором находится данное семейство веб-сайтов, настроено альтернативное
сопоставление доступа.

Локальная служба BCS Runtime Service SharePoint — служба среды выполнения BCS
представляет собой приложение-службу SharePoint, которое управляет всеми
функциональными возможностями BCS (администрирование, безопасность,
взаимодействие и т. д.).

Локальная служба Secure Store SharePoint — это приложение-служба SharePoint для
сопоставления учетных данных. В гибридном решении SharePoint BCS локальная
система SharePoint хранит сопоставление пользовательских учетных данных домена
с учетными данными, используемыми для доступа к внешнему источнику данных.

Диспетчер службы OData — гибридное решение SharePoint BCS поддерживает только
протокол OData. Если внешние данные недоступны через источник OData напрямую,
следует использовать Visual Studio, чтобы выполнить построение и развертывание
диспетчера службы OData для таких данных.

Внешние данные — бизнес-данные, с которыми работает гибридное решение
SharePoint BCS.
6
Поток данных в гибридной среде BCS
В SharePoint Online доступ к внешним данным предоставляется посредством внешних
списков или приложений для SharePoint. В данном примере используется внешний список.
1. Информационный работник выполняет вход в клиент SharePoint Online и открывает
внешний список, которому требуются данные из локального источника OData.
2. Внешний список создает запрос на получение данных и отправляет его в Business
Connectivity Services. BCS анализирует этот запрос и ссылается на внешний тип
контента и объект параметров подключения, чтобы определить, как подключиться к
источнику данных и какие учетные данные использовать.
3. Business Connectivity Services извлекает сертификат клиента из службы Secure Store
в SharePoint Online. Этот сертификат клиента представляет собой SSL-сертификат и
используется для проверки подлинности на обратном прокси-сервере. BCS также
получает из Access Control Service форму токена OAuth. Это учетные данные
7
пользователя, используемые для проверки его подлинности в локальной ферме
SharePoint 2013.
4. Business Connectivity Service отправляет HTTPS-запрос на конечную точку для
источника данных, опубликованного обратным прокси-сервером.
5. Обратный прокси-сервер выполняет проверку подлинности запроса с
использованием сертификата клиента и направляет его в конвейер клиентской
объектной модели (CSOM) локальной фермы SharePoint 2013.
6. Конвейер CSOM указывает службе профилей пользователей искать соответствие
между токеном безопасности OAuth пользователя из ACS и пользовательскими
учетными данными домена из доменных служб Active Directory. Если такое
соответствие имеется, в ответ на запрос возвращаются пользовательские учетные
данные домена. Эти пользовательские учетные данные домена используются для
проверки подлинности на локальном сайте SharePoint, принимающем гибридные
запросы, кроме того, запрос передается в локальную службу BCS SharePoint.
7. Локальная SharePoint BCS извлекает учетные данные, используемые для проверки
подлинности на внешнем источнике данных, из локальной службы Secure Store
SharePoint. После этого локальная служба BCS SharePoint передает этот запрос на
получение данных вместе с учетными данными внешних данных диспетчеру службы
OData, который затем выполняет требуемые операции с внешними данными и
возвращает результаты пользователю SharePoint Online.
Типы сертификатов и учетных данных
Гибридное решение BCS представляет собой сочетание гибридной конфигурации SharePoint
и конфигурации BCS. Для каждой из конфигураций требуются разные наборы сертификатов
и учетных данных пользователей, поэтому для работы гибридного решения BCS требуются
оба этих набора данных.
Сертификаты серверов и SharePoint
SSL-сертификат — этот сертификат используется для установления отношений доверия в
целях организации канала взаимодействия между устройством обратного прокси-сервера и
системой Office 365. Таким сертификатом может быть групповой сертификат, выданный
известным центром сертификации.
Сервер-сервер — конфигурация проверки подлинности «сервер-сервер» для гибридных
сред SharePoint состоит из установления отношения доверия между локальной средой
SharePoint и Access Control Service (ACS). После этого ACS выступает в качестве брокера
доверия как для локальной среды SharePoint, так и для сервера SharePoint Online. После
окончательной настройки доверия «сервер-сервер» каждая ферма серверов доверяет
токенам безопасности, выдаваемым ACS и используемым для проверки подлинности при
доступе к ресурсам от имени проверенного пользователя.
8
Учетные данные пользователя
Токен безопасности OAuth из ACS — когда пользователь выполняет вход в SharePoint
Online, ACS выполняет его проверку подлинности. ACS выдает токен безопасности OAuth,
представляющий данного пользователя всем объектам и процессам SharePoint Online, к
которым пользователь пытается получить доступ. Этот токен безопасности внедряется в
запрос на получение внешних данных и вместе с SSL-сертификатом передается на
обратный прокси-сервер. Оттуда он передается в конвейер клиентской объектной модели
(CSOM) в локальной среде SharePoint и сопоставляется с пользовательскими учетными
данными домена.
Учетные данные пользователей Active Directory — это еще один токен безопасности,
представляющий пользователя в домене Active Directory пользователя. Он представляет
пользователя всем ресурсам домена, к которым этот пользователь пытается получить
доступ. В гибридной конфигурации SharePoint BCS он используется для проверки
подлинности пользователя в локальной среде SharePoint.
Учетные данные внешних данных — защита службы OData осуществляется посредством
обычной проверки подлинности или проверки подлинности Windows либо посредством
специализированного поставщика проверки подлинности.
9