Datenauthentifizierung für Visio Services in SharePoint Server
**Gilt für:**SharePoint Server 2013, SharePoint Server 2016
**Letztes Änderungsdatum des Themas:**2017-07-06
Zusammenfassung: Visio Services unterstützt Verbindungen mit Excel-Arbeitsmappen, SharePoint-Listen, SQL Server-Datenbanken und OLE DB- und ODBC-Datenquellen.
Datenquellen werden als intern oder extern wie folgt kategorisiert:
Intern: In einer SharePoint-Farm gehostete Daten wie eine Excel-Arbeitsmappe oder eine SharePoint-Liste
Extern: SQL Server-Daten oder eine OLE DB- oder ODBC-Datenquelle.
Damit ein Benutzer Daten aus einer Datenquelle abrufen kann, muss sich dieser bei der Datenquelle authentifizieren und dann autorisiert werden, um auf die enthaltenen Daten zuzugreifen. Im Fall eines Diagramms authentifiziert sich Visio Services stellvertretend für den Benutzer, der das Diagramm anzeigt, bei der Datenquelle, um die Daten zu aktualisieren, mit denen das Diagramm verbunden ist.
Welche Authentifizierungsmethode Visio Services zum Abrufen der Daten verwenden kann, ist vom Typ der zugrundeliegenden Datenquelle abhängig, wie in der folgenden Tabelle beschrieben. Bei Datenquellen, die mehrere Authentifizierungsmethoden unterstützen, muss die Datenverbindung angeben, welche verwendet werden soll.
Datenquelle | Authentifizierungsmethode |
---|---|
SharePoint-Listen |
SharePoint-Benutzerberechtigungen |
Excel-Arbeitsmappen |
SharePoint-Benutzerberechtigungen |
SQL Server |
Eine der folgenden:
|
OLE DB/ODBC |
Ist von der Datenquelle abhängig, in der Regel ein in der Verbindungszeichenfolge gespeicherter Benutzername und ein zugehöriges Kennwort. |
Es können auch benutzerdefinierte Datenanbieter verwendet werden.
Die folgenden Datenquellen werden in Visio unterstützt, jedoch nicht in Visio Services:
Access-Datenbanken
Excel-Arbeitsmappen, die nicht auf SharePoint Server gehostet werden
OLAP
Verbinden von Visio Services mit Daten, die auf SharePoint Server gehostet werden
Visio Services unterstützt mit Daten verbundene Diagramme, die mit Daten verbunden sind, die innerhalb der SharePoint-Farm gehostet werden, z. B. die folgenden:
Excel-Arbeitsmappen, die sich in einer Dokumentbibliothek befinden
Daten in SharePoint-Listen
Verbinden mit Excel-Arbeitsmappen
Visio Services verwendet die SharePoint Server-Anmeldeinformationen der Diagrammanzeige, um eine Verbindung zu einer Excel-XLSX-Arbeitsmappe herzustellen. Damit die Authentifizierung erfolgreich ist, müssen die folgenden Bedingungen zutreffen:
Office Online Server Preview muss ordnungsgemäß bereitgestellt und in der SharePoint-Farm konfiguriert werden.
Die Arbeitsmappe muss in der gleichen Farm gehostet werden wie das Diagramm.
Die Diagrammanzeige muss mindestens über Leseberechtigungen für die Excel-Arbeitsmappe verfügen.
Für die Aktivierung dieser Art von Datenverbindung sind keine weiteren Konfigurationsschritte erforderlich.
Hinweis
Für die Verbindung zu einer Excel-Arbeitsmappe verlangt Visio Services, dass Excel Online die Arbeitsmappe aktualisiert, wenn diese Verbindungen zu externen Daten enthält. In diesem Fall wird die Identität der Diagrammanzeige an Excel Online übergeben, damit Excel Online eine Authentifizierung bei zugrundeliegenden Datenquellen ausführen kann, um die Arbeitsmappe zu aktualisieren.
Verbinden von Visio Services mit SharePoint-Listen
Visio Services verwendet die SharePoint Server-Anmeldeinformationen der Diagrammanzeige, um sich mit einer SharePoint-Liste zu verbinden. Damit die Authentifizierung erfolgreich ist, müssen die folgenden Bedingungen zutreffen:
Damit ein Benutzer auf Daten in einer externen Liste zugreifen kann, benötigt der Benutzer über Berechtigungen für den Zugriff auf den externen Inhaltstyp sowie über Berechtigungen für den Zugriff auf die externe Datenquelle.
Die Diagrammanzeige muss mindestens über Leseberechtigungen für die SharePoint-Liste verfügen.
Für die Aktivierung dieser Art von Datenverbindung sind keine weiteren Konfigurationsschritte erforderlich.
Verbinden von Visio Services mit externen Daten
Visio Services kann eine Verbindung zu zahlreichen externen Datenquellen herstellen, beispielsweise SQL Server, OLE DB/ODBC und benutzerdefinierte Datenanbieter. Um eine Verbindung zu der Datenquelle herzustellen, verwendet Visio Services einen spezifischen Datenanbieter für jede Datenquelle.
Aus Sicherheitsgründen muss Visio Services den Datenanbietern explizit vertrauen, bevor sie verwendet werden können.
Die Verbindung zu einer SQL Server-Datenquelle kann auf eine der folgenden Arten erfolgen:
Windows-Authentifizierung
SQL Server-Authentifizierung
Andere Datenquellen verwenden eine Verbindungszeichenfolge, die in der Regel aus einem Benutzernamen und einem Kennwort besteht.
Datenverbindungen
Visio-Diagramme verwenden eine der beiden folgenden Verbindungsarten:
Eingebettete Verbindungen
Verknüpfte Verbindungen
Eingebettete Verbindungen werden als Bestandteil des Visio-Diagramms gespeichert. Verknüpfte Verbindungen werden außerhalb des Diagramms in ODC-Dateien (Office Data Connection) gespeichert. Um eine verknüpfte Verbindung verwenden zu können, muss ein Diagramm auf eine ODC-Datei verweisen, die in der gleichen Farm gespeichert ist wie das Diagramm. Jede Datenverbindung besteht aus den folgenden Komponenten:
Verbindungszeichenfolge
Abfragezeichenfolge
Authentifizierungsmethode
Optional aus einigen Metadaten, die zum Abrufen externer Daten erforderlich sind
Jede Verbindungsart besitzt ihre Vor- und Nachteile, die im Folgenden erörtert werden. Wählen Sie die Verbindungsart aus, die Ihrem Szenario am besten entspricht.
Verbindungstyp | Eingebettete Verbindungen | ODC-Dateien |
---|---|---|
Unterstützte Datenquellen |
|
|
Vorteile |
|
|
Nachteile |
|
|
Verwenden Sie für Szenarien, bei denen eine Datenverbindung zu einer relationalen Unternehmensdatenquelle wie SQL Server hergestellt werden muss, eine verknüpfte Datenverbindung. Verknüpfte Datenverbindungen sind vor allem zweckmäßig in Szenarien, in denen diese von zahlreichen Benutzern verwendet werden und in denen die Überwachung der Verbindung durch den Administrator wichtig ist.
Hinweis
Wenn Sie Visio 2010 verwenden, müssen ODC-Dateien zuerst in Excel erstellt und dann zu SharePoint Server exportiert werden, bevor sie mit Visio Services verwendet werden können.
Verwenden Sie eingebettete Verbindungen in Szenarien, in denen schnelle Datenverbindungen zu einer kleinen oder dateibasierten Datenquelle benötigt werden, die nur von wenigen Benutzern verwendet wird.
ODC-Dateien können in einer Datenverbindungsbibliothek gespeichert werden, einer besonderen Art von SharePoint-Dokumentbibliothek. Die Zentralisierung von Datenverbindungen in einer solchen Dokumentbibliothek bietet mehrere Vorteile:
Administratoren können den Schreibzugriff auf eine Datenverbindungsbibliothek auf Autoren vertrauenswürdiger Datenverbindungen beschränken, um sicherzustellen, dass nur ausreichend getestete und sichere Datenverbindungen von Diagrammautoren verwendet werden.
Administratoren verfügen über einen einzigen Speicherort für die Verwaltung von Datenverbindungen für eine große Gruppe von Benutzern.
Administratoren können unter Verwendung der Dokumentbibliotheks-Versionsverwaltung und von Workflowfeatures auf einfache Weise Datenverbindungsdateien genehmigen, überwachen, zurücksetzen und verwalten.
Endbenutzer finden Diagrammdaten an einem einzigen Speicherort, wodurch sich Unklarheiten und Benutzerschulungen verringern lassen.
Windows-Authentifizierung
Diese Art von Anmeldeinformationen sind üblich in Windows-Netzwerken, und sie sind identisch mit den Anmeldeinformationen, die für die Anmeldung bei Computern in einer Windows-Domäne verwendet werden. Windows-Anmeldeinformationen werden als sicheres und einfach zu verwaltendes Verfahren zur Steuerung des Zugriffs auf SQL Server-Datenbanken betrachtet. Ein Problem bei der Verwendung der Windows-Authentifizierung mit Visio Services ist jedoch die Windows-Sicherheitsfunktion "Doppelschritt", bei der Benutzeranmeldeinformationen nur von einem Computer in einem Windows-Netzwerk zu einem anderen übergeben werden können. Wenn es sich bei Visio Services um ein mehrstufiges System handelt, sind für Visio Services spezielle Authentifizierungsmethoden erforderlich, damit für den Endbenutzer Daten abgerufen werden können.
Für die Windows-Authentifizierung ist es erforderlich, dass Visio ServicesSQL Server einen Satz Windows-Anmeldeinformationen bereitstellt. Hierfür gibt es mehrere Möglichkeiten. Die zu verwendende Authentifizierungsmethode ist von mehreren Faktoren abhängig, wie in der folgenden Tabelle erläutert. Wählen Sie diejenige aus, die am besten für Ihr Szenario geeignet ist.
Authentifizierungsmethode | Eingeschränkte Kerberos-Delegierung | Secure Store | Unbeaufsichtigtes Dienstkonto |
---|---|---|---|
Beschreibung |
Bei der Verwendung der eingeschränkten Kerberos-Stellvertretung werden die Windows-Anmeldeinformationen der Diagrammanzeige direkt an die Datenquelle gesendet. |
Bei Verwendung von Secure Store werden die Windows-Anmeldeinformationen der Zeichnungsanzeige einem anderen Satz von Benutzerinformationen zugeordnet, die in einer Secure Store-Zielanwendung festgelegt werden. |
Bei der Verwendung von Secure Store werden alle Anzeigen einem speziellen Satz von Anmeldeinformationen zugeordnet, die als unbeaufsichtigtes Dienstkonto bezeichnet werden. Dieses wird in einer speziellen Secure Store-Zielanwendung gespeichert, die in den globalen Einstellungen von Visio Services festgelegt wird. |
Anmeldeinformationen für Datenverbindungen |
Die Windows-Anmeldeinformationen für die Diagrammanzeige |
Die in der Secure Store-Zielanwendung festgelegten Anmeldeinformationen |
Die Anmeldeinformationen des unbeaufsichtigten Dienstkontos |
Vorteile |
|
|
|
Nachteile |
|
|
|
Voraussetzungen für einen erfolgreichen Authentifizierungsvorgang |
|
|
|
Eingeschränkte Kerberos-Delegierung
Verwenden Sie die eingeschränkte Kerberos-Stellvertretung für sicherere und schnellere Authentifizierung bei relationalen Unternehmensdatenbanken, die die Windows-Authentifizierung unterstützen.
Datenbank für einmaliges Anmelden (Secure Store)
Verwenden Sie Secure Store für die Authentifizierung bei relationalen Unternehmensdatenbanken, die die Windows-Authentifizierung möglicherweise unterstützen. Secure Store ist auch zweckmäßig in Szenarien, in denen die Zuordnung der Anmeldeinformationen gesteuert werden soll.
Unbeaufsichtigtes Dienstkonto
Zur Erleichterung der Konfiguration stellt der Visio-Grafikdienst eine spezielle Konfiguration bereit, mit der ein Administrator eine eindeutige Zuordnung erstellen kann, bei der alle Benutzer einem einzigen Satz von Anmeldeinformationen zugeordnet werden.
Dieses als unbeaufsichtigtes Dienstkonto bezeichnete Konto muss ein Windows-Domänenkonto mit geringen Rechten sein. Visio Services nimmt die Identität dieses Kontos an, wenn es sich stellvertretend für eine Webzeichnungsanzeige mit einer Datenbank verbindet.
Es empfiehlt sich, diesem Konto so wenig Netzwerkberechtigungen einzuräumen wie möglich - in der Regel nur die Rechte für die Anmeldung beim Netzwerk und den Zugriff auf die Datenquelle, mit der Benutzer eine Verbindung herstellen. Stellen Sie für eine höhere Sicherheit zudem sicher, dass das unbeaufsichtigte Dienstkonto keinen Zugriff auf die SharePoint-Konfiguration und die Inhaltsdatenbanken besitzt.
Das unbeaufsichtigte Dienstkonto wird von Visio Services in den folgenden Fällen verwendet:
Wenn eine ODC-Datei die Verwendung des unbeaufsichtigten Dienstkontos für Windows oder die SQL Server-Authentifizierung festlegt.
Wenn keine Office-Datenverbindung verwendet wird und bei der Kerberos-Authentifizierung ein Fehler auftritt.
Hinweis
Das unbeaufsichtigte Dienstkonto kann ein lokales Computerkonto vom Typ "Windows" sein. Wenn das unbeaufsichtigte Dienstkonto als lokales Dienstkonto konfiguriert ist, müssen Sie sicherstellen, dass die Konfiguration auf jedem Anwendungsserver, auf dem Visio Services ausgeführt wird, identisch ist. Um die Verwaltung zu erleichtern, sollte ein Domänenkonto verwendet werden.
Verwenden Sie das unbeaufsichtigte Dienstkonto, wenn Verbindungen zu kleinen Ad-hoc-Bereitstellungen hergestellt werden sollen, bei denen die Sicherheit weniger wichtig ist, oder bei denen die Geschwindigkeit der Bereitstellung sehr wichtig ist.
Informationen über die Verwendung des unbeaufsichtigten Dienstkontos mit Visio Services finden Sie unter Secure Store für Business Intelligence-Dienstanwendungen.
SQL Server-Authentifizierung
Für die SQL Server-Authentifizierung ist es erforderlich, dass Visio Services einen SQL Server-Benutzernamen und ein Kennwort für eine SQL Server-Datenquelle bereitstellt. Visio Services extrahiert diesen Benutzernamen und das Kennwort aus der Verbindungszeichenfolge der Datenverbindung und übergibt diese an die Datenquelle.
Zur Verringerung von Sicherheitsrisiken nimmt Visio Services bei der Verbindung mit einer solchen Datenquelle die Identität des unbeaufsichtigten Dienstkontos an.
Authentifizierung bei einer OLE DB/ODBC-Datenquelle
Für die Authentifizierung bei Datenquellen von Drittanbietern ist es in der Regel erforderlich, dass Visio Services der Datenquelle einen Benutzernamen und ein Kennwort bereitstellt. Wie bei der SQL Server-Authentifizierung extrahiert Visio Services diesen Benutzernamen und das Kennwort aus der Verbindungszeichenfolge der Datenverbindung und übergibt diese an die Datenquelle.
Zur Verringerung von Sicherheitsrisiken nimmt Visio Services bei der Verbindung mit einer solchen Datenquelle die Identität des unbeaufsichtigten Dienstkontos an.
Datenaktualisierung mit Visio Services
Visio Services unterstützt die Aktualisierung von Diagrammen, die mit den folgenden Datenquellen verbunden sind:
SQL Server
SharePoint-Listen
In Excel gehostete Excel-Arbeitsmappen
Oracle 9i, 9iR2, 10g, 10gR2, 11g, 11gR2 und DB2 9.2
Hinweis
Wenn sich die Datenquelle, mit der Sie eine Verbindung herstellen möchten, nicht in der obenstehenden Liste befindet, können Sie Unterstützung für diese hinzufügen, indem Sie einen benutzerdefinierten Visio-Datenanbieter erstellen. Diese Technologie ermöglicht die Umschließung Ihrer bestehenden Datenquellen in eine solche, die von Visio Services verwendet werden kann.
Die Aktualisierung kann vom Browser auf eine der folgenden Arten ausgelöst werden:
Der Endbenutzer öffnet das Diagramm.
Der Endbenutzer klickt für ein bereits geöffnetes Diagramm auf die Schaltfläche Aktualisieren.
Der Endbenutzer lädt eine Seite, die das Visio Web Access-Webpart enthält, das durch einen Websitedesigner für die automatische Aktualisierung konfiguriert wurde.
Hinweis
Ein SharePoint-Websitedesigner muss das Visio Web Access-Webpart auf einer Seite platzieren und für eine regelmäßige Aktualisierung konfigurieren.
Wenn keine zuvor zwischengespeicherten Versionen dieses Diagramms vorliegen, lösen alle diese Aktionen eine Aktualisierung des Diagramms aus. Informationen über die Konfiguration von Cacheeinstellungen für Visio Services finden Sie unter Konfigurieren von Visio Services.