Planifier la sécurité de Visio Services (SharePoint Server 2010)
S’applique à : SharePoint Server 2010
Dernière rubrique modifiée : 2012-05-21
Outre les conditions requises pour la sécurité lors du déploiement de Microsoft SharePoint Server 2010, vous devez aussi vérifier les considérations relatives à la sécurité pour un déploiement qui comporte Visio Services dans Microsoft SharePoint Server 2010. Visio Services vous permet d’afficher les dessins Web Visio publiés. Ces dessins peuvent être liés à des données externes et les éléments des dessins peuvent être mis à jour en fonction de ces données. La sécurité est un élément important pour activer ces scénarios de restitution des données. Service Graphiques Visio vous permet de contrôler avec une grande précision le traitement et l’affichage des dessins Web Visio ainsi que les sources de données auxquelles ils peuvent se connecter.
Dessins Web qui ne sont pas liés à des données
Les dessins Visio publiés (fichiers .VDW) doivent être stockés dans les bibliothèques de documents SharePoint afin de pouvoir être ouverts par Visio Services. SharePoint Server 2010 gère une liste de contrôle d’accès pour les fichiers contenus dans la bibliothèque de documents. En définissant correctement les règles de la bibliothèque, vous pouvez limiter les utilisateurs SharePoint Server pouvant accéder à un diagramme spécifique.
Dessins Web Visio qui sont liés à des données
Service Graphiques Visio peut se connecter à des sources de données, notamment les listes SharePoint, les classeurs Excel hébergés sur la batterie de serveurs, les bases de données telles que Microsoft SQL Server et les sources de données personnalisées. Vous pouvez contrôler l’accès à des sources de données externes en définissant explicitement les fournisseurs de données qui sont approuvés et en les configurant dans la liste des fournisseurs de données approuvés.
Quand Visio Services charge un dessin Web connecté aux données, le service vérifie les informations de connexion qui sont stockées dans le dessin Web afin de déterminer si le fournisseur de données spécifié est un fournisseur de données approuvé. Si le fournisseur est membre de la liste, une tentative de connexion est effectuée ; sinon, la demande de connexion est ignorée.
Une fois que l’administrateur a configuré Visio Services pour autoriser les connexions à une source de données particulière, des configurations de sécurité supplémentaires doivent être effectuées, selon le type de source de données. Les sources de données suivantes sont prises en charge par Visio Services :
Classeurs Excel stockés sur SharePoint Server avec Excel Services
Listes SharePoint
Bases de données telles que des bases de données SQL Server
Fournisseurs de données personnalisés
Dessins Web Visio qui sont liés à des listes SharePoint
Les dessins Visio publiés peuvent être connectés aux listes SharePoint sur la même batterie de serveurs qui héberge le dessin. L’utilisateur qui affiche le dessin Web doit avoir accès à la fois au dessin et à la liste SharePoint à laquelle le dessin est connecté. Ces autorisations et informations d’identification sont gérées par SharePoint Server 2010.
Dessins Web Visio qui sont liés à Excel Services
Les dessins Visio publiés peuvent être connectés à des classeurs Excel hébergés sur la même batterie de serveurs que le dessin Web avec Excel Services fonctionnant et configuré correctement. Pour afficher le dessin Web, l’utilisateur doit avoir accès à la fois au dessin et au classeur Excel auquel le dessin est connecté. Ces autorisations et informations d’identification sont gérées par SharePoint Server 2010.
Dessins Web Visio qui sont liés aux bases de données SQL Server
Quand un dessin Web Visio est connecté à une base de données SQL Server, Visio Services utilise des options de configuration de sécurité supplémentaires pour établir une connexion entre Service Graphiques Visio et la base de données. Les dessins Web Visio peuvent utiliser des connexions stockées dans des fichiers ODC (Office Data Connectivity). Pour créer des dessins Web connectés aux données qui utilisent le compte automatisé et le service Banque d’informations sécurisé, les utilisateurs doivent d’abord créer des fichiers ODC (Office Data Connectivity) à l’aide de Microsoft Excel.
Les méthodes d’authentification prises en charge par Visio Services sont les suivantes :
Authentification Windows intégrée Dans ce modèle de sécurité, Service Graphiques Visio utilise l’identité de la visionneuse du dessin pour s’authentifier auprès de la base de données. L’authentification Windows intégrée avec délégation Kerberos contrainte est plus utile pour accroître la sécurité que les autres méthodes d’authentification indiquées dans cette liste. Cette configuration nécessite l’activation d’une délégation Kerberos contrainte entre le serveur d’applications qui exécute Service Graphiques Visio et le serveur de bases de données. La base de données elle-même peut nécessiter une configuration supplémentaire pour permettre l’authentification Kerberos, sujet qui n’entre pas dans le cadre de ce document.
Service Banque d’informations sécurisé Dans ce modèle de sécurité, Service Graphiques Visio utilise le service Banque d’informations sécurisé pour mapper les informations d’identification de l’utilisateur à des informations d’identification différentes qui ont accès à la base de données. Le service Banque d’informations sécurisé prend en charge des mappages individuels et de groupe à la fois pour l’authentification Windows intégrée et d’autres formes d’authentification. Cela donne aux administrateurs plus de souplesse pour définir des relations un-à-un, plusieurs-à-un ou un-à-plusieurs. Ce modèle d’authentification ne peut être utilisé que par les dessins qui utilisent un fichier ODC pour spécifier la connexion. Le fichier ODC spécifie l’application cible qui sera utilisée pour le mappage des informations d’identification.
Compte de service automatisé Pour faciliter la configuration, Service Graphiques Visio fournit une configuration spéciale permettant à un administrateur de créer un mappage unique associant tous les utilisateurs à un compte unique en utilisant une application de magasin sécurisé cible. Ce compte mappé, appelé compte de service automatisé, doit être un compte de domaine Windows à faibles privilèges qui est autorisé à accéder aux bases de données. Service Graphiques Visio emprunte ce compte quand il se connecte à la base de données si aucune autre méthode d’authentification n’est spécifiée. Il est à noter que cette approche ne permet pas les requêtes personnalisées portant sur une base de données et ne fournit pas d’audit d’appels de base de données. Cette méthode d’authentification est la méthode d’authentification par défaut utilisée lorsque vous vous connectez aux bases de données SQL Server : si aucun fichier ODC n’est utilisé dans le dessin Web Visio qui spécifie une autre méthode d’authentification, Visio Services utilise alors les informations d’identification spécifiées par le compte automatisé pour se connecter à la base de données SQL Server.
Dans une batterie de serveurs plus grande, il est probable que les dessins Visio utilisent un mélange des méthodes d’authentification décrites ici. Il est important de savoir que :
Visio Services prend en charge à la fois le service Banque d’informations sécurisé et le compte de service automatisé dans la même batterie de serveurs. Dans les dessins Web connectés à des données SQL Server mais qui n’utilisent pas de fichiers ODC, le compte automatisé est requis et toujours utilisé.
Si l’authentification Windows intégrée est configurée à l’aide de l’authentification Kerberos, Visio Services n’affiche pas les dessins qui utilisent le mode d’authentification du compte automatisé.
Vous pouvez utiliser l’authentification Windows intégrée conjointement avec la banque d’informations sécurisée pour les dessins qui nécessitent des informations d’identification spécifiques. Pour cela, configurez les dessins de telle sorte qu’ils utilisent un fichier ODC indiquant une application cible de la banque d’informations sécurisée.