Accès refusé tout paramètre de métadonnées magasin autorisation

Question

Briser ma tête cette question pour les 2 derniers jours!

reçu erreur Accès refusé au SPD si essayé de définir l'autorisation de métadonnées et d'obtenir l'erreur suivante.

1. Je suis un des admins pour les applications de service BSC
2. Je fais partie du groupe Farm Admin
3. J'ai demandé la permission dans SQL
4. CA ouverture Essayé en mode Admin (IE -> Exécuter en tant qu'administrateur)

5. ELU Journaux affiche les éléments suivants

   Accès refusé pour l'utilisateur '0 # .w | domaine \ skumar', qui peut être une usurpation d'identité par 'DOMAIN \ skumar'. Sécurisable IMetadataCatalog avec le nom 'ApplicationRegistry' a ACL qui contient:

plus d'idées? s'il vous plaît laissez-moi savoir si vous avez besoin de plus amples informations.

Edit:

Voici la trace de pile

journalisation BdcServiceApplication 'BCS' côté serveur AccessDeniedException avant de triage et sur rethrowing côté client: Accès refusé pour l'utilisateur '0 # .w | domaine \ skumar', qui peut être un usurpation d'identité par « domaine \ skumar ». Sécurisable IMetadataCatalog avec le nom vu refuser l'accès « ApplicationRegistry ». Trace de la pile: au Microsoft.SharePoint.BusinessData.SharedService.IndividuallySecurableMetadataObjectAccessor.SetAccessControlEntries (MetadataObjectStruct metadataObjectStruct, AccessControlEntryStruct [] aces, Chaîne SettingID, DbSessionWrapper dbSessionWrapper) à Microsoft.SharePoint.BusinessData.SharedService.BdcServiceApplication. <> C__DisplayClass2c.b__2b () à Microsoft.SharePoint.BusinessData.SharedService.BdcServiceApplication.Execute [T] (String operationName, UInt32 maxRunningTime, opération ExecuteDelegate`1)

Answer 1

Notre solution était d'aller à SP Central Admin> Paramètres système> Services sur le serveur et démarrer les « réclamations au service Windows Token ». Nous avons également constaté cette erreur dans les journaux qui ont contribué à nous conduire à ce que la solution:

SPSecurityContext.WindowsIdentity: Impossible de récupérer une fenêtre valide identité pour NTName = 'MGRP-SP \ polyadmin', UPN='PolyAdmin@PRMM-SP.local. UPN est nécessaire lorsque Kerberos la délégation contrainte est utilisée. Exception: System.ServiceModel.EndpointNotFoundException: Il n'y avait aucun critère d'effet écouter à net.pipe: // localhost / S4U / 022694f3-9fbd-422b-b4b2-312e25dae2a2 que pourrait accepter le message. Cela est souvent causé par une mauvaise adresse ou une action SOAP. Voir InnerException, le cas échéant, pour plus de détails. ---> System.IO.PipeException: Le point d'extrémité de tuyau 'Net.pipe: // localhost / S4U / 022694f3-9fbd-422b-b4b2-312e25dae2a2' pourrait ne se trouve sur votre machine locale.

Pour nous je pense que cette situation ne peut se produire parce que l'utilisateur nous essayons d'ajouter dans les autorisations de métadonnées est à la fois une entrée AD et ADFS (claims). Je l'ai vu où EnsureUser ou d'un autre appel API échoue lorsque vous avez des ID identiques dans deux magasins utilisateur.

Answer 2

Il semble que le besoin d'aller dans votre service Business Data Connectivity application et définissez les autorisations sur l'objet. Tout d'abord, allez à Central Administration-> Application Management-> Gérer les applications de service. Trouvez votre application de service Business Data Connectivity et accédez à la page Gérer. Sélectionnez le type de contenu externe et passez à définir des autorisations dans le menu de la BCE, ou les autorisations définies d'objets sur le ruban. A partir de la page de dialogue Définir les autorisations d'objet-pop-up, vous pouvez ajouter des comptes et définir leurs autorisations. Vous devrez donner à l'utilisateur qui se connecte pour SharePoint au moins l'autorisation d'exécution pour être en mesure de voir les éléments de liste (à ne pas confondre avec le compte qui accédera à la base de données).

Je blogué quelques messages comme celui-ci qui continuent à me rattraper sur.