BCS安全访问使用安全存储在代码问题中

Question

我有安全的商店以及Kerberos的开发和生产农场。我正在使用事件接收器访问BCS数据。我已经确认，如果我只是模仿可以访问后端的用户，我可以在Web部件中返回数据。使用安全存储而不是简单的模拟来确定用户是否是该特定广告组的成员，该构件是否是使用特定的安全存储应用程序ID分配的权限的最佳方法？

我们是否假冒或更好地使用分配的安全存储用户，反过来又可以访问后端BCS系统来访问代码中的Web零件中的数据？

我使用了使用BCS Meta Man创建的外部内容类型设置外部列表。然后，我使用SharePoint Designer 2010，当然可以使用SharePoint Designer，将安全的商店应用程序ID分配给该模型。我认为我只是在理解如何利用安全商店简化BCS访问的情况下遇到问题，而不必冒充代码中依赖Kerberos的特定用户。任何帮助将不胜感激，谢谢！

Answer 1

当您在安全商店中设置目标应用程序时，您可以选择组或单个凭据。

如果要单个帐户访问外部系统（通常是数据库），请使用组凭据 - 这将有点像受信任的子系统模型，并且您将无法审核用户访问您的后端系统，但是您不喜欢需要让他们个人访问。

如果您希望用户自己的帐户用于访问后端，请使用单个凭据。他们将需要登录一次，安全存储将缓存其凭据以进行后续连接到后端系统。听起来这是您需要的，因此您可以在后端管理安全性。

除非后端系统理解，否则Kerberos通常不会帮助您解决此类委托问题，因此需要安全商店（以及单次登录）。

还有更多信息 技术.

Answer 2

我现在已经使用了Secure Store一段时间了，我可能会成功补充。我发现，当您最初创建SSO应用程序，使用BCS设置它，在BCS上配置安全性时，您仍然需要从字面上站起来并走开。它不会稍作起作用，必须与计时器工作等有关。

无论如何，我都有一个完整的设置，因此，如果有人对如何正确使用BCS安全设置正确设置安全商店的安全性有任何疑问，那么您总是可以张贴，很高兴为您提供帮助。