Introducción a los Servicios de conectividad empresarial

Introducción a los Servicios de conectividad
empresarial de SharePoint 2013
Christopher J Fox
Microsoft Corporation
Noviembre de 2012
Se aplica a: SharePoint 2013 y SharePoint Online
Resumen: Un entorno híbrido de SharePoint comprende una granja de servidores de
SharePoint 2013 que se implementa en una instalación local, y un arrendamiento de SharePoint
Online de Microsoft Office 365. La integración de la instalación local de SharePoint 2013 y
SharePoint Online permite usar los Servicios de conectividad empresarial para publicar de forma
segura datos internos de línea de negocio (LOB) en SharePoint Online.
Este documento se proporciona “tal cual”. Es posible que la información y los puntos de vista reflejados en
este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, cambien sin previo
aviso. El usuario asume el riesgo de su uso.
Algunos ejemplos descritos en este documento se proporcionan únicamente con fines ilustrativos y son
ficticios. No se pretende indicar, ni debe deducirse, ninguna asociación ni conexión real.
Este documento no otorga ningún derecho legal sobre la propiedad intelectual e industrial de ningún
producto de Microsoft. Este documento puede copiarse y usarse para fines internos y de referencia.
Este documento puede modificarse para fines internos de referencia.
© 2012 Microsoft Corporation. Todos los derechos reservados.
2
Contenido
Contenido ................................................................................................................................................... 3
Impulsores de negocios ................................................................................................................................. 4
¿Qué es una solución híbrida de los Servicios de conectividad empresarial de SharePoint? .................................. 4
¿Por qué usar una solución híbrida de BCS de SharePoint? ............................................................................ 4
Arquitectura híbrida de BCS ........................................................................................................................... 5
Office 365 y SharePoint Online ................................................................................................................. 5
Instalación local ..................................................................................................................................... 5
Flujo de datos híbrido de BCS ......................................................................................................................... 7
Tipos de certificados y credenciales ................................................................................................................. 8
Certificados de SharePoint y de servidor ..................................................................................................... 8
Credenciales de usuario........................................................................................................................... 8
3
Impulsores de negocios
Las soluciones híbridas de los Servicios de conectividad empresarial permiten publicar datos de
LOB internos para los usuarios de SharePoint Online. En cierto modo, esta posibilidad soluciona
un problema de negocios muy específico. Esta sección le ayudará a comprender esta solución
y cuándo usarla.
¿Qué es una solución híbrida de los Servicios de
conectividad empresarial de SharePoint?
Si una compañía cuenta con una granja de servidores de SharePoint 2013, implementada en
una instalación local, y con un arrendamiento de SharePoint Online 2013, se puede crear una
conexión segura entre los dos elementos para que los datos de línea de negocios (LOB) se
encuentren disponibles, a través de BCS, para las aplicaciones de SharePoint y las listas
externas de SharePoint Online. A esto se le denomina solución híbrida de BCS de SharePoint.
SharePoint Online 2013 solo admite las conexiones unidireccionales desde la instalación en línea
hasta la local, y solo para una granja de servidores local. Los datos de LOB deben publicarse
como un origen OData.
¿Por qué usar una solución híbrida de BCS de
SharePoint?
Una solución híbrida de BCS de SharePoint 2013 supone un puente para las compañías que
desean aprovechar las ventajas de SharePoint Online en la nube para acceder a los datos de
LOB locales y, al mismo tiempo, mantener seguros los datos de su propiedad en la intranet
corporativa. La solución híbrida de BCS de SharePoint no requiere establecer marcadores en el
firewall para permitir el paso del tráfico, ni transferir los datos de LOB externos a la red
perimetral. Esta solución conecta los datos de LOB a través de los servicios BCS locales y,
a continuación, publica de forma segura el extremo en una ubicación externa a estos servicios
de SharePoint Online 2013, a través de un proxy inverso.
4
Arquitectura híbrida de BCS
La solución híbrida de BCS tiene componentes locales y también en la nube, en Office 365.
Office 365 y SharePoint Online

O365: todas las suscripciones de Microsoft Office 365 hospedan un arrendamiento de
SharePoint Online, y ofrecen los servicios Access Control Service (ACS) y Microsoft Online
Directory Services (MSODS).

SharePoint Online: hospeda los sitios donde se exponen los datos de LOB locales, el
Repositorio de metadatos y el servicio de tiempo de ejecución de BCS, y el Servicio de
almacenamiento seguro.

Servicio de tiempo de ejecución en línea de BCS: aplicación de servicio de SharePoint que
administra toda la funcionalidad de BCS (por ejemplo, la administración, la seguridad
y las comunicaciones).

Microsoft Online Directory Services (MSODS) de O365: ofrece servicios de directorio de
O365 que pueden sincronizarse con los Servicios de dominio de Active Directory (AD DS)
locales. La sincronización se realiza a través de la sincronización de los perfiles de
usuario, y permite a los usuarios realizar la autenticación local y en la nube con la misma
cuenta.

Servicio de almacenamiento seguro de SharePoint Online: aplicación de servicio de
SharePoint de asignación de credenciales. En una solución híbrida de BCS de SharePoint,
SharePoint Online almacena un certificado SSL de servidor que autentica la solicitud de
SharePoint Online para el proxy inverso.

Access Control Service de Azure: servicio de token de seguridad de Azure que realiza la
autenticación y emite los tokens de seguridad cuando un usuario inicia sesión en un sitio
de SharePoint Online. Busca las credenciales en los servicios MSODS que se han
sincronizado con las cuentas locales de Active Directory. De este modo, el usuario puede
usar el mismo conjunto de credenciales en los entornos local y en línea.
Instalación local

Proxy inverso: servidor responsable de aceptar y autenticar el tráfico de entrada de
Internet y publicar el extremo para que se conecte la solicitud de entrada. Se encuentra
en la red perimetral.

Instalación local de SharePoint: granja de servidores de SharePoint 2013 que hospeda
los servicios BCS, el sitio que acepta las solicitudes híbridas de entrada y el Servicio de
almacenamiento seguro.

AD DS: servicio de Windows Server que almacena y administra las cuentas de equipo
y usuario, y los grupos de seguridad y distribución.

Almacén de perfiles de usuario: base de datos de SharePoint donde se almacena la
información de los perfiles de usuario. Estos perfiles contienen información detallada
5
sobre las personas de una organización. Un perfil de usuario organiza y muestra todas
las propiedades relacionadas con cada usuario, así como las etiquetas temáticas, los
documentos y cualquier otro elemento relacionado con el usuario. En un escenario
híbrido de BCS, los perfiles de usuario se usan para asignar las credenciales de OAuth de
ACS de los usuarios a sus credenciales de dominio correspondientes.

Canalización de CSOM: el modelo de objetos de cliente recibe las solicitudes de entrada
del proxy inverso y asigna el token de usuario de OAuth de ACS a las credenciales de
dominio de los usuarios.

Sitio o colección de sitios: colección de sitios creada expresamente para facilitar todas las
comunicaciones de las solicitudes híbridas. La aplicación web donde se encuentra esta
colección de sitios tiene configurada una asignación alternativa de acceso.

Instalación local de SharePoint del servicio de tiempo de ejecución de BCS: este servicio
es una aplicación de servicio de SharePoint que administra toda la funcionalidad de BCS
(por ejemplo, la administración, la seguridad y las comunicaciones).

Instalación local de SharePoint del Servicio de almacenamiento seguro: aplicación de
servicio de SharePoint de asignación de credenciales. En una solución híbrida de BCS de
SharePoint, la instalación local de SharePoint almacena la asignación de las credenciales
de dominio de los usuarios a las credenciales con las que se accede al origen de datos
externo.

Encabezado de servicio OData: las soluciones híbridas de BCS de SharePoint solo
admiten el protocolo OData. Si no puede acceder a los datos externos de forma nativa
a través de un origen OData, deberá crear e implementar para ellos un encabezado de
servicio OData con Visual Studio.

Datos externos: datos de línea de negocios (LOB) con los que trabaja la solución híbrida
de BCS de SharePoint.
6
Flujo de datos híbrido de BCS
En SharePoint Online, los datos externos se encuentran disponibles a través de aplicaciones
o listas externas de SharePoint. En este ejemplo se usa una lista externa:
1. Un trabajador de la información inicia sesión en su arrendamiento de SharePoint Online
y abre una lista externa que requiere datos de un origen OData local.
2. La lista externa crea una solicitud para los datos y la envía a los Servicios de conectividad
empresarial. Los servicios BCS buscan la solicitud, y consultan el tipo de contenido
externo y el objeto de configuración de conexión, para averiguar cómo conectar el origen
de datos y con qué credenciales.
3. Los Servicios de conectividad empresarial recuperan un certificado de cliente del Servicio
de almacenamiento seguro de SharePoint Online. Se trata de un certificado SSL que se
usa para tareas de autenticación en el proxy inverso. Los servicios también recuperan un
token OAuth de Access Control Service. Estas son las credenciales de usuario que se usan
para la autenticación de usuario en la granja de servidores local de SharePoint 2013.
7
4. Los Servicios de conectividad empresarial envían una solicitud HTTPS al extremo del
origen de datos que ha publicado el proxy inverso.
5. Este proxy autentica la solicitud con el certificado de cliente y la reenvía a la canalización del
modelo de objetos de cliente (CSOM) de la granja de servidores local de SharePoint 2013.
6. La canalización consulta al servicio de perfiles de usuario para buscar una asignación
entre el token OAuth de seguridad de ACS y las credenciales de dominio del usuario de
AD DS. Si encuentra alguna, se devuelven a la solicitud las credenciales de dominio del
usuario. Estas credenciales se usan para autenticar el sitio local de SharePoint que recibe
las solicitudes híbridas y, a continuación, se transfiere la solicitud a los servicios BCS
locales de SharePoint.
7. Los servicios BCS locales de SharePoint recuperan las credenciales necesarias para
autenticar el origen de datos externo del Servicio de almacenamiento seguro local de
SharePoint. A continuación, transfieren la solicitud de los datos junto con las credenciales
de datos externos al encabezado de servicio OData. Este servicio procede a realizar las
operaciones especificadas con los datos externos y devuelve los resultados al usuario de
SharePoint Online.
Tipos de certificados y credenciales
La solución híbrida de BCS es una combinación de las configuraciones de BCS e híbrida de
SharePoint. Cada configuración requiere un conjunto distinto de certificados y credenciales de
usuario, y para que la solución híbrida de BCS funcione correctamente se precisan ambos conjuntos.
Certificados de SharePoint y de servidor
Certificado SSL: se usa para establecer la confianza del canal de comunicación entre el
dispositivo del proxy inverso y O365. También puede ser un certificado genérico (en este caso,
procedente de una entidad emisora de certificados conocida).
De servidor a servidor: esta configuración de autenticación supone, en entornos híbridos de
SharePoint, establecer una confianza entre la instalación local de SharePoint y Access Control
Service (ACS). ACS actúa como agente de confianza para la instalación local de SharePoint
y para el servidor de SharePoint Online. Si se completa la configuración de la confianza de
servidor a servidor, todas las granjas de servidores del servidor confiarán en los tokens de
seguridad que ha emitido ACS y que se han usado para autenticar el acceso a los recursos en
nombre del usuario identificado.
Credenciales de usuario
Token OAuth de seguridad de ACS: si un usuario inicia sesión en SharePoint Online, ACS lo
autentica. ACS emite un token OAuth de seguridad que representará al usuario para todos los
objetos y procesos de SharePoint Online a los que el usuario intente acceder. Este token se
8
inserta en la solicitud de datos externos y se transfiere al proxy inverso junto con el certificado
SSL. Desde aquí, vuelve a transferirse a la canalización del modelo de objetos de cliente (CSOM)
de la instalación local de SharePoint, y se asigna a las credenciales de dominio de los usuarios.
Credenciales de Active Directory de los usuarios: otro token de seguridad que representa
al usuario en su dominio de Active Directory. También representará al usuario en todos los
recursos de dominio a los que el usuario intente acceder. En una configuración híbrida de BCS
de SharePoint, se usa para autenticar al usuario en la instalación local de SharePoint.
Credenciales de datos externos: el servicio OData se asegura con la autenticación básica
o de Windows, o a través de un proveedor de autenticación personalizado.
9