Externe Liste / Externer Datentyp / BDC / Secure Store Service

Andi Fandrich Als Antwort am 18 Juli 2014 14:43

Was Du hier erlebst, nennt sich Double Hop Problem. Die Anmeldung des Benutzers müßte vom Browser an den Server und von diesem an den SQL Server weitergegeben werden und eben das geht nicht (bzw. nur mit Kerberos).

Um das zu umgehen, kannst Du den Secure Store Service nehmen. Lege dort eine neue Anwendung an. Die ID dieser Anwendung trägst Du beim SharePoint Designer als ID der Anwendung für einmaliges Anmelden ein (bei Verbindung mit angenommener Windowsidentität). Im Secure Store Service kannst Du jetzt konfigurieren, wie die Benutzer gegenüber der DB authentifiziert werden sollen, z.B. jeden Benutzer einzeln durchreichen oder alle Benutzer auf einen einzigen mappen oder auch verschiedene Benutzergruppen auf verschiedene Einzelbenutzer mappen.

RedArt Als Antwort am 18 Juli 2014 15:13

Wenn ich nun auf den Secure Store drücke den ich dafür angelegt habe erscheint folgende Meldung:

Der Testzeitraum für dieses Produkt ist abgelaufen, oder der freigegebene Dienst Secure Store Service wird für diese SKU nicht unterstützt.

Bekannter Thread:

http://sharepointcommunity.de/forums/p/21323/58722.aspx

Aussage Andi Fandrich:

Punkte 2 und 3 brauchen den Secure Store Service, den Du in der Foundation nicht benutzen kannst.

Aussage Tom Scheuermann:

Meines Wissens ist der Secure Store Service auch Bestandteil der SharePoint Foundation -siehe hier:

http://office.microsoft.com/en-us/sharepoint-server-help/introduction-to-external-data-HA102891586.aspx

Wie Problematisch ist RevertToSelf bei einem Pilotprojekt welcher eine Testdatenbank verwendet?

Geht es wirklich nicht nicht mit Sharepoint Foundation oder nun doch?

Andi Fandrich Als Antwort am 18 Juli 2014 15:23

[quote user="RedArt"]Der Testzeitraum für dieses Produkt ist abgelaufen...[/quote]

Diese Meldung ist ja bekannt, aber ich hatte schon eine ganze Weile nichts mehr mit Secure Store und Foundation zu tun und kenne deshalb auch die aktuellen Erkenntnisse nicht. Tatsache ist, daß er mit Foundation ausgeliefert wird. Genauso Tatsache ist aber, daß er diese Meldung bringt. Ob man ihn trotzdem benutzen kann (und darf), weiß ich aber nicht. Ich meine mich zu erinnern, daß ich ihn schon mit Foundation verwendet habe. Das war allerdings noch ein 2010er System.

[quote user="RedArt"]Wie Problematisch ist RevertToSelf bei einem Pilotprojekt welcher eine Testdatenbank verwendet?[/quote]

Wie problematisch es ist, muß jeder für sich entscheiden. Hier findest Du mehr Informationen dazu: http://blogs.msdn.com/b/bcs/archive/2010/03/12/authenticating-to-your-external-system.aspx

Für ein Testsystem ist es an sich unproblematisch. Allerdings sollte ein Testsystem natürlich die realen Verhältnisse eines echten Systems nachbilden...

RedArt Als Antwort am 18 Juli 2014 16:08

Hi nochmals,

ich habe nun RevertToSelf Activiert und die BDC Identity ausgewählt.

Diese hat den Anwendungspool BDC01 und das Sicherheitskonto von User1.

Jetzt habe ich die verbindung auf BDC Identity gestellt und versucht diese Externe Liste anzuzeigen.

Dieses funktioniert ebenfalls nicht und im LOGViewer steht folgendes:

Access Denied for User 'User2', which may be an impersonation by 'NT-AUTORITÄT\IUSR'. Securable MethodInstance with Name 'Liste lesen' has ACL that contains:...

Warum wird denn jetzt immer noch User2 genommen, wobei die BDC identity auf User1 gestellt ist. Mache ich irgendetwas grundlegend falsch?

Andi Fandrich Als Antwort am 18 Juli 2014 16:28

Wenn Du eine externe Liste im Browser aufrufst, wird für die Datenbankverbindung der Account verwendet, unter dem der Application Pool dieser Webanwendung läuft. Schaue zur Sicherheit mal im IIS welcher Account das ist. Wenn es kein Produktivsystem ist, kannst Du auch mal einen iisreset machen (sollte aber nicht notwendig sein).