Datenauthentifizierung für Visio Services in SharePoint Server
GILT FÜR:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Datenquellen werden als intern oder extern wie folgt kategorisiert:
Intern: In einer SharePoint-Farm gehostete Daten wie eine Excel-Arbeitsmappe oder eine SharePoint-Liste
Extern: SQL Server-Daten oder eine OLE DB- oder ODBC-Datenquelle.
Damit ein Benutzer Daten aus einer Datenquelle abrufen kann, muss sich dieser bei der Datenquelle authentifizieren und dann autorisiert werden, um auf die enthaltenen Daten zuzugreifen. Im Fall eines Diagramms authentifiziert sich Visio Services stellvertretend für den Benutzer, der das Diagramm anzeigt, bei der Datenquelle, um die Daten zu aktualisieren, mit denen das Diagramm verbunden ist.
Welche Authentifizierungsmethode Visio Services zum Abrufen der Daten verwenden kann, ist vom Typ der zugrundeliegenden Datenquelle abhängig, wie in der folgenden Tabelle beschrieben. Bei Datenquellen, die mehrere Authentifizierungsmethoden unterstützen, muss die Datenverbindung angeben, welche verwendet werden soll.
| Datenquelle | Authentifizierungsmethode |
|---|---|
| SharePoint-Listen |
SharePoint-Benutzerberechtigungen |
| Excel-Arbeitsmappen |
SharePoint-Benutzerberechtigungen |
| SQL Server |
Eine der folgenden: Windows-Authentifizierung (integrierte Sicherheit) unter Verwendung der eingeschränkten Kerberos-Stellvertretung unter Verwendung von Secure Store unter Verwendung des unbeaufsichtigten Dienstkontos SQL Server-Authentifizierung |
| OLE DB/ODBC |
Ist von der Datenquelle abhängig, in der Regel ein in der Verbindungszeichenfolge gespeicherter Benutzername und ein zugehöriges Kennwort. |
Es können auch benutzerdefinierte Datenanbieter verwendet werden.
Die folgenden Datenquellen werden in Visio unterstützt, jedoch nicht in Visio Services:
Access-Datenbanken
Excel-Arbeitsmappen, die nicht auf SharePoint Server gehostet werden
OLAP
Verbinden von Visio Services mit Daten, die auf SharePoint Server gehostet werden
Visio Services unterstützt mit Daten verbundene Diagramme, die mit Daten verbunden sind, die innerhalb der SharePoint-Farm gehostet werden, z. B. die folgenden:
Excel-Arbeitsmappen, die sich in einer Dokumentbibliothek befinden
Daten in SharePoint-Listen
Verbinden mit Excel-Arbeitsmappen
Visio Services verwendet die SharePoint Server-Anmeldeinformationen der Diagrammanzeige, um eine Verbindung zu einer Excel-XLSX-Arbeitsmappe herzustellen. Damit die Authentifizierung erfolgreich ist, müssen die folgenden Bedingungen zutreffen:
Office Online Server müssen ordnungsgemäß bereitgestellt und in der SharePoint-Farm konfiguriert werden.
Die Arbeitsmappe muss in der gleichen Farm gehostet werden wie das Diagramm.
Die Diagrammanzeige muss mindestens über Leseberechtigungen für die Excel-Arbeitsmappe verfügen.
Für die Aktivierung dieser Art von Datenverbindung sind keine weiteren Konfigurationsschritte erforderlich.
Hinweis
[!HINWEIS] Für die Verbindung zu einer Excel-Arbeitsmappe verlangt Visio Services, dass Excel Online die Arbeitsmappe aktualisiert, wenn diese Verbindungen zu externen Daten enthält. In diesem Fall wird die Identität der Diagrammanzeige an Excel Online übergeben, damit Excel Online eine Authentifizierung bei zugrundeliegenden Datenquellen ausführen kann, um die Arbeitsmappe zu aktualisieren.
Verbinden von Visio Services mit SharePoint-Listen
Visio Services verwendet die SharePoint Server-Anmeldeinformationen der Diagrammanzeige, um sich mit einer SharePoint-Liste zu verbinden. Damit die Authentifizierung erfolgreich ist, müssen die folgenden Bedingungen zutreffen:
Damit ein Benutzer auf Daten in einer externen Liste zugreifen kann, benötigt der Benutzer über Berechtigungen für den Zugriff auf den externen Inhaltstyp sowie über Berechtigungen für den Zugriff auf die externe Datenquelle.
Die Diagrammanzeige muss mindestens über Leseberechtigungen für die SharePoint-Liste verfügen.
Für die Aktivierung dieser Art von Datenverbindung sind keine weiteren Konfigurationsschritte erforderlich.
Verbinden von Visio Services mit externen Daten
Visio Services kann eine Verbindung zu zahlreichen externen Datenquellen herstellen, beispielsweise SQL Server, OLE DB/ODBC und benutzerdefinierte Datenanbieter. Um eine Verbindung zu der Datenquelle herzustellen, verwendet Visio Services einen spezifischen Datenanbieter für jede Datenquelle.
Aus Sicherheitsgründen muss Visio Services den Datenanbietern explizit vertrauen, bevor sie verwendet werden können.
Die Verbindung zu einer SQL Server-Datenquelle kann auf eine der folgenden Arten erfolgen:
Windows-Authentifizierung
SQL Server-Authentifizierung
Andere Datenquellen verwenden eine Verbindungszeichenfolge, die in der Regel aus einem Benutzernamen und einem Kennwort besteht.
Datenverbindungen
Visio-Diagramme verwenden eine der beiden folgenden Verbindungsarten:
Eingebettete Verbindungen
Verknüpfte Verbindungen
Eingebettete Verbindungen werden als Bestandteil des Visio-Diagramms gespeichert. Verknüpfte Verbindungen werden außerhalb des Diagramms in ODC-Dateien (Office Data Connection) gespeichert. Um eine verknüpfte Verbindung verwenden zu können, muss ein Diagramm auf eine ODC-Datei verweisen, die in der gleichen Farm gespeichert ist wie das Diagramm. Jede Datenverbindung besteht aus den folgenden Komponenten:
Einer Verbindungszeichenfolge
Abfragezeichenfolge
Authentifizierungsmethode
Optional aus einigen Metadaten, die zum Abrufen externer Daten erforderlich sind
Jede Verbindungsart besitzt ihre Vor- und Nachteile, die im Folgenden erörtert werden. Wählen Sie die Verbindungsart aus, die Ihrem Szenario am besten entspricht.
| Verbindungstyp | Eingebettete Verbindungen | ODC-Dateien |
|---|---|---|
| Unterstützte Datenquellen |
SQL Server OLE DB/ODBC Excel-Arbeitsmappen SharePoint-Listen Benutzerdefinierte Datenanbieter |
SQL Server (unterstützt alle Authentifizierungsmethoden) OLE DB/ODBC |
| Vorteile |
Alle Verbindungsinformationen werden im Diagramm gespeichert. Eingebettete Verbindungen erfordern nur einen geringen Verwaltungsaufwand, um unterstützt zu werden. Eingebettete Verbindungen sind leicht zu erstellen. |
Verknüpfte Verbindungen können zentral gespeichert, verwaltet, überwacht und freigegeben werden, und der Zugriff auf diese kann unter Verwendung einer Datenverbindungsbibliothek zentral gesteuert werden. Diagrammautoren können bestehende Verbindungen verwenden, ohne Abfragen oder Verbindungszeichenfolgen erstellen zu müssen. Wenn sich die Datenverbindungsdetails für eine Datenquelle ändern, muss ein Administrator nur eine ODC-Datei aktualisieren. Dank dieser Änderung verwenden alle Diagramme, die auf die ODC-Datei verweisen, nach der nächsten Aktualisierung die aktualisierten Verbindungsinformationen. (Ein Beispiel für ein solches Szenario wäre das Verschieben eines Datenbankservers oder die Änderung des Datenbanknamens.) |
| Nachteile |
Wenn sich die Datenverbindungsdetails für eine Datenquelle ändern, müssen alle Diagramme mit eingebetteten Verbindungen zu dieser Datenquelle mit aktualisierten Verbindungsinformationen neu veröffentlicht werden. Eingebettete Datenverbindungen sind von SharePoint-Administratoren schwieriger zu überwachen. |
Für verknüpfte Verbindungen ist möglicherweise die Hilfe eines SharePoint-Administrators erforderlich, um freigaben, verwalten und schützen zu können. Verknüpfte Verbindungen werden in Klartext gespeichert und können Datenbankkennwörter enthalten. Für die Sicherung dieser Dateien ist besondere Sorgfalt erforderlich. |
Verwenden Sie für Szenarien, bei denen eine Datenverbindung zu einer relationalen Unternehmensdatenquelle wie SQL Server hergestellt werden muss, eine verknüpfte Datenverbindung. Verknüpfte Datenverbindungen sind vor allem zweckmäßig in Szenarien, in denen diese von zahlreichen Benutzern verwendet werden und in denen die Überwachung der Verbindung durch den Administrator wichtig ist.
Hinweis
Wenn Sie Visio 2010 verwenden, müssen ODC-Dateien zuerst in Excel erstellt und dann zu SharePoint Server exportiert werden, bevor sie mit Visio Services verwendet werden können.
Verwenden Sie eingebettete Verbindungen in Szenarien, in denen schnelle Datenverbindungen zu einer kleinen oder dateibasierten Datenquelle benötigt werden, die nur von wenigen Benutzern verwendet wird.
ODC-Dateien können in einer Datenverbindungsbibliothek gespeichert werden, einer besonderen Art von SharePoint-Dokumentbibliothek. Die Zentralisierung von Datenverbindungen in einer solchen Dokumentbibliothek bietet mehrere Vorteile:
Administratoren können den Schreibzugriff auf eine Datenverbindungsbibliothek auf Autoren vertrauenswürdiger Datenverbindungen beschränken, um sicherzustellen, dass nur ausreichend getestete und sichere Datenverbindungen von Diagrammautoren verwendet werden.
Administratoren verfügen über einen einzigen Speicherort für die Verwaltung von Datenverbindungen für eine große Gruppe von Benutzern.
Administratoren können unter Verwendung der Dokumentbibliotheks-Versionsverwaltung und von Workflowfeatures auf einfache Weise Datenverbindungsdateien genehmigen, überwachen, zurücksetzen und verwalten.
Endbenutzer finden Diagrammdaten an einem einzigen Speicherort, wodurch sich Unklarheiten und Benutzerschulungen verringern lassen.
Windows-Authentifizierung
Diese Art von Anmeldeinformationen sind üblich in Windows-Netzwerken, und sie sind identisch mit den Anmeldeinformationen, die für die Anmeldung bei Computern in einer Windows-Domäne verwendet werden. Windows-Anmeldeinformationen werden als sicheres und einfach zu verwaltendes Verfahren zur Steuerung des Zugriffs auf SQL Server-Datenbanken betrachtet. Ein Problem bei der Verwendung der Windows-Authentifizierung mit Visio Services ist jedoch die Windows-Sicherheitsfunktion "Doppelschritt", bei der Benutzeranmeldeinformationen nur von einem Computer in einem Windows-Netzwerk zu einem anderen übergeben werden können. Wenn es sich bei Visio Services um ein mehrstufiges System handelt, sind für Visio Services spezielle Authentifizierungsmethoden erforderlich, damit für den Endbenutzer Daten abgerufen werden können.
Für die Windows-Authentifizierung ist es erforderlich, dass Visio ServicesSQL Server einen Satz Windows-Anmeldeinformationen bereitstellt. Hierfür gibt es mehrere Möglichkeiten. Die zu verwendende Authentifizierungsmethode ist von mehreren Faktoren abhängig, wie in der folgenden Tabelle erläutert. Wählen Sie diejenige aus, die am besten für Ihr Szenario geeignet ist.
| Authentifizierungsmethode | Eingeschränkte Kerberos-Delegierung | Secure Store | Unbeaufsichtigtes Dienstkonto |
|---|---|---|---|
| Beschreibung |
Bei der Verwendung der eingeschränkten Kerberos-Stellvertretung werden die Windows-Anmeldeinformationen der Diagrammanzeige direkt an die Datenquelle gesendet. |
Bei Verwendung von Secure Store werden die Windows-Anmeldeinformationen der Zeichnungsanzeige einem anderen Satz von Benutzerinformationen zugeordnet, die in einer Secure Store-Zielanwendung festgelegt werden. |
Bei der Verwendung von Secure Store werden alle Anzeigen einem speziellen Satz von Anmeldeinformationen zugeordnet, die als unbeaufsichtigtes Dienstkonto bezeichnet werden. Dieses wird in einer speziellen Secure Store-Zielanwendung gespeichert, die in den globalen Einstellungen von Visio Services festgelegt wird. |
| Anmeldeinformationen für Datenverbindungen |
Die Windows-Anmeldeinformationen für die Diagrammanzeige |
Die in der Secure Store-Zielanwendung festgelegten Anmeldeinformationen |
Die Anmeldeinformationen des unbeaufsichtigten Dienstkontos |
| Vorteile |
Das Kerberos-Protokoll der Branchenstandard bei der Verwaltung von Anmeldeinformationen. Kerberos wird in die bestehende Active Directory-Infrastruktur eingebunden. Die Kerberos-Stellvertretung ermöglicht die Überwachung einzelner Zugriffe auf eine Datenquelle. Wenn die Identität der Diagrammanzeige bekannt ist, können Ersteller von Diagrammen personalisierte Datenbankabfragen in Diagramme einbetten. |
Secure Store ist Bestandteil von SharePoint Server und ist einfacher zu konfigurieren als die Kerberos-Authentifizierung. Zuordnungen sind flexibel: ein Benutzer kann entweder 1-zu-1 oder viele-zu-1 zugeordnet werden. Nicht-Windows-Anmeldeinformationen können für die Verbindung mit Datenquellen verwendet werden, die keine Windows-Anmeldeinformationen akzeptieren. Für Visio erstellte Zuordnungen können von anderen Business Intelligence-Anwendungen wie Excel Online wiederverwendet werden. |
Das unbeaufsichtigte Dienstkonto ist die am einfachsten bereitzustellende und einzurichtende Authentifizierungsmethode. Das unbeaufsichtigte Dienstkonto benötigt keinen großen Verwaltungsaufwand. |
| Nachteile |
Für die Konfiguration von SharePoint Server und Visio Services sind zusätzliche administrative Maßnahmen erforderlich. |
Für die Einrichtung und Verwaltung von Zuordnungstabellen ist einiger Verwaltungsaufwand erforderlich. Secure Store ermöglicht nur eingeschränkte Überwachung. In zahlreichen viele-zu-1-Szenarien werden eingehende einzelne Benutzer durch eine Zielanwendung den gleichen Anmeldeinformationen zugeordnet, sodass diese quasi zu einem Benutzer verschmolzen werden. |
Wenn alle den gleichen Anmeldinformationen zugeordnet werden, kann ein Administrator nicht unterscheiden, wer auf die Datenquelle zugegriffen hat. |
| Damit der Authentifizierungsvorgang erfolgreich ist... |
Die eingeschränkte Kerberos-Stellvertretung muss in der SharePoint-Farm eingerichtet werden. |
Secure Store muss bereitgestellt und für die Farm konfiguriert werden. Es müssen auch die entsprechenden Zuordnungsinformationen für einen bestimmten eingehenden Benutzer enthalten sein. Darüber hinaus müssen die Zuordnungsinformationen möglicherweise regelmäßig aktualisiert werden, um Kennwortänderungen des zugeordneten Kontos wiederzugeben. |
Secure Store muss bereitgestellt und für die Farm konfiguriert werden. Es müssen auch die Anmeldeinformationen für das unbeaufsichtigte Dienstkonto enthalten sein. Darüber hinaus müssen die Zuordnungsinformationen möglicherweise regelmäßig aktualisiert werden, um Kennwortänderungen des zugeordneten Kontos wiederzugeben. Das unbeaufsichtigte Dienstkonto muss in den globalen Einstellungen für Visio Services konfiguriert werden. |
Eingeschränkte Kerberos-Delegierung
Verwenden Sie die eingeschränkte Kerberos-Stellvertretung für sicherere und schnellere Authentifizierung bei relationalen Unternehmensdatenbanken, die die Windows-Authentifizierung unterstützen.
Secure Store
Verwenden Sie Secure Store für die Authentifizierung bei relationalen Unternehmensdatenbanken, die die Windows-Authentifizierung möglicherweise unterstützen. Secure Store ist auch zweckmäßig in Szenarien, in denen die Zuordnung der Anmeldeinformationen gesteuert werden soll.
Unbeaufsichtigtes Dienstkonto
Zur Erleichterung der Konfiguration stellt der Visio-Grafikdienst eine spezielle Konfiguration bereit, mit der ein Administrator eine eindeutige Zuordnung erstellen kann, bei der alle Benutzer einem einzigen Satz von Anmeldeinformationen zugeordnet werden.
Dieses als unbeaufsichtigtes Dienstkonto bezeichnete Konto muss ein Windows-Domänenkonto mit geringen Rechten sein. Visio Services nimmt die Identität dieses Kontos an, wenn es sich stellvertretend für eine Webzeichnungsanzeige mit einer Datenbank verbindet.
Es empfiehlt sich, diesem Konto so wenig Netzwerkberechtigungen einzuräumen wie möglich - in der Regel nur die Rechte für die Anmeldung beim Netzwerk und den Zugriff auf die Datenquelle, mit der Benutzer eine Verbindung herstellen. Stellen Sie für eine höhere Sicherheit zudem sicher, dass das unbeaufsichtigte Dienstkonto keinen Zugriff auf die SharePoint-Konfiguration und die Inhaltsdatenbanken besitzt.
Das unbeaufsichtigte Dienstkonto wird von Visio Services in den folgenden Fällen verwendet:
Wenn eine ODC-Datei die Verwendung des unbeaufsichtigten Dienstkontos für Windows oder die SQL Server-Authentifizierung festlegt.
Wenn keine Office-Datenverbindung verwendet wird und bei der Kerberos-Authentifizierung ein Fehler auftritt.
Hinweis
[!HINWEIS] Das unbeaufsichtigte Dienstkonto kann ein lokales Computerkonto vom Typ "Windows" sein. Wenn das unbeaufsichtigte Dienstkonto als lokales Dienstkonto konfiguriert ist, müssen Sie sicherstellen, dass die Konfiguration auf jedem Anwendungsserver, auf dem Visio Services ausgeführt wird, identisch ist. Um die Verwaltung zu erleichtern, sollte ein Domänenkonto verwendet werden.
Verwenden Sie das unbeaufsichtigte Dienstkonto, wenn Verbindungen zu kleinen Ad-hoc-Bereitstellungen hergestellt werden sollen, bei denen die Sicherheit weniger wichtig ist, oder bei denen die Geschwindigkeit der Bereitstellung sehr wichtig ist.
Informationen über die Verwendung des unbeaufsichtigten Dienstkontos mit Visio Services finden Sie unter Secure Store für Business Intelligence-Dienstanwendungen.
SQL Server-Authentifizierung
Für die SQL Server-Authentifizierung ist es erforderlich, dass Visio Services einen SQL Server-Benutzernamen und ein Kennwort für eine SQL Server-Datenquelle bereitstellt. Visio Services extrahiert diesen Benutzernamen und das Kennwort aus der Verbindungszeichenfolge der Datenverbindung und übergibt diese an die Datenquelle.
Zur Verringerung von Sicherheitsrisiken nimmt Visio Services bei der Verbindung mit einer solchen Datenquelle die Identität des unbeaufsichtigten Dienstkontos an.
Authentifizierung bei einer OLE DB/ODBC-Datenquelle
Für die Authentifizierung bei Datenquellen von Drittanbietern ist es in der Regel erforderlich, dass Visio Services der Datenquelle einen Benutzernamen und ein Kennwort bereitstellt. Wie bei der SQL Server-Authentifizierung extrahiert Visio Services diesen Benutzernamen und das Kennwort aus der Verbindungszeichenfolge der Datenverbindung und übergibt diese an die Datenquelle.
Zur Verringerung von Sicherheitsrisiken nimmt Visio Services bei der Verbindung mit einer solchen Datenquelle die Identität des unbeaufsichtigten Dienstkontos an.
Datenaktualisierung mit Visio Services
Visio Services unterstützt die Aktualisierung von Diagrammen, die mit den folgenden Datenquellen verbunden sind:
SQL Server
SharePoint-Listen
In Excel gehostete Excel-Arbeitsmappen
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 und DB2 9.2
Hinweis
[!HINWEIS] Wenn sich die Datenquelle, mit der Sie eine Verbindung herstellen möchten, nicht in der obenstehenden Liste befindet, können Sie Unterstützung für diese hinzufügen, indem Sie einen benutzerdefinierten Visio-Datenanbieter erstellen. Diese Technologie ermöglicht die Umschließung Ihrer bestehenden Datenquellen in eine solche, die von Visio Services verwendet werden kann.
Die Aktualisierung kann vom Browser auf eine der folgenden Arten ausgelöst werden:
Der Endbenutzer öffnet das Diagramm.
Der Endbenutzer klickt für ein bereits geöffnetes Diagramm auf die Schaltfläche Aktualisieren.
Der Endbenutzer lädt eine Seite, die das Visio Web Access-Webpart enthält, das durch einen Websitedesigner für die automatische Aktualisierung konfiguriert wurde.
Hinweis
Ein SharePoint-Websitedesigner muss das Visio Web Access-Webpart auf einer Seite platzieren und für eine regelmäßige Aktualisierung konfigurieren.
Wenn keine zuvor zwischengespeicherten Versionen dieses Diagramms vorliegen, lösen alle diese Aktionen eine Aktualisierung des Diagramms aus. Informationen über die Konfiguration von Cacheeinstellungen für Visio Services finden Sie unter Konfigurieren von Visio Services.